Clasificación de la Información
Tipos de Clasificación En este documento se describen los diferentes tipos de clasificación de la información en las empresas Johana Sosa 27/01/2012
Contenido Tipos de clasificación ....................................................................................................... 4 1. Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. [MPSI_ARG] .......................................................... 4 2. Actualización Clasificación Información para Efectos de Aseguramiento Aseguramiento de la Misma. Banco de la República. [ACI_COL][2]............................................................. 5 3. Niveles de Clasificación Clasificación de Información – UAEAC UAEAC (Unidad Administrativa Especial Aeronáutica Civil) [CDLI_COL] [3] ............................................................... 6 4.
Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4] ......... 9
5.
CobiT4.1 [C4.1_USA]. [5] .................................................................................. 10
6.
TCSEC Orange Book. [DoDTCSEC_USA]. [6] .................................................. 11
7.
GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7] .................... 15
8. Normas para la Clasificación de Seguridad de Información Federal Federal y Sistemas de Información. [NCSIFSI_USA]. [8] ............................................................................. 19 9.
HMG Security Policy Framework. [HMGSPF_UK]. [9] ......................... ............. 20
10. Queensland Government Information Security Classification Framework. [QGISCF_AUS]. [10] ................................................................................................. 21 11.
Information Security Classification. Classification. [ISC_CAN]. [11] .................................... ....................... ............. 22
12.
State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12] .............................. 22
Investigación en empresas. ............................................................................................. 24 Digiservices Ltda. ....................................................................................................... 24 MCI – Misión Misión Carismática Ca rismática Internacional. ................................................................... 25 Criterios de valoración de los documentos ...................................................................... 26 Referencias .................................................................................................................... 31
Contenido Tipos de clasificación ....................................................................................................... 4 1. Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. [MPSI_ARG] .......................................................... 4 2. Actualización Clasificación Información para Efectos de Aseguramiento Aseguramiento de la Misma. Banco de la República. [ACI_COL][2]............................................................. 5 3. Niveles de Clasificación Clasificación de Información – UAEAC UAEAC (Unidad Administrativa Especial Aeronáutica Civil) [CDLI_COL] [3] ............................................................... 6 4.
Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4] ......... 9
5.
CobiT4.1 [C4.1_USA]. [5] .................................................................................. 10
6.
TCSEC Orange Book. [DoDTCSEC_USA]. [6] .................................................. 11
7.
GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7] .................... 15
8. Normas para la Clasificación de Seguridad de Información Federal Federal y Sistemas de Información. [NCSIFSI_USA]. [8] ............................................................................. 19 9.
HMG Security Policy Framework. [HMGSPF_UK]. [9] ......................... ............. 20
10. Queensland Government Information Security Classification Framework. [QGISCF_AUS]. [10] ................................................................................................. 21 11.
Information Security Classification. Classification. [ISC_CAN]. [11] .................................... ....................... ............. 22
12.
State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12] .............................. 22
Investigación en empresas. ............................................................................................. 24 Digiservices Ltda. ....................................................................................................... 24 MCI – Misión Misión Carismática Ca rismática Internacional. ................................................................... 25 Criterios de valoración de los documentos ...................................................................... 26 Referencias .................................................................................................................... 31
Ilustraciones ILUSTRACIÓN 1. CLASIFICACIÓN DE LA INFORMACIÓN. [10]................................................................ 21 ILUSTRACIÓN 2. N 2. NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN PROPUESTA. ................................. 29
Tablas TABLA 1. CLASIFICACIÓN DE LA INFORMACIÓN. [2] ............................................................................. 6 TABLA 2. MATRIZ DE A NÁLISIS DE R IESGOS VS CRITERIOS. ................................................................. 8 TABLA 3. SENSIBILIDAD VS. CONFIDENCIALIDAD ............................................................................... 17 TABLA 4. R ESUMEN DE DIFERENTES TIPOS DE CLASIFICACIÓN DE LA INFORMACIÓN . ........................... 27 TABLA 5. DATOS ORGANIZACIONES FUENTES..................................................................................... 28 TABLA 6. NIVEL JERÁRQUICO ORGANIZACIONES. ............................................................................... 28 TABLA 8. EJEMPLO DETALLE CLASIFICACIÓN DE LA INFORMACIÓN ..................................................... 30
Tipos de clasificación
1. Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. [MPSI_ARG]
El siguiente modelo de clasificación fue realizado por la oficina nacional de tecnologías de información de la república de Argentina [1] Los Propietarios de la Información son responsables de clasificarla de acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones y competencia. Los usuarios de la información y de los sistemas utilizados para su procesamiento son responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente Objetivos
Garantizar que los activos de información reciban un apropiado nivel de protección.
Clasificar la información para señalar su sensibil idad y cri ti cidad .
Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.
Clasificación
Cada una tiene 4 niveles de clasificación (0 – 3) siendo 3 el nivel más sensible y 0 el menos sensible. Según lo que cumpla el activo de información el propietario definirá su criticidad (baja, media o alta) 1. Confidencialidad:
Público
reservado (uso interno)
reservado (confidencial)
reservado (secreto)
2. Integridad: Debido a modificaciones no autorizadas en la información
Se puede reparar fácilmente
Se puede reparar aunque puede dejar algunas pérdidas
Es difícil su reparación y puede dejar pérdidas significativas
No puede repararse ocasionando pérdidas grandes
3. Disponibilidad: La inaccesibilidad a la información
no afecta
durante un periodo de tiempo no menor a una semana podría causar pérdidas significativas
durante un periodo de tiempo no menor a un día podría causar pérdidas significativas
durante un periodo de tiempo no menor a una hora podría causar pérdidas significativas
Una vez asignado un valor por cada una de las categorías anteriores se clasifican según estos criterios, mencionados anteriormente:
Criticidad baja: Valores de clasificación son menores o iguales a 1
Criticidad media: Algún valor de clasificación es 2
Criticidad Alta: Algún valor de clasificación es 3
2. Actualización Clasificación Información para Efectos de Aseguramiento de la Misma. Banco de la República. [ACI_COL][2]
La clasificación de la información creada por el departamento de Seguridad Informática para efectos de aseguramiento de la misma, actualizada en mayo del 2011 cuenta con cinco niveles que son: Información clasificada, información reservada, información privada, información de uso interno e información pública. Los atributos que se tienen en cuenta para la clasificación de la información son los siguientes: Confidencialidad, Integridad, Disponibilidad, Autenticación, Control Acceso, No repudiación y Observancia.
A continuación se encuentra la tabla con la propuesta de clasificación de la Información teniendo en cuenta la relación entre los atributos que buscan mantener en la información y sus niveles. Clasificada
Reservada
Privada
De Uso
Pública
Interno
Confidencialidad
X
X
X
Integridad
X
X
Disponibilidad
X
Autenticación
X
X
X
X
Control Acceso
X
X
X
X
No repudiación
X
Observancia
X
X X
X
X* (Opcional) X
X
Tabla 1. Clasificación de la información. [2]
3. Niveles de Clasificación de Información – UAEAC (Unidad Administrativa Especial Aeronáutica Civil) [CDLI_COL] [3]
Toda información registrada en los Sistemas de Información de la UAEAC debe ser clasificada, con el objetivo de determinar controles específicos para la protección de la misma. Para esto se cuenta con la Norma No.03 - Clasificación de Información del Modelo de Seguridad Informática. La información de la UAEAC será clasificada como:
Altamente Confidencial (AC): Es información de alta importancia para la UAEAC que solo puede ser accedida por quienes ejerzan las funciones de: Director General, Subdirector General, Secretario de Sistemas Operacionales, , Secretario General y Secretario de Seguridad Aérea, Directores de Área, Jefes de Grupo y Jefes
de Oficina. El mal uso de la misma puede ir en detrimento de los intereses de la UAEAC.
Confidencial (C): Es información crítica y solamente podrá ser conocida al interior de la Entidad ya que el conocimiento externo de la misma podrá ocasionar efectos negativos sobre la Entidad.
Restringida (R): Solo podrá ser accedida por grupos específicos de usuarios que requieren del conocimiento de esta información para estricto cumplimiento de sus funciones
Pública (P): Podrá ser utilizada por todos los empleados directos de la UAEAC y por empleados temporales, contratistas y/o terceros a la UAEAC
Los parámetros que se deben tener en cuenta para esta clasificación son:
Costo de reemplazo o reconstrucción
Interrupción del negocio
Pérdida de clientes
Violación de la propiedad
Requerimientos Legales
Pérdidas económicas
Los beneficios de clasificar la información son: o
Identificar Qué información es sensible y vital para la UAEAC.
o
Identificar Quiénes son los propietarios de la información y los responsables de la asignación de los permisos de acceso a la misma.
o
Definir niveles apropiados de protección de la información y segregación de acceso a la misma.
o
Controlar Qué usuarios tienen acceso a la información.
Riesgos de no clasificar la información:
Asignación de niveles y/o permisos de acceso a la información errada
Pérdida de Información por acciones de usuarios malintencionadas.
Modificación de la información sin previa autorización.
Uso de la información por parte de usuarios con fines personales.
Los siguientes son criterios de evaluación:
Confidencialidad/Privacidad: Se refiere a que la información solo puede ser conocida por usuarios autorizados. o
Reflexión: Qué sucedería si la información de Empresas, Historias Clínicas, Hojas de Vida, Licencias del Personal Aeronáutico es cedida a terceros?.
Integridad: Se refiere a que la información solo puede ser variada (modificada o borrada) por usuarios autorizados. o
Reflexión: Qué sucedería si alguien no autorizado realiza variaciones en la
información
de
presupuesto, información de planes de Vuelo,
Itinerarios?
CONFIDENCIALIDAD
INTEGRIDAD
Fuga de información por accesos Datos inexactos, incompletos o y/o revelaciones de información no modificados ALTO
sin
autorización,
autorizada afectaría seriamente las causaría fallas en la operación, operaciones del negocio, generando pérdidas económicas, pérdida en la alta
pérdida
monetaria y/o de productividad, pérdida de imagen
imagen
ante el cliente.
Fuga de información por accesos Datos inexactos, incompletos o y/o revelaciones de información no modificados sin autorización, no MEDIO
afectaría seriamente las operaciones impactaran seriamente la operación del negocio y no dan lugar a alta del negocio o pérdida de imagen; pérdida monetaria. El
BAJO
uso
y/o
información
por
daría lugar a soluciones prontas. revelación usuarios
de Contar
no información
autorizados no afecta la operación posible del negocio.
con la
alternativas permitiría continuidad
operación del negocio.
Tabla 2. Matriz de Análisis de Riesgos vs Criterios.
de hacer
de
la
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4]
Última entrega de instrumentos normativos proyectados-modelo de seguridad de la información para la estrategia de gobierno en línea. Para determinar los niveles de clasificación se tuvieron en cuenta los siguientes principios:
Principio de Libertad: Entendido como aquel postulado que permite la exclusión, valida, de una base de datos.
Principio de Finalidad: La información contenida en una base de datos solo puede ser concebida para un fin específico.
Principio de Integridad: La
información debe ser inalterada en el proceso
comunicativo.
Principio de Necesidad: La información contenida debe ser funcional.
Lo primero que se tiene en cuenta para la clasificación de la información es separarla entre la información impersonal y la información personal. A su vez, en esta última es importante diferenciar
igualmente
la información
personal
contenida
en
bases
de datos
computarizadas o no y la información personal contenida en otros medios, como videos o fotografías, etc. Los segundo ya es clasificar la información desde un punto de vista cualitativo en función de su publicidad y la posibilidad legal de obtener acceso a la misma. Teniendo en cuenta lo anterior se divide en cuatro grandes tipos: la información pública o de dominio público, la información semi-privada, la información privada y la información reservada o secreta.
Información pública, calificada como tal según los mandatos de la ley o de la Constitución, puede ser obtenida y ofrecida sin reserva alguna y sin importar si la misma sea información general, privada o personal. Por vía de ejemplo, pueden contarse los actos normativos de carácter general, los documentos públicos en los términos del artículo 74 de la Constitución, y las providencias judiciales debidamente ejecutoriadas; igualmente eran públicos, los datos sobre el estado civil de las personas o sobre la conformación de la familia. Información que puede solicitarse por cualquier persona de manera directa y sin el deber de satisfacer requisito alguno.
La información semi-privada, será aquella que por versar sobre información personal o impersonal y no estar comprendida por la regla general anterior, presenta para su acceso y conocimiento un grado mínimo de limitación, de tal forma que la misma sólo puede ser obtenida y ofrecida por orden de autoridad administrativa en el cumplimiento de sus funciones o en el marco de los principios de la administración de datos personales. Es el caso de los datos relativos a las relaciones con las entidades de la seguridad social o de los datos relativos al comportamiento financiero de las personas.
La información privada, será aquella que por versar sobre información personal o no, y que por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida por orden de autoridad judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, de los documentos privados, de las historias clínicas o de la información extraída a partir de la inspección del domicilio.
Información reservada, que por versar igualmente sobre información personal y sobre todo por su estrecha relación con los derechos fundamentales del titular dignidad, intimidad y libertad- se encuentra reservada a su órbita exclusiva y no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones. Cabría mencionar aquí la información genética, y los llamados "datos sensibles" o relacionados con la ideología, la inclinación sexual, los hábitos de la persona, etc”.
5. CobiT4.1 [C4.1_USA]. [5]
Dentro del marco de trabajo de COBIT se maneja la parte de Planear y Organizar, donde el segundo paso de esto es definir la arquitectura de la Información. Para lo cual tienen en cuenta las siguientes características:
Modelo Arquitectura de Información Empresarial: Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones y las a ctividades de soporte a la toma de decisiones, consistente con los planes de TI. El modelo debe
facilitar la creación, uso y el compartir en forma óptima la información por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional, rentable, oportuna, segura y tolerante a fallos
Diccionario corporativo de datos y Reglas de sintaxis de los datos de la organización: Facilita compartir elementos de datos entre las aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del negocio, y previene la creación de elementos de datos incompatibles
Esquema de clasificación de datos y los niveles de seguridad: Basados en que tan crítica y sensible es la información se establece un esquema de clasificación que aplique a toda la empresa (pública, confidencial y secreta). Para este esquema se debe incluir la siguiente información pertinente: o
Detalles acerca de la propiedad de datos
o
Definición de niveles apropiados de seguridad y de controles de protección
o
Descripción de los requerimientos de retención y destrucción de datos, incluyendo información de que tan críticos y sensibles son.
Se usa como base para aplicar controles como el control de acceso, archivo o cifrado. Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura, y permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del negocio. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones y de las entidades.
Administración de Integridad: Definir e Implementar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos y archivos
6. TCSEC Orange Book. [DoDTCSEC_USA]. [6]
Los niveles de este estándar han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).
La clasificación de los datos está basada en la necesidad de su confidencialidad. Los siguientes son niveles globales basados en el potencial del daño si son comprometidos:
Súper Secreto
Secreto
Confidencial
No clasificado: o
Sensible pero no clasificada.
o
Solo para uso oficial.
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
Nivel D: Protección Mínima Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados
y
no
cumplen
con
ninguna
especificación
de
seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MSDOS y System 7.0 de Macintosh.
Nivel C1: Protección Discrecional Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
o
Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
o
Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.
Nivel C2: Protección de Acceso Controlado Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. o
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
o
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.
o
La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
o
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.
o
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B.
o
Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.
o
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).
o
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
o
Se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos.
Nivel B2: Protección Estructurada o
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
o
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior. De esta forma un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.
o
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad o
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.
o
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.
o
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones.
o
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.
o
Cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7]
Clasificar la información es un proceso en curso e iterativo. Un sistema de clasificación de la información ayuda a asegurar aquellas decisiones que satisfacen a toda la compañía y no solo a la protección de información individual Antes de que la clasificación de la información pueda ser clasificada se tienen en cuenta unos pasos claves que se especifican a continuación. 1. Identificar todos los recursos de información que necesitan ser protegidos: En este paso es importante tener en cuenta los siguientes aspectos para cada uno de los recursos de información.
Localización de la información
Cómo se protege la información actualmente
Propietario de los datos (Persona que conoce el valor de la información para la empresa)
Custodio de los datos (Persona responsable para salvaguardar la información
Formato de la información (base de datos, archivos, aplicación)
2. Identificar las medidas de protección de la información teniendo en cuenta la necesidad del negocio y objetivos de la protección de la información:
Autenticación: Donde se puede utilizar la autenticación sencilla (identificador y contraseña) y la autenticación doble(identificador, contraseña y secreto clave)
Acceso basado en roles: Basado generalmente en necesidades del negocio y funciones del trabajo. En este caso se maneja una Lista de control de acceso (ACL) la cual contiene el nivel de acceso para cada persona (leer, editar y borrar).
Cifrado: Se utiliza para asegurar la privacidad de información sensible o personal, también para que la información no sea vista o alterada sin detección alguna.
Controles administrativos: Sirven para asegurar la integridad de la información.
Controles tecnológicos: Protección de virus, redundancia del disco, sistema y aplicaciones, al igual que segregación de la red.
Garantía: Validación de la protección del sistema. Con la a yuda de monitoreo.
3. Identificar las clases de información: La siguiente lista contiene distintas clases de información que puede manejar una empresa.
Confidencialidad
Disponibilidad
Integridad
Propiedad
Altamente sensible
Función sensible
Restringida de negocio
Restringida de propietario
Discreción de propietario
Uso de la compañía
Uso interno
Uso público
Negocio crítico
Negocio sensible
No esencial
4. Mapear las medidas de protección de la información a las diferentes clases de información. Sensibilidad y confidencialidad: Se tienen en cuenta 2 criterios
Criterio
de Altamente
Función
Propietario
Uso
de
la Uso Público
Protección
Sensible
Sensible
Discreto
Compañía
Autenticación
Id
Id
Id
Id
usuario,
usuario,
Autentica-
contraseña
contraseña
contraseña
ción
fuerte
fuerte
fuerte
fuerte
requerida
encriptado miento
usuario,
contraseña Ingreso
Aprovisiona-
usuario,
Alta
Ingreso encriptado
adm. o
autorización del
Adm.
de
autorización Basado
propietario
roles
de los datos Acceso
en
Autorización
Acceso
Acceso
y
automática-
automática-
administraci
mente
mente
a
ón delegada empleados
todos
los
al creador o
usuarios del
propietario
sistema
para
individual
Integridad y uso apropiado o
Alto
Actualización de acuerdo a las especificaciones del propietario de los datos.
Separación de funciones para las operaciones financieras.
Todas las copias de la información se tienen en cuenta y se destruyen antes de la eliminación
o
Sujeto a cambios de control
Tutoriales de código requerido
Cifrar todas las transacciones de información
Cifrar la información en reposo
Medio
de
información
Tabla 3. Sensibilidad vs. Confidencialidad
no
Actualización de acuerdo a las especificaciones del propietario de los datos.
o
Sujeto a cambios de control
Tutoriales de código requerido
Cifrar las transacciones por Internet.
Bajo
Sin integridad o uso de controles apropiados
Disponibilidad o
Alto
No hay tolerancia para la interrupción del servicio durante las horas de negocio.
Formación de la Cruz de las operaciones comerciales de personal requerido
o
La protección antivirus necesaria
Medio
Debe ser recuperado dentro de las 8 horas de trabajo
Formación de la Cruz de las operaciones comerciales de personal requerido
o
Bajo
La protección antivirus necesaria La protección antivirus necesaria
Conformidad o
Alto:
Capacidad de supervisión regulares
Monitoreo regular de violación
Operación regular de control de registro de las funciones sensibles
o
Reunión periódica revisión del registro de
La red y detección de intrusión en el sistema
Medio:
Violación registros disponibles para su revisión.
Registros de transacciones disponibles para su revisión.
Capacidad de supervisión por petición.
o
Registros de eventos disponibles para su revisión.
La red y detección de intrusión en el sistema
Bajo:
La auditoría no está habilitado; revisar el registro no está disponible.
no hay control
Continuidad de Negocio o
o
Recuperado No recuperado
5. Clasificar la información: Lo que se realizó en el paso anterior se debe aplicar a los recursos del primer paso. Si las medidas de protección y las clases de información asociadas no se adaptan a todas las fuentes de información (1er paso) se debe hacer el siguiente paso. 6. Repetir si es necesario.
8. Normas para la Clasificación de Seguridad de Información Federal y Sistemas de Información. [NCSIFSI_USA]. [8]
En esta norma se definen tres niveles de impacto potencial en cuanto a la seguridad de la información de una empresa permitiendo una pérdida en los tres objetivos de la información: confidencialidad, integridad o disponibilidad. Cada una de las definiciones de los tres impactos se debe llevar a cabo para cada contexto dentro de una empresa según los intereses de cada uno.
Impacto potencial Bajo: La pérdida de la confidencialidad, integridad o disponibilidad tiene efectos adversos limitados en las operaciones de la organización, los activos de la organización, o individuos.
Impacto potencial Moderado: La pérdida de la confidencialidad, integridad o disponibilidad tiene efectos adversos serios en las operaciones de la organización, los activos de la organización, o individuos.
Impacto potencial Alto: La pérdida de la confidencialidad, integridad o disponibilidad tiene efectos adversos severos o catastróficos en las operaciones de la organización, los activos de la organización, o individuos.
La clasificación de la información se realiza según los tipos de información que una empresa maneje. El formato generalizado para expresar la categoría de seguridad, SC, de un tipo de información es el siguiente: SC tipo de información = {(confidencialidad, impacto), (integridad, impacto), (disponibilidad, impacto)} donde los valores para el impacto es bajo, moderado, alto o no aplica (NA).
Información Pública SC de información pública = {(confidencialidad, NA), (integridad, moderado), (disponibilidad, moderado)}.
Información investigativa SC información sobre las investigaciones = {(confidencialidad, alto), (integridad, moderado), (disponibilidad, moderado)}.
Información administrativa SC = {información administrativa (confidencialidad, bajo), (integridad, bajo), (disponibilidad, bajo)}.
9. HMG Security Policy Framework. [HMGSPF_UK]. [9]
El gobierno del Reino Unido considera 5 niveles teniendo en cuenta la sensibilidad de la información:
Top Secreto
Secreto
Confidencial
Restringido
Protegido
10. Queensland Government Information Security Classification Framework. [QGISCF_AUS]. [10]
EL marco de clasificación para la seguridad de la información del gobierno de Queensland en Australia tiene en cuenta dos grandes categorías en las que se encuentra la información oficial del gobierno y son la información que puede ser de uso público y la información que necesita un control apropiado para proteger su confidencialidad. A continuación está una imagen con la clasificación de la información que necesita un control especial.
Ilustración 1. Clasificación de la información. [10]
Como se puede observar en la figura para la información oficial no pública se divide en dos categorías: la no clasificada y de seguridad clasificada. La información que no puede ser pública pero que no necesita un control especial en cuanto a seguridad se deja en la categoría no clasificada para tener en cuenta que ya se le realizó una evaluación a esa información. Para la categoría de seguridad clasificada, de acuerdo con el riego de compromiso necesita un control adicional y se divide en información de seguridad nacional e información de seguridad no nacional, cada una de ellas se divide en los siguientes niveles:
Información de seguridad nacional o
Top secreto
o
Secreto
o
Confidencial
o
Restringida
Información de seguridad no nacional o
Altamente protegida
o
Protegida y gabinete en confianza
o
X en confianza
o
Sin clasificar
11. Information Security Classification. [ISC_CAN]. [11]
El gobierno de Alberta, Canadá en la guía de clasificación de seguridad de la información identificó 4 niveles para esta clasificación, son:
Sin restricción: Información que es poco probable que cause daño. Está disponible para el público, empleados y contratistas, sub contratistas y agentes que trabajan para el gobierno.
Protegida: Información sensible para el gobierno y que puede impactar algunos servicios del mismo. Incluye información personal, financiera. Está disponible para empleados y para empleados no autorizados que necesiten conocer la información para propósitos relacionados con los negocios.
Confidencial: Información sensible para el gobierno que puede causar pérdidas graves de privacidad, ventaja competitiva, perdida de confidencialidad en los programas del gobierno y puede causar hasta daños en las asociaciones, relaciones y reputación. Solo está disponible para una función, grupo o rol específico.
Restringida: Información que es extremadamente sensible y puede causar grandes daños en la integridad y la imagen (pérdida de la vida, riesgos para la seguridad pública, pérdidas sustanciales financieras, dificultades sociales, y un gran impacto económico). Está disponible sólo para las personas nombradas o posiciones específicas.
12. State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12]
La república China en el artículo 9 de la ley de los secretos de estado clasifica la información dentro de tres categorías según los niveles de daño a la seguridad del estado y los intereses nacionales:
Top secreto: Si causa daños extremamente serios al publicarse
Altamente secreto: Si causa daños serios al publicare
Secreto: Si causa algún daño al publicarse.
Investigación en empresas. Digiservices Ltda.
Es una compañía dedicada al procesamiento de datos, control de registros y auditoria de información, que ha llevado proceso para más de un centenar de clientes de carácter oficial y privado durante más de diecisiete años de experiencia en el sector. La experiencia adquirida durante estos años en el manejo de procesamiento de información, nos ha permitido entender la importancia de realizar procesos integrados, aplicando la gestión idónea y permitiendo tener una visión más globalizada y orientada al mejoramiento continuo de los procesos, implementando normatividad estándar de medición de la gestión,. Con el objetivo de optimizar los recursos, satisfacer a nuestros clientes y brindar el mejor servicio. [13] Clasifi cación de la i nf ormación
Esta información se obtuvo de las personas encargadas del manejo de la información de la empresa Digiservices. La clasificación de la información que se maneja tiene en cuenta tres de los atributos de seguridad (confidencialidad, integridad y disponibilidad) y los niveles se explican a continuación:
Confidencialidad.
Reservado de la empresa
Reservado empresas outsorcing
Integridad.
Media: Cambios realizados se pueden recuperar. Pérdidas que se pueden manejar. (Información interna de la empresa)
Alta: Cualquier cambio puede ser perjudicial para la empresa. (Información de las empresas que los contratan)
Disponibilidad.
Baja: Información que puede estar no disponible máximo un día sin causar pérdidas.
Media: Información de la empresa que puede estar no disponible hasta máximo 5 horas en el día sin causar pérdidas
Alta: Información de las empresas las cuales tienen que estar disponible todo el tiempo para su consulta durante un tiempo determinado según el contrato. (Un periodo de tiempo no mayor a 5 horas no puede causar pérdidas)
MCI – Misión Carismática Internacional.
Esta información se obtuvo de una entrevista con el director de Sistemas de esta empresa. Clasifi cación de la i nf ormación
En esta empresa se manejan dos tipos de información que son la administrativa y la ministerial. A continuación se especifica la clasificación de cada uno.
Confidencialidad.
Administrativa.
Alta: Información que solo los cargos más alto tienen acceso. Por ejemplo informes gerenciales
Media: Información administrativa a la cual se tiene acceso por roles.
Ministerial
Alta: Información que solo los cargos más alto tienen acceso. Por ejemplo informes financieros
Media: Información personal de los miembros de la iglesia.
Baja: Información pública.
Integridad.
Administrativa
Alta: Información que si se modifica puede ser tener un efecto grave dentro de la empresa. Ejemplo: Cuentas contables.
Media: Información que si se modifica puede ser tener un efecto serio dentro de la empresa. Ejemplo: Información del personal.
Baja: Información que si se modifica no afecta notablemente a la empresa. Ejemplo: Información de reuniones.
Ministerial Media: Información que si se modifica puede tener consecuencias
leves. Baja: Información que si se modifica no es importante.
Disponibilidad.
Administrativa
Alta: La información debe estar disponible todo el tiempo
Media: Puede demorarse hasta máximo 10 horas en tener acceso a la información
Ministerial
Media: Puede demorarse hasta máximo 5 horas en tener acceso a la información
Criterios de valoración de los documentos
Para la valoración de los documentos descritos anteriormente se manejará un modelo reactivo, el tradicional, ya que lo que se busca hacer es un análisis de la información con la que se cuenta hasta este momento [14]. Cada documento está identificado con un código para facilitar el análisis con cada uno de los criterios que se va a tener en cuenta para su valoración:
Contenido informativo (Variedad en la información): En el siguiente cuadro se encuentra un resumen de los niveles de clasificación que se encuentra en cada documento analizado. Lo que se busca es ver las similitudes y las relaciones que se tienen entre estos documentos.
Documento/Niv
0
1
MPSI_ARG
Público
Uso interno
ACI_COL
Público
Uso interno
el
2
Confidencia l Privada
3
4
Secreto Reservada
Clasificada
Público
CDLI_COL
ST-729_COL
Público
C4.1_USA
Público
DoDTCSEC_USA
GSEC_USA
Restringida Semi Privada
Privada l
No
Confidencia
clasificado
l
Público
Público
l Reservada Secreto Secreto
Secreto Altamente
compañía
discreto
sensible
Sensible
Secreto
Top Secret
Secreto
Top Secret
Administrativ
Restringida
QGISCF_AUS
Público
Restringida Protegida
Informació n Investigativ a Confidencia l Confidencia l Confidencia l Secreta
SSCLL_CHI
Reservada Altamente Secreta
Tabla 4. Resumen de diferentes tipos de clasificación de la información.
Súper
Función
Protegido
restricción
confidencia
Propietario
HMGSPF_UK
Sin
Altamente
Uso de la
a
ISC_CAN
l
Confidencia
Información NCSIFSI_USA
Confidencia
Críticas de Fuentes. o
Datación. ¿Cuándo se produjo?
o
Localización en el espacio. ¿Dónde se produjo?
o
Autor. ¿Quién lo produjo?
Top Secret
Documento/Criterio Datación Localización República
Autor
MPSI_ARG
25/07/2005
ACI_COL
01/05/2011
Colombia
CDLI_COL
19/09/2006
Colombia
Aeronáutica Civil
ST-729_COL
05/09/2002
Colombia
Secretaría General de la Alcaldía Mayor de Bogotá D.C.
C4.1_USA
2007
EE UU
IT Governance Institute
DoDTCSEC_USA
26/12/1985
EE UU
Departamento de Defensa
GSEC_USA
28/02/2003
EE UU
SANS Institute. (Susan Fowler)
NCSIFSI_USA
01/02/2004
EE UU
NIST: National Institute of Standards and Technology
HMGSPF_UK
01/05/2011
UK
QGISCF_AUS
01/10/2010
Australia
ISC_CAN
01/02/2005
Canadá
SSCLL_CHI
2007
China
Argentina
Oficina Nacional de Tecnologías de la Información Departamento de Seguridad Informática-Banco de la República
Cabinet Office Queensland Government Chief Information Officer Information Management Branch, Government and Program Support Services Division, Alberta Government Services Human Rights in China
Tabla 5. Datos organizaciones fuentes.
Nivel jerárquico de las administraciones (Organizaciones punteras) Colombia y Estados Unidos son los países de los cuales se tiene más fuentes de información por lo cual a continuación se encuentran los niveles jerárquicos para cada uno de estos países.
País / Nivel
0
Jerárquico SANS Estados
Institute.
Unidos
(Susan Fowler)
Colombia
1 IT Governance Institute Aeronáutica Civil
2
3
NIST: National Institute of
Departamento de
Standards and Technology
Defensa
Secretaría General de la
Departamento de
Alcaldía Mayor de Bogotá
Seguridad Informática-
D.C.
Banco de la República
Tabla 6. Nivel jerárquico organizaciones.
Los criterios anteriores se tuvieron en cuenta para determinar los niveles de clasificación de la información que mejor se adapte a las empresas Colombianas, los cuales serán los que se
utilicen en la guía metodológica que se está desarrollando para apoyar a las empresas MiPyMEs Colombianas en la toma de decisión para la migración a la nube pública.
Pública
•
Uso Interno
•
Privada
•
Reservada / Secreta
•
Altamente reservada / Súper Secreta
•
Información que está disponible para cualquier persona interesada Información que está disponible para los empleados de la empresa Información que sólo estará disponible para personas autorizadas Información que debido a su nivel de sensibilidad tendrá un grado más alto en seguridad Información de alta importancia que sólo podrá ser accedida por los altos mandos de la empresa
Ilustración 2. Niveles de Clasificación de la información propuesta.
En la siguiente tabla se especifica cada uno de los niveles teniendo en cuenta los tres atributos de calidad (Confidencialidad, Integridad y Disponibilidad). Se debe aclara que esto es un ejemplo de cómo se podría llenar esa información, ya que dentro de cada cuadro puedan haber diferentes características debido a que esto puede cambiar para cada tipo de activo de información y de los objetivos del negocios. Por lo tanto cada organización debe definir cada una de las relaciones (Nivel de clasificación – atributo de calidad) dependiendo del activo de información y del proceso con el que se relacione dicho activo. En cuanto a la disponibilidad, no es lo mismo que una información necesaria no esté disponible por una hora o un día o un mes. Puede que una hora de no disponibilidad sea
irrelevante, mientras que un día sin esa información ya podría causar un daño moderado; pero si no está disponible por un mes ya puede causar problemas más serios. No existe proporcionalidad entre el tiempo en que no está disponible y las consecuencias. [MAGERIT_ESP]
Ni vel /
Confidencialidad
Atributos Pública
Integridad
* Se puede reparar
* N/A
fácilmente
Disponibilidad
* N/A * Durante un periodo de
Uso Interno
*Acceso para empleados
* Se puede reparar
tiempo no menor a una
dejando algunas pérdidas
semana podría causar pérdidas significativas
* Solo puede ser accedida por Privada
* Durante un periodo de
grupos específicos de usuarios
* Puede dejar pérdidas
tiempo no menor a dos o
autorizados por alguna
significativas
tres días podría causar
autoridad dentro de la empresa
pérdidas significativas * Durante un periodo de
Reservada
* Acceso para personas con posiciones específicas
* Causa grandes daños
tiempo no menor a un día podría causar pérdidas significativas
* Información de alta Altamente Reservada
importancia que solo puede ser
* No se puede reparar
accedida por personas que
ocasionando grandes
ejerzan cargos de alto rango
pérdidas
dentro de la empresa Tabla 7. Ejemplo detalle clasificación de la información
* Durante un periodo de tiempo no menor a una hora podría causar pérdidas significativas
Referencias
[1] Modelo de Política de Seguridad de la Información para Organismos de la administración Pública Nacional, Versión 1. Julio 2005. Disponible en: http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf [2] Departamento de Seguridad Informática, Dirección General de T ecnología. Banco de la República. Actualización Clasificación Información para Efectos de Aseguramiento de la Misma. Mayo 2011. [3] Aeronáutica Civil. Clasificación de la Información (Normas) versión 2.0. 19 septiembre 2006. [4] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903 [5] IT Governance Institute. Cobit 4.1. 2007 Disponible en: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
[6] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense. Library N° S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov.
[7] Susan Fowler. Información de la Clasificación – Quién, Por qué y Cómo. 2003. GIAC Security Essentials Certification (GSEC). SANS Institute. [8] Normas para la Clasificación de Seguridad de Información Federal y Sistemas de Información. Febrero 2004. NIST: National Institute of Standards and Technology [9] Cabinet Office. HMG Security Policy Framework. Mayo 2011. [10] Queensland Government Chief Information Officer . Queensland Government information Security Classification Framework. Octubre 2010 [11] Information Management Branch, Government and Program Support Services Division, Alberta Government Services. Information Security Classification. Febrero 2005.
