Establecimiento de un sistema de clasificación de la información

Para comenzar a hablar de clasificación de la información podemos plantearnos la siguiente pregunta: ¿qué daño ocasionaría a mi Organización que se revelase hacia el exterior una parte de la información utilizada?. La respuesta estará condicionada por cuál ha sido exactamente la información que se ha visto comprometida; por ejemplo, no tiene la misma importancia la información sobre el desarrollo de un nuevo producto que la relativa a productos ya comercializados.

A nivel organizativo también nos podríamos plantear si cualquier trabajador debería poder acceder a toda la información de la Organización. En este caso, dependerá del puesto ocupado por el trabajador en cuestión.

Del mismo modo, nos podríamos preguntar qué ocurriría si en un momento determinado no puedo acceder a determinada información dentro de la Organización. La respuesta sería que “depende de para qué necesite esa información, ¿es urgente?, ¿la reclama un cliente?…”

En casi todas las respuestas anteriores se encuentra el factor depende: “depende de qué información se revele”, “depende del puesto que ocupe el trabajador”, “depende de para qué necesite la información”… Una solución para tratar de acotar este “depende” puede consistir en el diseño de un sistema de clasificación de la información mediante el cual se asignen diferentes niveles de  privacidad a la misma. Este sistema deberá servir para determinar qué información es necesario proteger, qué mecanismos de protección establecer en función de su nivel de privacidad, qué información debe estar siempre disponible, quién puede tener acceso a cada tipo de información, dónde y cómo almacenar la información, qué mecanismos de transmision establecer, etc.

En la actualidad, normas internacionalmente reconocidas como ISO/IEC 27001 recogen como requisito para su cumplimiento el establecimiento de un sistema de clasificación de la información que además defina la forma en la cual manejaremos la información en función de su clasificación.

Llegados a este punto, ¿cómo se puede establecer un adecuado sistema de clasificación de la información?. Como siempre la solución debe ser adaptada a cada necesidad, es decir, a cada Organización, de tal forma que el sistema implantado cubra nuestras necesidades sin llegar a ser tan complejo que deje de ser operativo.

Por ejemplo, de forma simplificada, podemos seguir las siguientes etapas para establecer un sistema de clasificación de la información:

  • Realizar un inventario de toda la información manejada en la Organización.
  • Establecer varios niveles de clasificación de la información. Como ejemplo, un sencillo sistema de clasificación podría contemplar los siguientes niveles:
    • Información Pública: Información que puede ser distribuida al público en general a través de canales controlados por la Organización.
    • Información restringida: Información destinada al uso exclusivo por parte de los empleados de la Organización en el desarrollo de los procesos del negocio.
    • Información Confidencial: Información que, en caso de ser divulgada, podría violar la privacidad de personas u otro incumplimiento legal, reducir la ventaja competitiva o causar un daño significativo al negocio o la imagen de la Organización.
  • Establecidos los niveles de clasificación, el siguiente paso consistirá en asignar un nivel a cada tipo de información (en el ejemplo anterior sería pública, restringida o confidencial). Para ello se deben tener en cuenta factores como el valor de la información para la Organización, si el hecho de que se revele esa información origina algún incumplimiento legal, etc.
  • Establecer las condiciones de etiquetado y manipulado de la información. Para cada nivel de clasificación debemos establecer aspectos como los siguientes: quién tiene acceso a la información dentro de la Organización; cómo se etiqueta la información; en el caso de que fuese necesario distribuir la información qué mecanismos se emplearían (correo ordinario, mensajería, correo electrónico…); dónde se almacena la información y en qué condiciones (bajo llave o no en el caso de almacenamiento físico, con control de acceso mediante usuario y contraseña si está informatizada la información…); manejo de la información en lugares públicos donde pueda ser escuchada , vista o leída por terceras personas, etc.
  • Por último, con el paso del tiempo la información puede cambiar de nivel (por ejemplo, de restringido a público) por lo que este sistema se debe revisar periódicamente para mantener correctamente clasificada toda la información de la Organización.

Podemos concluir resumiendo que un sistema de clasificación de la información nos aportaría lo siguiente:

  • Permite conocer la información que utiliza al Organización.
  • Permite asignar distintos niveles de privacidad en función del tipo de información.
  • Permite asignar permisos de acceso a la información según el tipo de trabajador.
  • Establece mecanismos de protección de la información en función de su nivel de privacidad.
  • Establece mecanismos aceptables de transmisión de la información tanto en las comunicaciones internas como externas.
  • Es una garantía hacia terceros del correcto manejo de la información que les afecta.
2010
02/11
Escrito por
Categoría
Seguridad de la Informacion
TAGS



Write comment

Seguridad de la información e Innovación

Viendo las presentaciones de los equipos de Formula 1 para este año 2010 observo que persiguen, al menos, un doble propósito difícil de compatibilizar: en primer lugar cumplir con las exigencias de los patrocinadores mostrando el producto con la marca patrocinada bien visible y, en segundo lugar, ocultar toda la información técnica posible que pueda resultar relevante para la competición. Es importante destacar que la competición comienza dentro de apenas un mes y medio por lo que cuanto más se tarde en mostrar las cartas menos margen de maniobra se deja a los rivales para trasladar las innovaciones a su producto.

Ante este hecho nos encontramos con los equipos retrasando al máximo la presentación de sus monoplazas, o no permitiendo el acceso de fotógrafos, con el fin de no desvelar aspectos técnicos relevantes del producto. Como vemos, al final se trata de gestionar la información asegurando su confidencialidad para que la competencia no tenga acceso a la misma.

Trasladando lo anterior (deporte?) al mundo de la empresa (generalmente igual de competitivo), y teniendo en cuenta que una buena estrategia de innovación puede ser el camino para que una Organización obtenga y pueda mantener su ventaja competitiva en el mercado, cada vez adquiere un papel más relevante el hecho de tratar de asegurar la información durante todo el proceso innovador.

En España, normas como la UNE 166002 (Gestión de la I+D+i: Requisitos de un sistema de Gestión de la I+D+i) recogen como una de las actividades de I+D+i (Investigación, Desarrollo e Innovación) la Protección y explotación de los resultados de las actividades de I+D+i. Esto conlleva el siguiente planteamiento: ¿es necesario proteger “sólo los resultados” de las actividades de innovación?. La respuesta es que parece que en el contexto actual no llegaría simplemente con proteger el resultado sino que se debería establecer una gestión de la seguridad de la información para todo el proceso ya que podrían producirse “filtraciones por el camino” que provoquen que un competidor nos tome la delantera y que nuestro resultado de I+D+i no resulte al final tan valioso.

Por tanto, y con el objetivo de rentabilizar los esfuerzos innovadores de la Organización, parece necesario proteger la información de todo el proceso de innovación, es decir, desde que a un trabajador se le ocurre la idea hasta que ésta se materializa en un resultado concreto que le proporcione un valor a la Organización, generalmente a través de su comercialización.

Por otro lado, estándares como ISO 27001 (Sistemas de Gestión de Seguridad de la Información) plantean los requisitos que se deben cumplir para el establecimiento de un sistema de gestión en la Organización que tenga en cuenta la Seguridad de la Información en su conjunto. Tomando como guía este estándar existen una serie de aspectos prácticos que nos pueden interesar a la hora de asegurar la disponibilidad, integridad y confidencilidad de la información empleada en el desarrollo de un proyecto de innovación:

  • Análisis y tratamiento de los riesgos a los cuales se encuentran expuestos los activos que emplearemos para el desarrollo del proyecto innovador: personal, instalaciones, sistemas de información…
  • Establecimiento de acuerdos de confidencialidad con empleados y terceras partes (proveedores, colaboradores, etc).
  • Establecimiento de un sistema de clasificación de la información que contemple varios niveles de confidencialidad en función de su importancia.
  • Delimitación de las funciones y responsabilidades del personal en materia de seguridad de la información.
  • Controles de acceso tanto físico como lógico a instalaciones, equipos e información.
  • Establecimiento de políticas de contraseñas, de intercambio de la información con el exterior, de manejo de equipos portátiles…
  • Procedimientos para la gestión de potenciales incidentes relacionados con la seguridad de la información.
  • Establecimiento de planes de continuidad de negocio que nos permitan proteger la información generada y continuar con la actividad innovadora en caso de desastre.

Teniendo en cuenta que muchos de los incidentes de seguridad en la empresas son provocados por los propios empleados (ya sea de forma voluntaria o involuntaria), el hecho de realizar una adecuada gestión de la seguridad la información para el proceso de innovación podrá evitar muchos contratiempos en este sentido. Dentro de la gravedad que supone cualquier incidente de seguridad, puede resultar realmente catastrófico que ese incidente afecte a la actividad innovadora de la Organización.

Por último, también deberíamos considerar las consecuencias que tendría para la imagen de nuestra Organización que se hiciese público un incidente de seguridad de la información ya que podría llegar a ocurrir que, por ejemplo, nuestros socios en el proyecto innovador dejen de prestarnos su apoyo.

2010
02/01
Escrito por
Categoría
Seguridad de la Informacion
TAGS







2 comentarios

ROSI en las escuelas de negocios

Las escuelas de negocios nos han mostrado la importancia que la rentabilidad de las inversiones tiene para la continuidad de muchas empresas. El ROI (Return On Investment) es nuestra luz sobre dicha rentabilidad, representando el cociente entre el valor añadido que ha generado una inversión y el esfuerzo económico necesario para alcanzar dicha rentabilidad.

En términos del análisis económico, aprendimos a utilizar el ROI para evaluar una empresa en marcha, donde un ROI insuficiente significaría que los inversores pierden dinero y, cuanto más alto sea este, mayor eficacia tiene la empresa en la utilización de su capital para generar valor añadido. Asimismo, el ROI es aplicable en el estudio de cualquier proyecto de inversión. De nuevo un ROI bajo supone un proyecto con elevado riesgo y un ROI alto permite esperar buenas tasas de recuperación del capital invertido en el proyecto.

Pero en el nuevo contexto empresarial esto ya no es suficiente. Nuestro ROI puede ofrecer elevadas tasas de retorno y sin embargo nuestro proyecto caminar al borde del más peligroso de los desfiladeros por motivos de la Seguridad. Y no me refiero solamente a la protección de los datos de carácter personal donde la enorme experiencia de Álvaro Gómez es la mejor guía que podemos tener en este asunto clave, me refiero a la seguridad de la información y las implicaciones que sus incidentes pueden tener sobre los ROI previstos.

En el contexto empresarial se necesita cuantificar y evaluar los proyectos de seguridad al objeto de poder defender este tipo de inversiones en un momento en el que puede no existir la suficiente consciencia de las repercusiones que un incidente de seguridad acarrearía al negocio. Por ello, desde las escuelas de negocios se comienza a estudiar extensamente el ROSI (Return On Security Investment), un indicador que tiene similitudes con el ROI pero fundamentalmente importantes matices diferenciales en cualquiera de los modelos de cálculo que podamos utilizar como el propuesto por SageSecure, A practical quantitative model:


ROSI  =  ((Coste  del riesgo  *  % riesgo mitigado)  –  Inversión en seg. realizada)  /

Inversión en seg. realizada


Mientras el ROI permite analizar la inversión a realizar, el ROSI nos ayudará a evaluar  la adecuación de esta inversión con respecto al nivel de riesgo asumible, aportando  información sobre los ahorros asociados como consecuencia de evitar incidentes de seguridad.

Existen soluciones para gestionar estos riesgos y garantizar las inversiones como la ISO 27001 y Santiago Villaverde nos expone los principios de su metodología a la hora de implantar un plan de continuidad del negocio, ambos factores clave en la obtención de valores adecuados de ROSI y menores incertidumbres sobre el ROI.

2010
01/26
Escrito por
Categoría
Seguridad de la Informacion
Write comment

Gestión de la continuidad: sentando las bases para establecer el Plan de Continuidad del Negocio

Tanto la norma UNE-ISO/IEC 20000 de Tecnología de la Información como la norma UNE-ISO/IEC 27001 de Sistemas de Gestión de Seguridad de la Información hacen referencia a la Gestión de la continuidad, la primera desde el punto de vista del servicio proporcionado al cliente y la segunda desde el punto de vista del negocio propio y de la seguridad de la información. En el fondo, lo que nos plantean estas normas es lo siguiente:

  • Debemos establecer mecanismos que eviten, en la medida de lo posible, las consecuencias sobre la Organización y sobre los servicios prestados por la misma, de un potencial desastre.
  • Debemos tratar de garantizar la pronta recuperación de los servicios tras el desastre.
  • Debemos tratar de conseguir que la seguridad de la información (disponibilidad, integridad y confidencialidad) no se vea comprometida durante el desastre.

Teniendo en cuenta lo anterior, e incluso dejando al margen el hecho de que esté establecido por unas normas internacionalmente reconocidas (ISO), parece lógico tratar de establecer un plan de continuidad de negocio en nuestra Organización que nos permita, al menos, estar preparados para afrontar y mitigar las consecuencias de un posible desastre.

Si bien dependiendo del tipo de Organización (personal, infraestructura, actividad…) el plan de continuidad será diferente en cada caso, podemos establecer unos pasos esenciales que deben contribuir a establecer los cimientos sobre los que se asentará nuestro plan de continuidad de negocio.

En primer lugar debemos determinar los procesos críticos, es decir, aquellos cuya interrupción tendría un mayor impacto en la actividad de la Organización o en la de nuestros clientes. Para llevar a cabo esta tarea puede resultar de gran ayuda identificar primero los activos (entendiendo por activo aquello que tiene valor para la Organización), asignar un valor a dichos activos en función de su importancia para la Organización y realizar un análisis de los riesgos a los cuales se hayan expuestos. Así, de forma general tendrá más valor para una Organización su servidor central que el equipo de un trabajador; por lo tanto, serán más críticos aquellos procesos que dependan directamente del servidor central.

A continuación debemos identificar los tiempos de recuperación de los procesos críticos. En este caso debemos diferenciar y establecer “diferentes tiempos”:

  • Tiempo objetivo de recuperación: o tiempo ideal en el cual deben volver a su funcionamiento los procesos y actividades de la Organización para minimizar las pérdidas.
  • Tiempo máximo de recuperación: tiempo máximo que podemos asumir a partir del cual las pérdidas económicas afectarían de forma grave a la Organización.
  • Tiempo real de recuperación: tiempo de recuperación empleando los medios actuales disponibles por la Organización (lo ideal sería que este tiempo coincidiese con el tiempo objetivo de recuperación ya que en este caso se minimizarían las pérdidas).

Tras determinar los procesos críticos y los tiempos de recuperación, el siguiente paso consistirá en seleccionar las estrategias de recuperación adecuadas para cada proceso crítico. Estas estrategias son muy variadas y dependerán de cada Organización y del coste y el riesgo que puedan o estén dispuestas a asumir. Ejemplos de estrategias de recuperación son la realización de copias de respaldo en un data center, el empleo de discos en espejo, el virtualizado de servidores, restauración de la actividad en otro emplazamiento, etc…

Todo lo que hemos comentado hasta ahora hace referencia a aspectos básicamente técnicos; no obstante, el plan de continuidad también debe contemplar aspectos organizativos como los siguientes:

  • Es necesario delimitar las funciones y responsabilidades de todo el personal durante el desastre.
  • Se deben habilitar puntos de encuentro o de reunión a partir de los cuales se pondrán en marcha todos los mecanismos de recuperación de los procesos.
  • Se deben establecer los medios que se emplearán, durante el desastre, para el contacto con los usuarios y clientes con el fin de mantenerles informados de las interrupciones o degradaciones de servicio.
  • De igual modo, se deben establecer los medios que se emplearán para el contacto con proveedores que puedan colaborar en la recuperación del desastre.
  • Se deben documentar y aprobar los procedimientos y protocolos de recuperación/restauración de los procesos.
  • Se debe proporcionar formación a los trabajadores acerca de cómo actuar durante el desastre.

Definido el plan de continuidad de negocio tanto desde el aspecto técnico como organizativo, será necesario validarlo para alcanzar los siguientes objetivos:

  • Comprobar que realmente son viables las soluciones planificadas para garantizar la continuidad del negocio.
  • Probar la efectividad y los tiempos de respuesta establecidos.
  • Comprobar los procedimientos y protocolos de recuperación establecidos.
  • Concienciar y formar a los trabajadores.

La validación de nuestro plan de continuidad puede llevarse a cabo mediante la realización de un simulacro; puesto que un simulacro completo de desastre puede resultar inviable, una alternativa sería el establecimiento de un calendario de pruebas planificado, siempre y cuando se garantice que se comprueba la efectividad de todo el plan de continuidad.

Por último el plan de continuidad deberá ser revisado, actualizado y validado con una frecuencia determinada que asegure su continua vigencia.

2010
01/25
Escrito por
Categoría
Seguridad de la Informacion
Servicios TI
TAGS


2 comentarios

La Agencia Española de Protección de Datos duplica el número de inspectores para luchar contra la falta de adaptación a la normativa en 2010

Al cumplirse el 10º aniversario de la entrada en vigor de la LOPD, la Agencia de Protección de Datos parece decidida a intensificar su actividad inspectora y sancionadora, y para ello ha reforzado su plantilla con la incorporación de nuevos inspectores. Por lo tanto, durante este año 2010 las empresas y profesionales tendrán que ser más cuidadosos a la hora de cumplir con los principios básicos y el Reglamento de la LOPD.

2010
01/24
Escrito por
Categoría
LOPD
TAGS



1 Comentario

Continuidad del negocio

La gestión de la continuidad del negocio es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos. Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos, copias de seguridad de los sistemas, control de cambios y helpdesk. La gestión de la continuidad no se implanta cuando ocurre un desastre, si no que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación.

La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos implementados por una organización. Todo el diseño, implementación, soporte y mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones la gestión de la continuidad se confunde con la gestión de la recuperación tras un desastre, pero son conceptos diferentes. La recuperación de desastres es una pequeña parte de la gestión de la continuidad.

El término continuidad del negocio describe una filosofía o metodología de desarrollar la actividad del negocio, mientras que la planificación de la continuidad de negocio es la actividad que determina cual debe ser esta metodología. El plan de continuidad del negocio puede ser visto como la metodología utilizada por los usuarios de la organización diariamente para asegurar el desarrollo normal del negocio.

2010
01/24
Escrito por
Categoría
Seguridad de la Informacion
TAGS



Write comment

Gestión de servicios de TI

La Gestión de Servicio TI es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de las empresas, poniendo énfasis en los beneficios que puede percibir el cliente final.

2010
01/24
Escrito por
Categoría
Servicios TI
TAGS


Write comment

Seguridad de la informacion

Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

El termino Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologías utilizadas, y las zonas de concentración.

La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas.

Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.

Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las políticas y controles establecidos para la protección de la información deberán revisarse y adecuarse, de ser necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan reducirlos y en el mejor de los casos eliminarlos.

2010
01/24
Escrito por
Categoría
Seguridad de la Informacion
TAGS




Write comment

Ley de Protección de Datos de Carácter Personal

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.

Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

2010
01/24
Escrito por
Categoría
LOPD
TAGS





Write comment
Seguir

Get every new post delivered to your Inbox.