Monday, February 06, 2012

Clasificación de datos en un sistema de gestión de seguridad de la Información


Paso 1: Establecer las clases de seguridad 
Un ejemplo es la clasificación de confidencialidad de acuerdo a InfoSiG (Limitada, confidencial, secreto, Top secret). También existen clasificaciones según su propia definición:
  • ABIERTO: La información que ha sido expresamente aprobada para su publicación (por ejemplo, leyes, Reglamento, comunicados de prensa, publicaciones, folletos promociónales, página web)
  • CONFIDENCIAL: Información para el uso interno de la empresa y no existe  la intención de su publicación (por ejemplo, la correspondencia interna, directorios telefónicos internos , organigramas)
  • SECRETO: La información cuya utilización indebida de la organización pueda causar daños significativos. (Por ejemplo, datos sobre ofertas, costos internos, planificación estratégica, ...)
La Disponibilidad de Sistemas y Aplicaciones también se pueden clasificar  en diferentes categorías según sus esquemas de operación 
  1. Sin Precaución:  La falta de acceso por  un período indefinido no afectará el desempeño de las operaciones fundamentales (no crítico) 
  2. Aseguramiento cuando no hay conexión: Medidas de seguridad, servicios contratados externamente, Reinicio de la aplicación después de la reparación de los daños del sistema original.
  3. Infraestructura redundante:  En el caso de que un dispositivo falle hay continuidad del servicio o la operación sin interrupción.
  4. Redundancia en el lugar de Ubicación: redundancia de la infraestructura, sistemas y aplicaciones para reanudar el funcionamiento total en caso de una interrupción
Paso 2: Definir las responsabilidades y Métodos
  • ¿Quién es responsable de la clasificación?
  • ¿Cuáles son los criterios para clasificar?
  • ¿Cuándo y por quién van a ser desclasificados los datos?
Paso 3: Reglas para tratar Información clasificada
  • Identificación de la información clasificada (electrónica o no electrónica) 
  • Almacenamiento de información clasificada ( Permisos de acceso y algunos  requisitos para aplicar Criptografía)
  • Transmisión de información clasificada (Sobre que canales de comunicación,   las reglas de cifrado)
  • Forma en que se presenta la información clasificada (Archivos de solo lectura, permisos de modificación o impresión, a quien se le conceden tales permisos y a quien se le restringen)
  • Copia de seguridad (texto, cifrados, la protección de los dispositivos donde se almacenan las copias de seguridad)
  • Almacenamiento / recuperación / destrucción de los discos con información clasificada
  • Divulgación de información clasificada (de quién, por quién, en qué condiciones) 
  • Desclasificación de la información clasificada (cuándo, por quién)

Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos. 
Post a Comment