difusión sin control no genera un daño grave para la empresa.Si se difunde sin control o se hace pública, genera un daño bajo para la empresa, financiera/económicamente, o en su imagen.Para su gestión, comúnmente se acepta:Acceso libre para los empleados o personal interno de la empresa.Ejemplo: circulares internas, políticas de diversos aspectos, material formativo, etc.
3 Público:La no disponibilidad no tiene ninguna consecuencia.Su difusión no genera ningún daño ni pérdida a la empresa, ni económicamente, ni en su imagen.Para su gestión, comúnmente se acepta:Esta información debe ser calificada expresamente para difusión pública, o por el área o responsable de comunicación de la empresa, o por el área de marketing, si se trata de información comercial.Ejemplo: notas de prensa, presentaciones comerciales, catálogos de productos o servicios, publicidad comercial, etc.
Nota
Ejemplos de informaciones concretas que pueden intervenir en un proceso son: bases de datos o un conjunto de formularios/registros impresos, correos electrónicos o correspondencia impresa, documentos digitales o impresos, imágenes digitales o impresas, código fuente de programas, etc.
Actividades
5. Piense ejemplos de información confidencial, interna, y pública que podría encontrar en un despacho de abogados.
A continuación, se exponen indicaciones habituales que ayudarán a determinar los requisitos de seguridad de la información en sus 3 dimensiones habituales. En líneas generales, el nivel viene dado por el daño que una degradación de una propiedad genera en la empresa.
Confidencialidad
La confidencialidad está relacionada con la autorización de difusión. Una difusión no autorizada puede presentar un daño mayor o menor. Dependiendo de este daño, se categoriza la confidencialidad de la información en:
Requerimientos de confidencialidad para la información | |
Nivel alto | Información confidencial, muy sensible o privada, de máximo valor para la empresa, y autorizada a ser accesible solo a individuos concretos reconocidos. La difusión no autorizada tendría un impacto grave/desastroso, por ejemplo por las repercusiones legales, por la pérdida económica derivada, por la ventaja concedida a la competencia, o por la pérdida de imagen. |
Nivel medio | Información interna, propiedad de la empresa, que no debe tener difusión pública. Un incidente de seguridad tendría un impacto moderado. |
Nivel bajo | Información pública, no sensible, dispuesta para difusión pública. Una difusión no autorizada no debería tener ningún daño, o este sería muy bajo. |
Por ejemplo, puede tener nivel de confidencialidad alto la documentación de una estrategia de marketing, la información de un proceso de adquisición empresarial, o la información de precios ofrecidos a un cliente. Puede tener un nivel de confidencialidad medio un directorio telefónico, o un organigrama de la empresa. Habitualmente, tendrán confidencialidad baja las notas de prensa, o la información publicada en la web de la empresa.
Recuerde
La información clasificada como pública debe ser calificada expresamente para difusión pública, o por el área o responsable de comunicación de la empresa, o por el área de marketing, si se trata de información comercial
Integridad
La integridad se refiere a la completitud y exactitud de la información. La integridad se pierde cuando se realizan cambios no autorizados. Los criterios para determinar los requisitos de integridad de la información, podrían ser como los siguientes:
Requerimientos de integridad para la información | |
Nivel alto | No puede existir ninguna degradación de la integridad. La degradación tiene un impacto grave/desastroso. |
Nivel medio | Una degradación de la información, bien en su completitud o en su precisión, o en ambos, tendría un impacto moderado. |
Nivel bajo | La completitud o precisión de la información puede degradarse con un impacto ninguno/bajo en el proceso. |
Disponibilidad
La disponibilidad se refiere a que la información esté disponible cuando se necesite. Los criterios para determinar los requisitos de disponibilidad de la información podrían ser como los siguientes. Los periodos indicados son meramente orientativos, y se espera que difieran de una empresa a otra:
Requerimientos de disponibilidad para la información | |
Nivel alto | La información se necesita de manera continua, en condiciones de 24x7. La indisponibilidad tiene un impacto grave/desastroso. |
Nivel medio | La información puede no estar disponible por un periodo de uno o dos días. La indisponibilidad tiene un impacto moderado. |
Nivel bajo | La información puede no estar disponible por un periodo de hasta 7 días. La indisponibilidad tiene un impacto ninguno/bajo. |
Actividades
6. Clasifique la siguiente información del proceso de venta de libros de una librería, y valore justificadamente sus requisitos de seguridad:
1 Base de datos con direcciones de domicilios, teléfonos e histórico de compras de clientes, categorizados por intereses o aficiones.
2 Inventario.
3.3. Valoración de los procesos a partir de sus componentes
El apartado anterior da un enfoque sencillo para evaluar los requisitos de seguridad de un proceso, haciéndolos coincidir con los requisitos de su información resultante.
Como ya se mencionó, en ocasiones esto no será posible o conveniente. En estos casos pueden determinarse los requisitos de seguridad del proceso a partir de los requisitos de seguridad de sus componentes. Si se recuerda, un proceso puede observarse como la combinación de unas personas, una información de entrada, y unos sistemas de procesamiento para generar una información de salida.
Los requisitos de seguridad para los procesos pueden observarse entonces como una combinación de los requisitos de seguridad de las personas, de los sistemas, y de la información que intervenga.
A la hora de agregar los requisitos de los componentes, existen varias opciones. Por ejemplo, si la valoración es cuantitativa, pueden sumarse los niveles en cada dimensión; si la valoración es cualitativa, también pueden sumarse, estableciendo unas normas previas (dos niveles bajo equivalen a un nivel moderado, o dos niveles graves equivalen a un desastroso).
Una opción sencilla cuando se realizan valoraciones cualitativas, es emplear para el proceso el nivel máximo de sus componentes; tanto para la C, como para la I y la A. Por ejemplo, en un proceso en el que intervenga una información con requisitos (M, M, B), un sistema hardware con requisitos (M, A, B), y una persona con requisitos CIA de valores (A, M, B), se podría tener una clasificación de seguridad para el proceso de (A, A, B).
Cada elemento va añadiendo sus requisitos CIA según se asciende hasta el proceso final. Si las relaciones que