Читать книгу Seguridad en equipos informáticos. IFCT0510 - José Francisco Giménez Albacete - Страница 28
3.2. Valoración CIA de la información
ОглавлениеNo toda la información tiene la misma importancia en una empresa. En consecuencia, es necesario clasificarla, valorándola según diferentes aspectos, para posteriormente asignar unos recursos u otros a su protección.
El responsable de clasificar la información es su propietario. En general, esta clasificación debe revisarse, al menos anualmente. Para dicha clasificación, puede ayudar exponer a los propietarios que la información:
1 Es un elemento concreto, definido, independiente de cómo se almacena o conserva.
2 Es valiosa para la empresa, y no se puede reemplazar sin coste, esfuerzo, tiempo, u otros recursos.
3 Forma parte de la empresa, sin ella la empresa sufre un daño.
Desde la perspectiva de la seguridad la información se clasifica en:
1 Confidencial:Su difusión sin control supone incumplimientos legales.Su difusión sin control supone incumplimientos de las normativas o reglamentos a los que la empresa se sujeta.Si se difunde sin control o se hace pública, genera un daño grave/desastroso para la empresa, financiera/económicamente o en su imagen.Para su gestión, son recomendaciones básicas comúnmente aceptadas:El acceso a esta información debe hacerse siempre en base a la “necesidad de conocer”. Nota: los permisos de acceso a la información, deben concederse a personas exclusivamente, basándose en la necesidad de conocer por sus funciones. De lo anterior, se deduce que una persona solo tendrá acceso al mínimo conjunto de información que necesite para realizar su trabajo.La difusión de la información requiere siempre de la autorización del propietario, normalmente el responsable o jefe del área o departamento donde se ejecuta el proceso.La difusión a terceros exige siempre un acuerdo de confidencialidad firmado, previo al acceso.Ejemplo: contratos con clientes, datos de carácter personal según la legislación nacional de protección de los individuos aplicable, información sobre nuevos productos o servicios, información contable, etc.
2 Interna:Su difusión sin control no genera un daño grave para la empresa.Si se difunde sin control o se hace pública, genera un daño bajo para la empresa, financiera/económicamente, o en su imagen.Para su gestión, comúnmente se acepta:Acceso libre para los empleados o personal interno de la empresa.Ejemplo: circulares internas, políticas de diversos aspectos, material formativo, etc.
3 Público:La no disponibilidad no tiene ninguna consecuencia.Su difusión no genera ningún daño ni pérdida a la empresa, ni económicamente, ni en su imagen.Para su gestión, comúnmente se acepta:Esta información debe ser calificada expresamente para difusión pública, o por el área o responsable de comunicación de la empresa, o por el área de marketing, si se trata de información comercial.Ejemplo: notas de prensa, presentaciones comerciales, catálogos de productos o servicios, publicidad comercial, etc.
Nota
Ejemplos de informaciones concretas que pueden intervenir en un proceso son: bases de datos o un conjunto de formularios/registros impresos, correos electrónicos o correspondencia impresa, documentos digitales o impresos, imágenes digitales o impresas, código fuente de programas, etc.
Actividades
5. Piense ejemplos de información confidencial, interna, y pública que podría encontrar en un despacho de abogados.
A continuación, se exponen indicaciones habituales que ayudarán a determinar los requisitos de seguridad de la información en sus 3 dimensiones habituales. En líneas generales, el nivel viene dado por el daño que una degradación de una propiedad genera en la empresa.
Confidencialidad
La confidencialidad está relacionada con la autorización de difusión. Una difusión no autorizada puede presentar un daño mayor o menor. Dependiendo de este daño, se categoriza la confidencialidad de la información en:
| Requerimientos de confidencialidad para la información | |
| Nivel alto | Información confidencial, muy sensible o privada, de máximo valor para la empresa, y autorizada a ser accesible solo a individuos concretos reconocidos. La difusión no autorizada tendría un impacto grave/desastroso, por ejemplo por las repercusiones legales, por la pérdida económica derivada, por la ventaja concedida a la competencia, o por la pérdida de imagen. |
| Nivel medio | Información interna, propiedad de la empresa, que no debe tener difusión pública. Un incidente de seguridad tendría un impacto moderado. |
| Nivel bajo | Información pública, no sensible, dispuesta para difusión pública. Una difusión no autorizada no debería tener ningún daño, o este sería muy bajo. |
Por ejemplo, puede tener nivel de confidencialidad alto la documentación de una estrategia de marketing, la información de un proceso de adquisición empresarial, o la información de precios ofrecidos a un cliente. Puede tener un nivel de confidencialidad medio un directorio telefónico, o un organigrama de la empresa. Habitualmente, tendrán confidencialidad baja las notas de prensa, o la información publicada en la web de la empresa.
Recuerde
La información clasificada como pública debe ser calificada expresamente para difusión pública, o por el área o responsable de comunicación de la empresa, o por el área de marketing, si se trata de información comercial
Integridad
La integridad se refiere a la completitud y exactitud de la información. La integridad se pierde cuando se realizan cambios no autorizados. Los criterios para determinar los requisitos de integridad de la información, podrían ser como los siguientes:
| Requerimientos de integridad para la información | |
| Nivel alto | No puede existir ninguna degradación de la integridad. La degradación tiene un impacto grave/desastroso. |
| Nivel medio | Una degradación de la información, bien en su completitud o en su precisión, o en ambos, tendría un impacto moderado. |
| Nivel bajo | La completitud o precisión de la información puede degradarse con un impacto ninguno/bajo en el proceso. |
Disponibilidad
La disponibilidad se refiere a que la información esté disponible cuando se necesite. Los criterios para determinar los requisitos de disponibilidad de la información podrían ser como los siguientes. Los periodos indicados son meramente orientativos, y se espera que difieran de una empresa a otra:
| Requerimientos de disponibilidad para la información | |
| Nivel alto | La información se necesita de manera continua, en condiciones de 24x7. La indisponibilidad tiene un impacto grave/desastroso. |
| Nivel medio | La información puede no estar disponible por un periodo de uno o dos días. La indisponibilidad tiene un impacto moderado. |
| Nivel bajo | La información puede no estar disponible por un periodo de hasta 7 días. La indisponibilidad tiene un impacto ninguno/bajo. |
Actividades
6. Clasifique la siguiente información del proceso de venta de libros de una librería, y valore justificadamente sus requisitos de seguridad:
1 Base de datos con direcciones de domicilios, teléfonos e histórico de compras de clientes, categorizados por intereses o aficiones.
2 Inventario.
