Seguridad: Clasificación de información para su protección

De
Hooola! Medio año ha pasado desde la última vez que nos leímos y lo peor no es el tiempo sino el tema que tratamos, algo que nada tiene que ver con seguridad (la entrada fue un simple saludo de fin de año. Que mal Joel, que poca dedicación a este blog).

Para comenzar este año con buen pie (jaja) les traigo un articulo bien interesante, que trata sobre la información y su protección. Pero antes de entrar en el mundo de la seguridad, les quiero contar que este año ha sido genial, por lo proyectos materializados, los que están por materializarse y toda la nueva responsabilidad que tengo en mi trabajo, es bastante, algunas veces me vuelve loco pero me gusta mi nuevo rol.


Aunque en este blog hemos hablado de la seguridad en general, mi foco siempre ha sido la información y los controles que ayudan a protegerla, pero 

¿Realmente sabemos que es la información?

La Wikipedia define a la información como:
"Un conjunto organizado de datos procesados, que constituyen un mensaje que cambie el estado de conocimiento del sujeto o sistema que recibe dicho mensaje."
Esta definición, simple como me gusta, nos ayuda a identificar que uno o varios datos por si solo no se podría considerar como información, pero un conjunto organizado de estos y con contexto si.

Ejemplo: Si les presento este número 1989 sin ningún otro contexto estamos ante la presencia de un dato (les podría dar muchos otros número y seguirían siendo datos), pero si además les digo que es el año en el que mi hermano nació, eso si es información (Además del hecho de que tengo un hermano).

La información nos puede proveer de conocimiento útil para obtener dinero, ejecutar procesos en nuestro trabajo o simplemente para vivir (hasta los semáforos no dan información que ayudan a evitar accidentes).  Por ello:
La información es considerada como un activo, porque tiene un valor.
El valor de la información es directamente proporcional a su utilidad, y entre mas útil sea esta, entre mas cosas nos habilite hacer, mayor será el deseo de las personas por obtenerla y de ahí la razón de protegerla, de ahí la razón de la existencia de seguridad de la información.

Protección de la información

El valor que tiene el año de nacimiento de una persona cambia cuando pasa de ser un año a identificarse como la clave para hacer operaciones bancarias y por ello debe recibir un tratamiento/protección diferente.

Como anteriormente hemos conversado, los controles que queramos desarrollar para la protección de la información dependerá de los riesgo a los que estén expuesto (esto aplica para cualquier activo), y como puede existir tanta información como nuestra mente nos permita imaginar, existen métodos o procesos que nos ayudarán a hacer un mejor trabajo en este sentido.

En términos generales tenemos que saber qué queremos o debemos proteger, saber dodón está esa información, debemos aplicar los controles y por supuesto constantemente revisar si todo lo que estamos haciendo está cónsono con nuestra estrategia de atención de riesgo.

  • Clasificar


La clasificación de la información suele estar intrínsecamente relacionada a los riesgo que represente su exposición y que tan restringido debe estar su acceso, así como las regulaciones que nos impacten, ya sea porque con ella un igual podría tener ventaja competitiva, nos podrían estafar, romper con la continuidad de nuestras operaciones o simplemente multar.

En base a lo anterior un ejemplo de clasificación podría ser:
  1. Confidencial: Información con máximo nivel de restricción de acceso y mayor protección, es decir la información mas crítica y con el mayor grado de secretismo que podamos tener. Ejemplo: Claves de accesos a sistemas críticos, monto de salarios, procedimientos críticos de seguridad, entre otros.
  2. Sensible: Información a la cual se debe limitar el acceso pero no requiere el mayor nivel de protección, esta información también la podríamos llamar privada o de uso restringido. Ejemplo: Datos de Identificación de un Personal (PII en ingles) como número de cédula, dirección, fecha de nacimiento, etc, u otra información que no debería ser de acceso libre.
  3. Pública: Información de libre acceso. Información que por su nivel mínimo o nulo de riesgo puede ser vista por todos. Ejemplo: Leyes de transito, manuales de dispositivos, etc...
Una norma o estándar de clasificación de información suele estar atada a controles mínimos que se deben aplicar en base al riesgo asociado (todo tiene que ver con riesgo). En donde la información pública no necesita ningún tipo de protección.
  • Identificar
Una vez que sabemos como clasificar la información (algo muy importante) debemos saber donde se encuentra nuestra información y etiquetarla para realizar un adecuado monitorio de su control.

Resultado de imagen para lupa archivos datos

Hay sistemas que te ayudan a etiquetar la información según las características de clasificación o se puede realizar de manera manual cada vez que la información se almacena de forma física o digital.

Ejemplo
- Sistemas que hace búsqueda en base de datos y carpetas electrónica de cédula de identidad y lo etiqueta como sensible. Este dato según regulaciones podría tener un mayor grado de control, por ejemplo en Chile el número de identidad o RUT es prácticamente de libre uso mientras que en EEUU o la unión europea es secreto y tiene un gran grado de protección.
- De manera manual cada vez que una persona mandan un correo debe asegurar de etiquetar que tipo de información esta mandando o cuando la almacenan o imprimen.
  • Proteger
En esta etapa sabemos como se clasifica nuestra información y en donde se encuentra, por lo que debemos realizar las gestiones para protegerla, es decir controlar su acceso y distribución.

Resultado de imagen para proteger la información

En este apartado no me voy a detener mucho ya que tiene que ver mas con el diseño de controles, solo dejaré claro que dependiendo del tipo de información la normas nos indicará que controles mínimos debemos tener.

Ejemplo:
- La información confidencial y sensible debe tener controlado su acceso, como con usuarios y contraseña y además cifrar su almacenamiento y el canal de comunicación para que una persona no autorizada no la pueda interpretarla.
- La información pública no requiere ningún control ya que es de libre acceso.
  • Revisar
Para terminar, siempre debemos tener en cuenta este paso. El proceso para proteger la información es iterativo ya que las cosas pueden cambiar de un momento a otro. La norma de clasificación de información puede cambiar en base a una estrategia de negocio o una regulación nueva y con ello puede cambiar la necesidad de controlar el acceso a la información que manejamos.

Esta etapa es para que no olvidemos que frecuentemente debemos revisar si existe algún cambio que afecte al nivel de control que debemos tener sobre la información y asi aplicar los cambios necesario al resto de nuestra etapa.

Clasificar  Identificar ➜ Proteger

Espero que este articulo les haya ayudado a establecer algunos criterios para proteger la información y entender la importancia de su clasificación para poder cumplir con dicho objetivo.

Nos leemos en el próximo articulo, espero no sea dentro de seis meses. 

Comentarios

Publicar un comentario