Blog - Seguridad | Informática

Usar puntuación: / 7
MaloBueno 

Según la norma ISO 27001, la clasificación de la información es uno de los primeros pasos a tener en cuenta a la hora de construir un plan de seguridad.

Entre los pasos anteriores se encuentran casi únicamente la conformación de un comité de seguridad, órgano máximo de autoridad al respecto, y una política general de seguridad, que garantice el compromiso de la alta gerencia o dirección en la creación del plan.

La clasificación de información nos permitirá determinar principalmente la manera en que la protegeremos, por lo cual no es un tema menor.

Pero es verdad que no todas las organizaciones tienen su información clasificada. ¿Cómo es posible que puedan operar sobre esa base? Muy simple: con un alto nivel de riesgo operativo.

La clasificación es la base de la pirámide respecto al manejo y gestión de activos de información, y reporta muchos beneficios. Si es tan ventajoso, ¿por qué no todas las organizaciones lo hacen? Pues bien, porque es un proceso laborioso que requiere de los esfuerzos conjuntos de todas las áreas de una compañía. En un rápido análisis, se suele deducir que cuesta tanto encarar el proceso de clasificación, que se termina por postergar ad eternum, pero hay algunos tips que pueden ayudar a lidiar con el monstruo, algunos de los cuales comentaremos a continuación.

Para comenzar, debemos contar con una base de conocimiento sobre los activos de información, ya que sino no tendremos qué clasificar. Para esto ayuda la gran variedad de software de gestión de activos, que debe formar parte de un proceso de gestión confiable. De no contar con un inventario de activos, se puede al menos realizar una identificación que permita avanzar con la clasificación, ya que en principio, como en muchos proyectos, es más importante comenzar el proceso que hacerlo perfectamente. En el peor de los casos restringimos la clasificación a documentos digitales y dejaremos fuera el resto de los activos, a los fines de simplificar el proyecto.

Otro de los problemas clásicos radica en quién debe determinar el nivel de clasificación. Esto se resuelve definiendo previamente los roles y responsabilidades. Entre los roles encontramos típicamente: usuarios, custodios (administradores, usualmente el área de IT) y dueños (propietarios, tanto para datos, aplicaciones, procesos, etc.). Son estos últimos los que tienen el real conocimiento y la responsabilidad de determinar la clasificación, ya que se supone que dichos datos pertenecen a su propia área de dominio. Este paso suele ser complejo de dejar claro, dado que es difícil que las personas comprendan cabalmente, asuman y acepten la responsabilidad asociada a sus funciones, y en especial si esta responsabilidad conlleva un riesgo.

Si tenemos definido todo esto, otra pregunta puede ser qué niveles de clasificación utilizar y cómo definirlos. En este caso será mejor no reinventar la rueda y tomar niveles de uso común,  por ejemplo:

• Pública (que cualquiera pueda conocerla);
• Privada (de uso interno);
• Secreta (que su divulgación comprometa a la organización). 

Ni tantos niveles como para que sea complicado definirlos, ni tan pocos como para que no haya diferencias entre ellos.

En el sector militar y gubernamental, los niveles difieren en general de los utilizados en la industria y el ámbito comercial, incluyendo por ejemplo un nivel de “alto secreto” (top secret) además del secreto, y procedimientos más estrictos de uso y manejo de la información.

Bien, tenemos los niveles, pero ahora necesitamos saber cómo determinamos cuál corresponde a cada activo o documento. Esto puede hacerse directamente aplicando criterios, es decir “esto tiene nivel confidencial” o bien a través del uso de métricas, basadas en los principios de la seguridad: confidencialidad, integridad y disponibilidad, con niveles de cada uno, por ejemplo del 1 al 5, o del 0 al 3. De tal forma, se le asigna a cada activo un nivel de confidencialidad, uno de integridad y uno de disponibilidad, y en función de esto quedará determinado el nivel. Por ejemplo, definiendo: “si algún elemento tiene más de un nivel de la tríada en valor 2, será secreto”. Todo esto lo volcaremos normalmente en un software o planilla de cálculos representándolo usualmente en una matriz, y calculamos a partir de aquí el nivel final de entre los determinados.

Otra de las preguntas de rigor que puede surgir es: ¿Qué tan granular será la identificación de activos? Esto se traduce en: ¿Clasificamos cada documento? ¿Cada base de datos? ¿Cada tabla? ¿Cada conjunto de datos?

La respuesta será función de la cantidad de activos, de recursos, de interrelaciones, y de los criterios seleccionados. Así, podemos enunciar: “Si un documento fue creado por X persona (o aplicación) será secreto” o bien “Todos los documentos del proyecto Z, serán privados”. Esta definición del nivel de granularidad será crucial para estimar los tiempos y esfuerzos que tomará el proyecto total.

Durante el proyecto, habrá existido seguramente una planificación previa, que defina varios de los Cómo, Quiénes y Qué, requeridos durante el transcurso del proceso. La planificación habrá contemplado además entre otras cosas:

• El entrenamiento de las personas que realizarán la clasificación, para explicarles cómo considerar los niveles, cómo llenar la matriz, etc.
• Un procedimiento detallado, que incluya la desclasificación y reclasificación.
• Una implementación piloto, que represente una muestra significativa del trabajo total, y dé cuenta de la efectividad y dificultad esperadas.
• Todas las actividades, métricas, técnicas y elementos propios de las metodologías de gestión de proyectos.

Claro está que todo lo mencionado es solo una brevísima visión a este tipo de planes, que tal como se sabe, constituye una base fundamental para todo proceso relacionado con la seguridad de la información.