Clasificacin de la Informacin

Tipos de Clasificacin

En este documento se describen los diferentes tipos de

clasificacin de la informacin en las empresas

Johana Sosa
27/01/2012

Contenido
Tipos de clasificacin ....................................................................................................... 4
1. Modelo de Poltica de Seguridad de la Informacin para Organismos de la
Administracin Pblica Nacional. [MPSI_ARG] .......................................................... 4
2. Actualizacin Clasificacin Informacin para Efectos de Aseguramiento de la
Misma. Banco de la Repblica. [ACI_COL][2]............................................................. 5
3. Niveles de Clasificacin de Informacin UAEAC (Unidad Administrativa
Especial Aeronutica Civil) [CDLI_COL] [3] ............................................................... 6
4.

Ministerio de Comunicaciones. Repblica de Colombia [ST-729_COL]. [4] ......... 9

5.

CobiT4.1 [C4.1_USA]. [5] .................................................................................. 10

6.

TCSEC Orange Book. [DoDTCSEC_USA]. [6] .................................................. 11

7.

GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7] .................... 15

8. Normas para la Clasificacin de Seguridad de Informacin Federal y Sistemas de

Informacin. [NCSIFSI_USA]. [8] ............................................................................. 19
9.

HMG Security Policy Framework. [HMGSPF_UK]. [9] ...................................... 20

10.
Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]................................................................................................. 21
11.

Information Security Classification. [ISC_CAN]. [11] .................................... 22

12.

State secrets: Chinas legal labyrinth. [SSCLL_CHI]. [12] .............................. 22

Investigacin en empresas. ............................................................................................. 24

Digiservices Ltda........................................................................................................ 24
MCI Misin Carismtica Internacional. ................................................................... 25
Criterios de valoracin de los documentos ...................................................................... 26
Referencias .................................................................................................................... 31

Ilustraciones
ILUSTRACIN 1. CLASIFICACIN DE LA INFORMACIN. [10]................................................................ 21
ILUSTRACIN 2. NIVELES DE CLASIFICACIN DE LA INFORMACIN PROPUESTA. ................................. 29

Tablas
TABLA 1. CLASIFICACIN DE LA INFORMACIN. [2] ............................................................................. 6
TABLA 2. MATRIZ DE ANLISIS DE RIESGOS VS CRITERIOS. ................................................................. 8
TABLA 3. SENSIBILIDAD VS. CONFIDENCIALIDAD ............................................................................... 17
TABLA 4. RESUMEN DE DIFERENTES TIPOS DE CLASIFICACIN DE LA INFORMACIN. ........................... 27
TABLA 5. DATOS ORGANIZACIONES FUENTES..................................................................................... 28
TABLA 6. NIVEL JERRQUICO ORGANIZACIONES. ............................................................................... 28
TABLA 8. EJEMPLO DETALLE CLASIFICACIN DE LA INFORMACIN ..................................................... 30

Tipos de clasificacin

1. Modelo de Poltica de Seguridad de la Informacin para Organismos de la

Administracin Pblica Nacional. [MPSI_ARG]
El siguiente modelo de clasificacin fue realizado por la oficina nacional de tecnologas de
informacin de la repblica de Argentina [1]
Los Propietarios de la Informacin son responsables de clasificarla de acuerdo con el grado
de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la
clasificacin efectuada, y de definir qu usuarios debern tener permisos de acceso a la
informacin de acuerdo a sus funciones y competencia.
Los usuarios de la informacin y de los sistemas utilizados para su procesamiento son
responsables de conocer, dar a conocer, cumplir y hacer cumplir la Poltica de Seguridad de
la Informacin vigente
Objetivos

Garantizar que los activos de informacin reciban un apropiado nivel de proteccin.

Clasificar la informacin para sealar su sensibilidad y criticidad.

Definir niveles de proteccin y medidas de tratamiento especial acordes a su

clasificacin.

Clasificacin
Cada una tiene 4 niveles de clasificacin (0 3) siendo 3 el nivel ms sensible y 0 el menos
sensible. Segn lo que cumpla el activo de informacin el propietario definir su criticidad
(baja, media o alta)
1. Confidencialidad:
Pblico
reservado (uso interno)
reservado (confidencial)
reservado (secreto)
2. Integridad: Debido a modificaciones no autorizadas en la informacin

 Se puede reparar fcilmente

Se puede reparar aunque puede dejar algunas prdidas
Es difcil su reparacin y puede dejar prdidas significativas
No puede repararse ocasionando prdidas grandes
3. Disponibilidad: La inaccesibilidad a la informacin
no afecta
durante un periodo de tiempo no menor a una semana podra causar prdidas
significativas
durante un periodo de tiempo no menor a un da podra causar prdidas
significativas
durante un periodo de tiempo no menor a una hora podra causar prdidas
significativas
Una vez asignado un valor por cada una de las categoras anteriores se clasifican segn estos
criterios, mencionados anteriormente:

Criticidad baja: Valores de clasificacin son menores o iguales a 1

Criticidad media: Algn valor de clasificacin es 2

Criticidad Alta: Algn valor de clasificacin es 3

2. Actualizacin Clasificacin Informacin para Efectos de Aseguramiento de la

Misma. Banco de la Repblica. [ACI_COL][2]
La clasificacin de la informacin creada por el departamento de Seguridad Informtica para
efectos de aseguramiento de la misma, actualizada en mayo del 2011 cuenta con cinco
niveles que son: Informacin clasificada, informacin reservada, informacin privada,
informacin de uso interno e informacin pblica.
Los atributos que se tienen en cuenta para la clasificacin de la informacin son los
siguientes: Confidencialidad, Integridad, Disponibilidad, Autenticacin, Control Acceso, No
repudiacin y Observancia.

A continuacin se encuentra la tabla con la propuesta de clasificacin de la Informacin

teniendo en cuenta la relacin entre los atributos que buscan mantener en la informacin y
sus niveles.
Clasificada

Reservada

Privada

De Uso

Pblica

Interno
Confidencialidad

Integridad

Disponibilidad

Autenticacin

Control Acceso

No repudiacin

Observancia

X
X

X* (Opcional)
X

Tabla 1. Clasificacin de la informacin. [2]

3. Niveles de Clasificacin de Informacin UAEAC (Unidad Administrativa

Especial Aeronutica Civil) [CDLI_COL] [3]
Toda informacin registrada en los Sistemas de Informacin de la UAEAC debe ser
clasificada, con el objetivo de determinar controles especficos para la proteccin de la
misma. Para esto se cuenta con la Norma No.03 - Clasificacin de Informacin del Modelo
de Seguridad Informtica.
La informacin de la UAEAC ser clasificada como:
Altamente Confidencial (AC): Es informacin de alta importancia para la
UAEAC que solo puede ser accedida por quienes ejerzan las funciones de: Director
General, Subdirector General, Secretario de Sistemas Operacionales, , Secretario
General y Secretario de Seguridad Area, Directores de rea, Jefes de Grupo y Jefes

de Oficina. El mal uso de la misma puede ir en detrimento de los intereses de la

UAEAC.
Confidencial (C): Es informacin crtica y solamente podr ser conocida al interior
de la Entidad ya que el conocimiento externo de la misma podr ocasionar
efectos negativos sobre la Entidad.
Restringida (R): Solo podr ser accedida por grupos especficos de usuarios que
requieren del conocimiento de esta informacin para estricto cumplimiento de sus
funciones
Pblica (P): Podr ser utilizada por todos los empleados directos de la UAEAC y
por empleados temporales, contratistas y/o terceros a la UAEAC
Los parmetros que se deben tener en cuenta para esta clasificacin son:

Costo de reemplazo o reconstruccin

Interrupcin del negocio

Prdida de clientes

Violacin de la propiedad

Requerimientos Legales

Prdidas econmicas

Los beneficios de clasificar la informacin son:

o

Identificar Qu informacin es sensible y vital para la UAEAC.

Identificar Quines son los propietarios de la informacin y los responsables de la

asignacin de los permisos de acceso a la misma.

Definir niveles apropiados de proteccin de la informacin y segregacin de

acceso a la misma.

Controlar Qu usuarios tienen acceso a la informacin.

Riesgos de no clasificar la informacin:

Asignacin de niveles y/o permisos de acceso a la informacin errada

Prdida de Informacin por acciones de usuarios malintencionadas.

Modificacin de la informacin sin previa autorizacin.

Uso de la informacin por parte de usuarios con fines personales.

Los siguientes son criterios de evaluacin:

Confidencialidad/Privacidad: Se refiere a que la informacin solo puede ser
conocida por usuarios autorizados.
o

Reflexin: Qu sucedera si la informacin de Empresas, Historias

Clnicas, Hojas de Vida, Licencias del Personal Aeronutico es cedida a
terceros?.

Integridad: Se refiere a que la informacin solo puede ser variada (modificada

o borrada) por usuarios autorizados.
o

Reflexin: Qu sucedera si alguien no autorizado realiza variaciones en

la

informacin

de

presupuesto, informacin de planes de Vuelo,

Itinerarios?

CONFIDENCIALIDAD

INTEGRIDAD

Fuga de informacin por accesos

Datos

inexactos,

y/o revelaciones de informacin no modificados

ALTO

incompletos

sin

autorizacin,

autorizada afectara seriamente las causara fallas en la operacin,

operaciones del negocio, generando prdidas econmicas, prdida en la
alta

prdida

monetaria y/o de productividad, prdida de imagen

imagen

ante el cliente.

Fuga de informacin por accesos

Datos

inexactos,

incompletos

y/o revelaciones de informacin no modificados sin autorizacin, no

MEDIO

afectara seriamente las operaciones

impactaran seriamente la operacin

del negocio y no dan lugar a alta del negocio o prdida de imagen;

prdida monetaria.
El
BAJO

uso

y/o

informacin

por

dara lugar a soluciones prontas.

revelacin
usuarios

de Contar

no informacin

autorizados no afecta la operacin posible

del negocio.

con

la

alternativas
permitira
continuidad

operacin del negocio.

Tabla 2. Matriz de Anlisis de Riesgos vs Criterios.

de
hacer

de

la

4. Ministerio de Comunicaciones. Repblica de Colombia [ST-729_COL]. [4]

ltima entrega de instrumentos normativos proyectados-modelo de seguridad de la
informacin para la estrategia de gobierno en lnea.

Para determinar los niveles de clasificacin se tuvieron en cuenta los siguientes principios:

Principio de Libertad: Entendido como aquel postulado que permite la exclusin,

valida, de una base de datos.

Principio de Finalidad: La informacin contenida en una base de datos solo puede

ser concebida para un fin especfico.

Principio

de

Integridad: La

informacin

debe ser inalterada en el proceso

comunicativo.

Principio de Necesidad: La informacin contenida debe ser funcional.

Lo primero que se tiene en cuenta para la clasificacin de la informacin es separarla entre la

informacin impersonal y la informacin personal. A su vez, en esta ltima es importante
diferenciar

igualmente

la informacin

personal

contenida

en

bases

de datos

computarizadas o no y la informacin personal contenida en otros medios, como videos

o fotografas, etc.
Los segundo ya es clasificar la informacin desde un punto de vista cualitativo en funcin
de su publicidad y la posibilidad legal de obtener acceso a la misma. Teniendo en cuenta
lo anterior se divide en cuatro grandes tipos: la informacin pblica o de dominio pblico,
la informacin semi-privada, la informacin privada y la informacin reservada o secreta.
Informacin pblica, calificada como tal segn los mandatos de la ley o de la
Constitucin, puede ser obtenida y ofrecida sin reserva alguna y sin importar si la
misma sea informacin general, privada o personal. Por va de ejemplo, pueden
contarse los actos normativos de carcter general, los documentos pblicos en
los trminos del artculo 74 de la Constitucin, y las providencias judiciales
debidamente ejecutoriadas; igualmente eran pblicos, los datos sobre el estado
civil de las personas o sobre la conformacin de la familia. Informacin que
puede solicitarse por cualquier persona de manera directa y sin el deber de satisfacer
requisito alguno.

 La informacin semi-privada, ser aquella que por

personal

versar

sobre

informacin

o impersonal y no estar comprendida por la regla general

anterior,

presenta para su acceso y conocimiento un grado mnimo de limitacin, de tal

forma que la misma slo puede ser obtenida y ofrecida por orden de autoridad
administrativa en el cumplimiento de sus funciones o en el marco de los principios
de la administracin de datos personales. Es el caso de los datos relativos a las
relaciones con las entidades de la seguridad social o de los datos relativos

al

comportamiento financiero de las personas.

La informacin privada, ser aquella que por versar sobre informacin personal o no,
y que por encontrarse en un mbito privado, slo puede ser obtenida y ofrecida
por orden de autoridad judicial en el cumplimiento de sus funciones. Es el
caso de los libros de los comerciantes, de los documentos privados, de las
historias clnicas o de la informacin extrada a partir de la inspeccin del
domicilio.
Informacin reservada, que por versar igualmente sobre informacin personal y
sobre todo por su estrecha relacin con los derechos fundamentales del titular dignidad, intimidad y libertad- se encuentra reservada a su rbita exclusiva y no
puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento
de sus funciones. Cabra mencionar aqu la informacin gentica, y los llamados
"datos sensibles" o relacionados con la ideologa, la inclinacin sexual, los
hbitos de la persona, etc.

5. CobiT4.1 [C4.1_USA]. [5]

Dentro del marco de trabajo de COBIT se maneja la parte de Planear y Organizar, donde el
segundo paso de esto es definir la arquitectura de la Informacin. Para lo cual tienen en
cuenta las siguientes caractersticas:

Modelo Arquitectura de Informacin Empresarial: Establecer y mantener un modelo

de informacin empresarial que facilite el desarrollo de aplicaciones y las actividades
de soporte a la toma de decisiones, consistente con los planes de TI. El modelo debe

facilitar la creacin, uso y el compartir en forma ptima la informacin por parte del
negocio de tal manera que se mantenga su integridad, sea

flexible, funcional,

rentable, oportuna, segura y tolerante a fallos

Diccionario corporativo de datos y Reglas de sintaxis de los datos de la organizacin:

Facilita compartir elementos de datos entre las aplicaciones y los sistemas, fomenta
un entendimiento comn de datos entre los usuarios de TI y del negocio, y previene
la creacin de elementos de datos incompatibles

Esquema de clasificacin de datos y los niveles de seguridad: Basados en que tan

crtica y sensible es la informacin se establece un esquema de clasificacin que
aplique a toda la empresa (pblica, confidencial y secreta). Para este esquema se debe
incluir la siguiente informacin pertinente:
o

Detalles acerca de la propiedad de datos

Definicin de niveles apropiados de seguridad y de controles de proteccin

Descripcin de los requerimientos de retencin y destruccin de datos,

incluyendo informacin de que tan crticos y sensibles son.

Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.
Este proceso mejora la calidad de la toma de decisiones gerenciales asegurndose que
se proporciona informacin confiable y segura, y permite racionalizar los recursos de
los sistemas de informacin para igualarse con las estrategias del negocio. Este
proceso de TI tambin es necesario para incrementar la responsabilidad sobre la
integridad y seguridad de los datos y para mejorar la efectividad y control de la
informacin compartida a lo largo de las aplicaciones y de las entidades.

Administracin de Integridad: Definir e Implementar procedimientos para garantizar

la integridad y consistencia de todos los datos almacenados en formato electrnico,
tales como bases de datos, almacenes de datos y archivos

6. TCSEC Orange Book. [DoDTCSEC_USA]. [6]

Los niveles de este estndar han sido la base de desarrollo de estndares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).

La clasificacin de los datos est basada en la necesidad de su confidencialidad. Los

siguientes son niveles globales basados en el potencial del dao si son comprometidos:
Sper Secreto
Secreto
Confidencial
No clasificado:
o

Sensible pero no clasificada.

Solo para uso oficial.

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.

Nivel D: Proteccin Mnima

Este nivel contiene slo una divisin y est reservada para sistemas que han sido
evaluados

no

cumplen

con

ninguna

especificacin

de

seguridad.

Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo

es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el
acceso a la informacin. Los sistemas operativos que responden a este nivel son MSDOS y System 7.0 de Macintosh.

Nivel C1: Proteccin Discrecional

Se requiere identificacin de usuarios que permite el acceso a distinta informacin.
Cada usuario puede manejar su informacin privada y se hace la distincin entre los
usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este "sper usuario" quien tiene gran responsabilidad en la seguridad
del mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro
que en una organizacin encontremos dos o tres personas cumpliendo este rol. Esto
es un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario.
A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase
C1:

Acceso de control discrecional: distincin entre usuarios y recursos. Se

podrn definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios
o grupos de ellos.

Identificacin y Autentificacin: se requiere que un usuario se identifique

antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario
no podr ser accedido por un usuario sin autorizacin o identificacin.

Nivel C2: Proteccin de Acceso Controlado

Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con
caractersticas adicionales que crean un ambiente de acceso controlado. Se debe
llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
o

Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos

comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no slo en los permisos, sino tambin en los
niveles de autorizacin.

Requiere que se audite el sistema. Esta auditora es

utilizada

para

llevar

registros de todas las acciones relacionadas con la seguridad, como las

actividades efectuadas por el administrador del sistema y sus usuarios.
o

La auditora requiere de autenticacin adicional para estar seguros de que la

persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el
subsistema de discos.

Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas

tareas de administracin del sistema sin necesidad de ser administradores.

Permite llevar mejor cuenta de las tareas relacionadas con la administracin

del sistema, ya que es cada usuario quien ejecuta el trabajo y no el
administrador del sistema.

Nivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B.

Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece

que el dueo del archivo no puede modificar los permisos de un objeto que
est bajo control de acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con
un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con
unas categoras (contabilidad, nminas, ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.

Se establecen controles para limitar la propagacin de derecho de accesos a

los distintos objetos.

Nivel B2: Proteccin Estructurada

o

Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior.

La Proteccin Estructurada es la primera que empieza a referirse al problema

de un objeto a un nivel ms elevado de seguridad en comunicacin con otro
objeto a un nivel inferior. De esta forma un disco rgido ser etiquetado por
almacenar archivos que son accedidos por distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de

accesibilidad y seguridad son modificadas; y el administrador es el
encargado de fijar los canales de almacenamiento y ancho de banda a utilizar
por los dems usuarios.

Nivel B3: Dominios de Seguridad

o

Refuerza a los dominios con la instalacin de hardware: por ejemplo el

hardware de administracin de memoria se usa para proteger el dominio de
seguridad de acceso no autorizado a la modificacin de objetos de diferentes
dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada

usuario y las permite o las deniega segn las polticas de acceso que se hayan
definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeas

como para permitir anlisis y testeos ante posibles violaciones.

Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexin segura.

Cada usuario tiene asignado los lugares y objetos a los que puede acceder.

Nivel A: Proteccin Verificada

Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin,
mediante mtodos formales (matemticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los
componentes de los niveles inferiores deben incluirse. El diseo requiere ser
verificado de forma matemtica y tambin se deben realizar anlisis de canales
encubiertos y de distribucin confiable. El software y el hardware son protegidos
para evitar infiltraciones ante traslados o movimientos del equipamiento.

7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7]

Clasificar la informacin es un proceso en curso e iterativo. Un sistema de clasificacin de la
informacin ayuda a asegurar aquellas decisiones que satisfacen a toda la compaa y no solo
a la proteccin de informacin individual
Antes de que la clasificacin de la informacin pueda ser clasificada se tienen en cuenta unos
pasos claves que se especifican a continuacin.
1. Identificar todos los recursos de informacin que necesitan ser protegidos: En este
paso es importante tener en cuenta los siguientes aspectos para cada uno de los
recursos de informacin.

Localizacin de la informacin

Cmo se protege la informacin actualmente

Propietario de los datos (Persona que conoce el valor de la informacin para

la empresa)

Custodio de los datos (Persona responsable para salvaguardar la informacin

Formato de la informacin (base de datos, archivos, aplicacin)

2. Identificar las medidas de proteccin de la informacin teniendo en cuenta la

necesidad del negocio y objetivos de la proteccin de la informacin:

Autenticacin:

Donde

se

puede

utilizar

la

autenticacin

sencilla

(identificador y contrasea) y la autenticacin doble(identificador, contrasea

y secreto clave)

Acceso basado en roles: Basado generalmente en necesidades del negocio y

funciones del trabajo. En este caso se maneja una Lista de control de acceso
(ACL) la cual contiene el nivel de acceso para cada persona (leer, editar y
borrar).

Cifrado: Se utiliza para asegurar la privacidad de informacin sensible o

personal, tambin para que la informacin no sea vista o alterada sin
deteccin alguna.

Controles administrativos: Sirven para asegurar la integridad de la

informacin.

Controles tecnolgicos: Proteccin de virus, redundancia del disco, sistema y

aplicaciones, al igual que segregacin de la red.

Garanta: Validacin de la proteccin del sistema. Con la ayuda de monitoreo.

3. Identificar las clases de informacin: La siguiente lista contiene distintas clases de

informacin que puede manejar una empresa.

Confidencialidad

Disponibilidad

Integridad

Propiedad

Altamente sensible

Funcin sensible

Restringida de negocio

Restringida de propietario

Discrecin de propietario

Uso de la compaa

Uso interno

Uso pblico

Negocio crtico

Negocio sensible

No esencial

4. Mapear las medidas de proteccin de la informacin a las diferentes clases de

informacin.

Criterio

Sensibilidad y confidencialidad: Se tienen en cuenta 2 criterios

de Altamente

Funcin

Propietario

Uso

de

la

Uso Pblico
Autentica-

Proteccin

Sensible

Sensible

Discreto

Compaa

Autenticacin

Id

Id

Id

Id usuario,

usuario,

miento

usuario,

contrasea

contrasea

contrasea

contrasea

cin

fuerte

fuerte

fuerte

fuerte

requerida

Ingreso

Ingreso

encriptado
Aprovisiona-

usuario,

encriptado

Alta adm. o
autorizacin

Adm.

propietario

de

autorizacin
Basado

del

roles

de los datos
Acceso

en

Autorizacin

Acceso

Acceso

automtica-

automtica-

administraci

mente

mente

para

todos

al creador o

usuarios del

propietario

sistema

Integridad y uso apropiado

Alto

Actualizacin de acuerdo a las especificaciones del

propietario de los datos.

Separacin de funciones para las operaciones financieras.

Todas las copias de la informacin se tienen en cuenta y se

destruyen antes de la eliminacin

Sujeto a cambios de control

Tutoriales de cdigo requerido

Cifrar todas las transacciones de informacin

Cifrar la informacin en reposo

Medio

los

de

informacin

Tabla 3. Sensibilidad vs. Confidencialidad

n delegada empleados

individual

no

Actualizacin de acuerdo a las especificaciones del

propietario de los datos.

Sujeto a cambios de control

Tutoriales de cdigo requerido

Cifrar las transacciones por Internet.

Bajo

Sin integridad o uso de controles apropiados

Disponibilidad
o

Alto

No hay tolerancia para la interrupcin del servicio durante

las horas de negocio.

Formacin de la Cruz de las operaciones comerciales de

personal requerido

La proteccin antivirus necesaria

Medio

Debe ser recuperado dentro de las 8 horas de trabajo

Formacin de la Cruz de las operaciones comerciales de

personal requerido

Bajo

La proteccin antivirus necesaria

La proteccin antivirus necesaria

Conformidad
o

Alto:

Capacidad de supervisin regulares

Monitoreo regular de violacin

Operacin regular de control de registro de las funciones

sensibles

Reunin peridica revisin del registro de

La red y deteccin de intrusin en el sistema

Medio:

Violacin registros disponibles para su revisin.

Registros de transacciones disponibles para su revisin.

Capacidad de supervisin por peticin.

Registros de eventos disponibles para su revisin.

La red y deteccin de intrusin en el sistema

Bajo:

La auditora no est habilitado; revisar el registro no est

disponible.

no hay control

Continuidad de Negocio
o

Recuperado

No recuperado

5. Clasificar la informacin: Lo que se realiz en el paso anterior se debe aplicar a los

recursos del primer paso. Si las medidas de proteccin y las clases de informacin
asociadas no se adaptan a todas las fuentes de informacin (1er paso) se debe hacer el
siguiente paso.
6. Repetir si es necesario.

8. Normas para la Clasificacin de Seguridad de Informacin Federal y Sistemas

de Informacin. [NCSIFSI_USA]. [8]
En esta norma se definen tres niveles de impacto potencial en cuanto a la seguridad de la
informacin de una empresa permitiendo una prdida en los tres objetivos de la informacin:
confidencialidad, integridad o disponibilidad. Cada una de las definiciones de los tres
impactos se debe llevar a cabo para cada contexto dentro de una empresa segn los intereses
de cada uno.

Impacto potencial Bajo: La prdida de la confidencialidad, integridad o

disponibilidad tiene efectos adversos limitados en las operaciones de la organizacin,
los activos de la organizacin, o individuos.

Impacto potencial Moderado: La prdida de la confidencialidad, integridad o

disponibilidad tiene efectos adversos serios en las operaciones de la organizacin, los
activos de la organizacin, o individuos.

Impacto potencial Alto: La prdida de la confidencialidad, integridad o

disponibilidad tiene efectos adversos severos o catastrficos en las operaciones de la
organizacin, los activos de la organizacin, o individuos.

La clasificacin de la informacin se realiza segn los tipos de informacin que una empresa
maneje.

El formato generalizado para expresar la categora de seguridad, SC, de un tipo de

informacin es el siguiente:
SC tipo de informacin = {(confidencialidad, impacto), (integridad, impacto),
(disponibilidad, impacto)}
donde los valores para el impacto es bajo, moderado, alto o no aplica (NA).

Informacin Pblica
SC de informacin pblica = {(confidencialidad, NA), (integridad, moderado),
(disponibilidad, moderado)}.

Informacin investigativa
SC informacin sobre las investigaciones = {(confidencialidad, alto), (integridad,
moderado), (disponibilidad, moderado)}.

Informacin administrativa
SC = {informacin administrativa (confidencialidad, bajo), (integridad, bajo),
(disponibilidad, bajo)}.

9. HMG Security Policy Framework. [HMGSPF_UK]. [9]

El gobierno del Reino Unido considera 5 niveles teniendo en cuenta la sensibilidad de la
informacin:

Top Secreto

Secreto

Confidencial

Restringido

Protegido

10. Queensland Government Information Security Classification Framework.

[QGISCF_AUS]. [10]
EL marco de clasificacin para la seguridad de la informacin del gobierno de Queensland en
Australia tiene en cuenta dos grandes categoras en las que se encuentra la informacin oficial
del gobierno y son la informacin que puede ser de uso pblico y la informacin que necesita
un control apropiado para proteger su confidencialidad. A continuacin est una imagen con
la clasificacin de la informacin que necesita un control especial.

Ilustracin 1. Clasificacin de la informacin. [10]

Como se puede observar en la figura para la informacin oficial no pblica se divide en dos
categoras: la no clasificada y de seguridad clasificada. La informacin que no puede ser
pblica pero que no necesita un control especial en cuanto a seguridad se deja en la categora
no clasificada para tener en cuenta que ya se le realiz una evaluacin a esa informacin.
Para la categora de seguridad clasificada, de acuerdo con el riego de compromiso necesita un
control adicional y se divide en informacin de seguridad nacional e informacin de
seguridad no nacional, cada una de ellas se divide en los siguientes niveles:

Informacin de seguridad nacional

o

Top secreto

Secreto

Confidencial

Restringida

Informacin de seguridad no nacional

o

Altamente protegida

Protegida y gabinete en confianza

X en confianza

Sin clasificar

11. Information Security Classification. [ISC_CAN]. [11]

El gobierno de Alberta, Canad en la gua de clasificacin de seguridad de la informacin
identific 4 niveles para esta clasificacin, son:

Sin restriccin: Informacin que es poco probable que cause dao. Est disponible
para el pblico, empleados y contratistas, sub contratistas y agentes que trabajan para
el gobierno.

Protegida: Informacin sensible para el gobierno y que puede impactar algunos

servicios del mismo. Incluye informacin personal, financiera. Est disponible para
empleados y para empleados no autorizados que necesiten conocer la informacin
para propsitos relacionados con los negocios.

Confidencial: Informacin sensible para el gobierno que puede causar prdidas

graves de privacidad, ventaja competitiva, perdida de confidencialidad en los
programas del gobierno y puede causar hasta daos en las asociaciones, relaciones y
reputacin. Solo est disponible para una funcin, grupo o rol especfico.

Restringida: Informacin que es extremadamente sensible y puede causar grandes

daos en la integridad y la imagen (prdida de la vida, riesgos para la seguridad
pblica, prdidas sustanciales financieras, dificultades sociales, y un gran impacto
econmico). Est disponible slo para las personas nombradas o posiciones
especficas.

12. State secrets: Chinas legal labyrinth. [SSCLL_CHI]. [12]

La repblica China en el artculo 9 de la ley de los secretos de estado clasifica la informacin
dentro de tres categoras segn los niveles de dao a la seguridad del estado y los intereses
nacionales:

Top secreto: Si causa daos extremamente serios al publicarse

Altamente secreto: Si causa daos serios al publicare

Secreto: Si causa algn dao al publicarse.

Investigacin en empresas.
Digiservices Ltda.

Es una compaa dedicada al procesamiento de datos, control de registros y auditoria de

informacin, que ha llevado proceso para ms de un centenar de clientes de carcter oficial y
privado durante ms de diecisiete aos de experiencia en el sector. La experiencia adquirida
durante estos aos en el manejo de procesamiento de informacin, nos ha permitido entender
la importancia de realizar procesos integrados, aplicando la gestin idnea y permitiendo
tener una visin ms globalizada y orientada al mejoramiento continuo de los procesos,
implementando normatividad estndar de medicin de la gestin,. Con el objetivo de
optimizar los recursos, satisfacer a nuestros clientes y brindar el mejor servicio. [13]
Clasificacin de la informacin
Esta informacin se obtuvo de las personas encargadas del manejo de la informacin de la
empresa Digiservices.
La clasificacin de la informacin que se maneja tiene en cuenta tres de los atributos de
seguridad (confidencialidad, integridad y disponibilidad) y los niveles se explican a
continuacin:

Confidencialidad.
Reservado de la empresa
Reservado empresas outsorcing

Integridad.
Media: Cambios realizados se pueden recuperar. Prdidas que se pueden
manejar. (Informacin interna de la empresa)
Alta: Cualquier cambio puede ser perjudicial para la empresa. (Informacin
de las empresas que los contratan)

Disponibilidad.
Baja: Informacin que puede estar no disponible mximo un da sin causar
prdidas.

 Media: Informacin de la empresa que puede estar no disponible hasta

mximo 5 horas en el da sin causar prdidas
Alta: Informacin de las empresas las cuales tienen que estar disponible todo
el tiempo para su consulta durante un tiempo determinado segn el contrato.
(Un periodo de tiempo no mayor a 5 horas no puede causar prdidas)

MCI Misin Carismtica Internacional.

Esta informacin se obtuvo de una entrevista con el director de Sistemas de esta empresa.
Clasificacin de la informacin
En esta empresa se manejan dos tipos de informacin que son la administrativa y la
ministerial. A continuacin se especifica la clasificacin de cada uno.

Confidencialidad.
Administrativa.

Alta: Informacin que solo los cargos ms alto tienen acceso. Por
ejemplo informes gerenciales

Media: Informacin administrativa a la cual se tiene acceso por

roles.

Ministerial

Alta: Informacin que solo los cargos ms alto tienen acceso. Por
ejemplo informes financieros

Media: Informacin personal de los miembros de la iglesia.

Baja: Informacin pblica.

Integridad.
Administrativa

Alta: Informacin que si se modifica puede ser tener un efecto grave

dentro de la empresa. Ejemplo: Cuentas contables.

Media: Informacin que si se modifica puede ser tener un efecto

serio dentro de la empresa. Ejemplo: Informacin del personal.

Baja: Informacin que si se modifica no afecta notablemente a la

empresa. Ejemplo: Informacin de reuniones.

 Ministerial

Media: Informacin que si se modifica puede tener consecuencias

leves.

Baja: Informacin que si se modifica no es importante.

Disponibilidad.
Administrativa

Alta: La informacin debe estar disponible todo el tiempo

Media: Puede demorarse hasta mximo 10 horas en tener acceso a la

informacin

Ministerial

Media: Puede demorarse hasta mximo 5 horas en tener acceso a la

informacin

Criterios de valoracin de los documentos

Para la valoracin de los documentos descritos anteriormente se manejar un modelo
reactivo, el tradicional, ya que lo que se busca hacer es un anlisis de la informacin con la
que se cuenta hasta este momento [14].
Cada documento est identificado con un cdigo para facilitar el anlisis con cada uno de los
criterios que se va a tener en cuenta para su valoracin:

Contenido informativo (Variedad en la informacin): En el siguiente cuadro se

encuentra un resumen de los niveles de clasificacin que se encuentra en cada
documento analizado. Lo que se busca es ver las similitudes y las relaciones que se
tienen entre estos documentos.

Documento/Niv
el
MPSI_ARG
ACI_COL

Pblico

Uso interno

Pblico

Uso interno

2
Confidencia
l
Privada

Secreto
Reservada

Clasificada

Pblico

CDLI_COL

ST-729_COL

Pblico

C4.1_USA

Pblico

Restringida

Semi Privada

Confidencia
l
Privada
Confidencia
l

No

Confidencia

clasificado

DoDTCSEC_USA

GSEC_USA

Pblico

Pblico

QGISCF_AUS

Secreto

Secreto

discreto

sensible

Sensible

Secreto

Top Secret

Secreto

Top Secret

Administrativ

Restringida

Protegida

Informaci
n
Investigativ
a
Confidencia
l
Confidencia
l
Confidencia
l
Secreta

SSCLL_CHI

Reservada
Altamente
Secreta

Tabla 4. Resumen de diferentes tipos de clasificacin de la informacin.

Sper

compaa

Pblico

restriccin

Secreto

Altamente

Restringida

Sin

Reservada

Funcin

Protegido

ISC_CAN

Propietario

HMGSPF_UK

confidencia

Uso de la

Informacin
NCSIFSI_USA

Altamente

Crticas de Fuentes.
o

Datacin. Cundo se produjo?

Localizacin en el espacio. Dnde se produjo?

Autor. Quin lo produjo?

Top Secret

Documento/Criterio Datacin Localizacin

Repblica

MPSI_ARG

25/07/2005

ACI_COL

01/05/2011

Colombia

Argentina

Autor
Oficina Nacional de Tecnologas de la Informacin
Departamento de Seguridad Informtica-Banco de la
Repblica

CDLI_COL

19/09/2006

Colombia

Aeronutica Civil

ST-729_COL

05/09/2002

Colombia

Secretara General de la Alcalda Mayor de Bogot D.C.

C4.1_USA

2007

EE UU

IT Governance Institute

DoDTCSEC_USA

26/12/1985

EE UU

Departamento de Defensa

GSEC_USA

28/02/2003

EE UU

SANS Institute. (Susan Fowler)

NCSIFSI_USA

01/02/2004

EE UU

NIST: National Institute of Standards and Technology

HMGSPF_UK

01/05/2011

UK

QGISCF_AUS

01/10/2010

Australia

ISC_CAN

01/02/2005

Canad

SSCLL_CHI

2007

China

Cabinet Office
Queensland Government Chief Information Officer
Information Management Branch, Government and Program
Support Services Division, Alberta Government Services
Human Rights in China

Tabla 5. Datos organizaciones fuentes.

Nivel jerrquico de las administraciones (Organizaciones punteras)

Colombia y Estados Unidos son los pases de los cuales se tiene ms fuentes de
informacin por lo cual a continuacin se encuentran los niveles jerrquicos para
cada uno de estos pases.

Pas / Nivel

Jerrquico
SANS

Estados
Unidos

Institute.
(Susan
Fowler)

Colombia

1
IT
Governance
Institute

Aeronutica
Civil

NIST: National Institute of

Departamento de

Standards and Technology

Defensa

Secretara General de la

Departamento de

Alcalda Mayor de Bogot

Seguridad Informtica-

D.C.

Banco de la Repblica

Tabla 6. Nivel jerrquico organizaciones.

Los criterios anteriores se tuvieron en cuenta para determinar los niveles de clasificacin de
la informacin que mejor se adapte a las empresas Colombianas, los cuales sern los que se

utilicen en la gua metodolgica que se est desarrollando para apoyar a las empresas
MiPyMEs Colombianas en la toma de decisin para la migracin a la nube pblica.

Pblica

Uso Interno
Privada

Informacin que est disponible para cualquier

persona interesada
Informacin que est disponible para los empleados
de la empresa
Informacin que slo estar disponible para
personas autorizadas

Reservada / Secreta

Informacin que debido a su nivel de sensibilidad

tendr un grado ms alto en seguridad

Altamente reservada
/ Sper Secreta

Informacin de alta importancia que slo podr ser

accedida por los altos mandos de la empresa

Ilustracin 2. Niveles de Clasificacin de la informacin propuesta.

En la siguiente tabla se especifica cada uno de los niveles teniendo en cuenta los tres
atributos de calidad (Confidencialidad, Integridad y Disponibilidad). Se debe aclara que esto
es un ejemplo de cmo se podra llenar esa informacin, ya que dentro de cada cuadro
puedan haber diferentes caractersticas debido a que esto puede cambiar para cada tipo de
activo de informacin y de los objetivos del negocios. Por lo tanto cada organizacin debe
definir cada una de las relaciones (Nivel de clasificacin atributo de calidad) dependiendo
del activo de informacin y del proceso con el que se relacione dicho activo.

En cuanto a la disponibilidad, no es lo mismo que una informacin necesaria no est

disponible por una hora o un da o un mes. Puede que una hora de no disponibilidad sea

irrelevante, mientras que un da sin esa informacin ya podra causar un dao moderado; pero
si no est disponible por un mes ya puede causar problemas ms serios. No existe
proporcionalidad entre el tiempo en que no est disponible y las consecuencias.
[MAGERIT_ESP]

Nivel /

Confidencialidad

Atributos
Pblica

Integridad
* Se puede reparar

* N/A

fcilmente

Disponibilidad

* N/A
* Durante un periodo de

Uso
Interno

*Acceso para empleados

* Se puede reparar

tiempo no menor a una

dejando algunas prdidas

semana podra causar

prdidas significativas

* Solo puede ser accedida por

Privada

* Durante un periodo de

grupos especficos de usuarios

* Puede dejar prdidas

tiempo no menor a dos o

autorizados por alguna

significativas

tres das podra causar

autoridad dentro de la empresa

prdidas significativas
* Durante un periodo de

Reservada

* Acceso para personas con

posiciones especficas

* Causa grandes daos

tiempo no menor a un
da podra causar
prdidas significativas

* Informacin de alta
Altamente
Reservada

importancia que solo puede ser

* No se puede reparar

accedida por personas que

ocasionando grandes

ejerzan cargos de alto rango

prdidas

dentro de la empresa
Tabla 7. Ejemplo detalle clasificacin de la informacin

* Durante un periodo de
tiempo no menor a una
hora podra causar
prdidas significativas

Referencias
[1] Modelo de Poltica de Seguridad de la Informacin para Organismos de la
administracin Pblica Nacional, Versin 1. Julio 2005. Disponible en:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
[2] Departamento de Seguridad Informtica, Direccin General de Tecnologa. Banco de la
Repblica. Actualizacin Clasificacin Informacin para Efectos de Aseguramiento de la
Misma. Mayo 2011.
[3] Aeronutica Civil. Clasificacin de la Informacin (Normas) versin 2.0. 19 septiembre
2006.
[4] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible
en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903
[5] IT Governance Institute. Cobit 4.1. 2007 Disponible en:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
[6] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.
Library N S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov.
[7] Susan Fowler. Informacin de la Clasificacin Quin, Por qu y Cmo. 2003. GIAC
Security Essentials Certification (GSEC). SANS Institute.
[8] Normas para la Clasificacin de Seguridad de Informacin Federal y Sistemas de
Informacin. Febrero 2004. NIST: National Institute of Standards and Technology
[9] Cabinet Office. HMG Security Policy Framework. Mayo 2011.
[10] Queensland Government Chief Information Officer . Queensland Government
information Security Classification Framework. Octubre 2010
[11] Information Management Branch, Government and Program Support Services Division,
Alberta Government Services. Information Security Classification. Febrero 2005.

[12] Human Rights in China. State secrets: Chinas legal labyrinth. Human Rights in China.
2007.
[13] Digiservice Limitada. Disponible en: http://www.digiservice.com.co/
[14] MEMORIA - XXI Congreso Archivstico Nacional Valoracin Documental un reto
archivstico en los tiempos actuales. 2009