09 enero 2008

Clasificación de la información

Hoy sigo con la serie de post acerca de aspectos prácticos de un SGSI, y le toca el turno a la clasificación de la información. Es, posiblemente, uno de los aspectos más delicados de un SGSI, y teniendo en cuenta que debe ser uno de sus pilares, hacer un buen trabajo en este campo nos puede condicionar mucho el éxito del resultado final.

Lo primero que tenemos que pensar es én base a qué dimensiones queremos clasificar la información. Es habitual una clasificación basada en la confidencialidad, pero quizás puede ser conveniente tener en cuenta también la disponibilidad, la integridad o su trazabilidad (de los accesos a ella o de su tratamiento). El objetivo es tener las mínimas dimensiones posibles pero sin que la reducción nos obligue a perder criterios. ¿Es importante para mi negocio saber quién ha accedido a un campo de una base de datos (tanto desde el punto de vista de "negocio" puro como desde el punto de vista de exigencias legales, contractuales o de imagen)? ¿Tenemos con cierta información necesidades específicas de integridad de datos (por ejemplo, en máquinas de control numérico o en una casa de subastas on-line)? ¿Es clave que la información de nuestra web esté disponible, siendo una empresa de venta por internet?

Una vez que tenemos claras las dimensiones que tenemos que tener en cuenta, tenemos que ver el rango que queremos usar. El mínimo en cada dimensión es 2 (podríamos denominarlos como necesidad "normal" y necesidad "especial"), y el máximo el que queramos, pero lo mejor es ir al mínimo (quizás ampliar el rango en la dimensión de confidencialidad a 3 niveles puede ser aceptable), porque luego tendremos que parametrizar cada umbral.

Y a partir de ahí, establecer los criterios para cada umbral. Aquí viene lo difícil, porque deben ser criterios "a priori". No me vale decir que toda la información que está en la web debe ser pública (mínima confidencialidad), porque... ¿Cuál es la información que puedo colgar en la web? ¿Cuál es la que debe recibir esa categoría de pública? Lo que necesito saber es, precisamente, cuál es la información que debo colgar en la web porque es pública... Un criterio podría ser, por ejemplo, que lo sea toda la información comercial que genera la empresa (datasheets, marketing, etc.). A partir de ahí, cuál es la información privada (confidencialidad media)? Por ejemplo, toda aquella que no sea ni pública ni confidencial. Y entonces, qué información debe ser confidencial (confidencialidad máxima)? Pongamos que toda aquella información que sólo debe ser conocida por la persona que la genera u obtiene (por ejemplo, claves de acceso). Ya tendríamos el criterio para clasificar toda la información de la empresa en la dimensión de confidencialidad. Y deberíamos hacer lo mismo con el resto de las dimensiones que hayamos elegido.

Y para qué sirve esto? Sencillamente, para habilitar con lógica los controles de seguridad. La "intensidad" de un control, o el número de controles a aplicar sobre cada activo, dependerá de la clasificación de la información asociada a él (por éso hablamos de SGSI y no de SGS). No vamos a establecer controles de cifrado para información pública, pero sin embargo sí que podría ser conveniente usarlos para información confidencial. Y si tenemos información con especiales necesidades de disponibilidad nos tendremos que plantear la posibilidad de que esté redundada y en alta disponibilidad, por ejemplo.

En definitiva, la clasificación de la información debe ser el criterio de base que guíe nuestra aplicación de controles de seguridad de esa información, y tendremos que aplicar mayores controles cuanto mayor sea la necesidad de seguridad. Sin embargo, con un análisis de riesgos bien hecho puede que no haya mayores problemas en este apartado, ya que si hemos hecho los deberes correctamente no sólo tendremos ya esos niveles establecidos numéricamente, sino que los criterios de clasificación ya los habremos tenido en cuenta para asignar la numeración, y la única tarea será pulir esos criterios para que queden redondos.

5 comentarios:

Malcom dijo...

El artículo trata los niveles de confidencialidad. Me gustaría saber si existen unos estándares de niveles de disponibilidad e integridad.
Se me ocurre para disponibilidad (muy crítico, crítico, operativo, soporte, por ejemplo).
Para la integridad no se me ocurre nada (quizás algo que exprese el grado de "sensibilidad" o "criticidad")
¿Qué opinan?

Anónimo dijo...

Criterios sugeridos q se pueden utilizar:

* El nivel de daño que podría causar la información, si ésta es revelada o robada
*El nivel de daño que podría cuasar la información, si es alterada o está corrupta
*¿Quién deberá darle mantenimiento a la información?
*¿En donde deberá de resguardarse esta información?
*¿Quién deberá tener la responsabilidad de reproducir la información?
*¿Qué información requiera de una etiqueta y marca especial?

Joseba Enjuto dijo...

Que yo sepa no hay ningún estándar que defina niveles de confidencialidad, al menos en general. Siempre se pueden intentar utilizar como referencia las leyes sobre secretos oficiales, por ejemplo, pero normalmente no es demasiado útil. El sentido común es el mejor consejero en este ámbito.

Y respecto al segundo comentario, efectivamente los criterios que figuran sí que pueden ser útiles, sobre todo porque son criterios de valoración de la información, que al fin y al cabo es uno de los medios más sencillos para determinar esos umbrales de clasificación.

Anónimo dijo...

Quien esta autorizado para cambiar la clasificacion de la informacion en un SGSI?

Anónimo dijo...

Sensibilidad y Criticidad tiene su equivalencia en Confidencialidad, Integridad y Disponibilidad. Son terminos diferentes pero asociados:

Sensibilidad = Confidencialidad
Criticidad = Integridad + Disponibilidad

Terminos usados por ISACA y por otro lado por los españoles...

Saludos,

JCR