Seguridad en Redes

ANALISIS Y SEGURIDAD DE LA INFORMACIN

ANEXO 2 SEGURIDAD DE LA INFORMACIN

Estamos en una poca de disponibilidad e intercambio de informacin. Con los avances de la tecnologa, la informacin esta a disposicin de la audiencia mundial, por lo que es importante la clasificacin de la informacin y la designacin de responsabilidades de las personas que tienen acceso a dicha informacin.

La informacin de acuerdo al impacto que pueda tener dentro de la empresa vara en sus niveles de sensibilidad y criticidad, por lo que es necesario realizar un esquema de clasificacin de la informacin.

INFORMACIN

La informacin puede ser definida como cualquier comunicacin, incluyendo hechos, datos u opiniones, ciertas o no; registradas por cualquier medio; sea numrica, grfica o narrativa, y conservada en cualquier medio, incluyendo bases de datos computarizadas, papel, microfichas, cds, dikettes, etc.

Ejemplos:

Informacin financiera: Registro histrico de roles pagos, ingresos y egresos econmicos, precios de productos o servicios para clientes, precios de productos o servicios de proveedores, etc.

Informacin de talento humano: Datos de personal que labora en la empresa, orgnico estructural y funcional de la empresa, registro histrico de desempeo, proyecciones, fortalezas y debilidades, etc.

Otra informacin confidencial de negocios: alianzas estratgicas, proyectos especficos, informacin de mercadeo, expansin, metas de mercadeo, contratacin, nuevos productos y servicios, inventos y descubrimientos, polticas de estado relacionadas a la actividad de la empresa, etc.

SEGURIDAD DE LA INFORMACIN

Es el conjunto de metodologas, prcticas y procedimientos que buscan proteger la informacin como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que esta expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de inversiones y las oportunidades del negocio.

MEDIOS QUE CONTIENEN O TRANSMITEN INFORMACIN

Al hablar del manejo de la informacin nos referiremos a los medios a travs de los cuales la informacin se registra, se mantiene o almacena, se transporta o se defiende. Esos medios son:

Informacin impresa o escrita

Hace relacin a la informacin que se registra por medio de caracteres convencionales en un medio capaz de contenerla para almacenarla y tenerla disponible para transporte, consulta o manejo.

Informacin grabada

La informacin se registra en medios magnticos y la llamaremos grabada. Mediante grabacin realizada a travs de artefactos podemos registrar informacin sonora o audible, la cual se puede grabar modulada, codificada o encriptada.

Informtica

El manejo de grandes volmenes de informacin, la posibilidad de almacenar esos grandes volmenes, de procesarlos, manipularlos para obtener de ellos estadsticas, tendencias, comportamientos sociales o colectivos, es posible hoy gracias al desarrollo tecnolgico de los computadores (hardware) y de los programas de computacin (software) lo que ha dado origen a la informtica, cual es justamente la ciencia del manejo de la informacin en grandes volmenes a travs del uso de ordenadores.

La informacin es registrada en contenedores magnticos como cintas y discos y ltimamente en discos pticos que se pueden grabar y regrabar con informacin.

La multimedia, al digitalizar la informacin permite no solamente grabar informacin documental, audio y video, sino que permite manipular, modificar, procesar en formas muy variadas la informacin registrada, de manera que la realizacin de montajes fotogrficos, la manipulacin de audio, tal como la construccin de conversaciones ficticias al unir partes de conversaciones verdaderas, se volvi muy sencillo y los resultados son prcticamente perfectos cuando se maneja informacin digitalizada por medio de los programas adecuados.

Medios que transmiten informacin

La transmisin de informacin en un emisor y un receptor se llama comunicacin. La comunicacin se ha desarrollado por la necesidad de difundir informacin: Hacer que sta llegue ms rpido, ms completa, a ms lugares, a ms usuarios.

Conduccin fsica de la informacin: Mensajeros

Para esta actividad podemos utilizar exclusivamente a una persona, la cual lleva y trae informacin en cualquier medio.

Vulnerabilidad

La interceptacin de los mensajeros para conocer el mensaje, adems de la venta de informacin a la competencia.

Transmisin por lnea fsica: El telgrafo, el, el telfono, el computador

La posibilidad de comunicarse con una persona a distancia en forma segura, econmica e instantnea se hizo real con el invento del telgrafo, que consista en la transmisin y conduccin de impulsos elctricos a travs de una lnea fsica conformado por un hilo metlico conductor, generalmente de una aleacin de cobre. Estos impulsos podan ser momentneos (puntos) o sostenidos (rayas) y a travs de estos se establecieron cdigos que permitan la transmisin de mensajes en cdigo (cdigo Morse) los cuales se descodificaban y se traducan al romance. Se usa tambin an el telgrafo ptico, que utiliza seales visuales, lumnicas en distancias relativamente cortas. Este no tiene lnea fsica y es muy utilizado en el mar.

Posteriormente, al sofisticarse la codificacin de los impulsos elctricos, estos empezaron a representar letras, desarrollndose el Telex, que permita la transmisin de letras y la composicin de frases y textos, bsicamente con el mismo principio del telgrafo, pero ms sofisticado en la codificacin de las seales que permitan a las mquinas llamadas teletipos la identificacin de las letras y la transmisin de mensajes en un lenguaje comprensible en forma directa.

Los mensajes se podan preparar previamente a la transmisin, hacindose una grabacin del mismo en una cinta de papel grueso o cartulina mediante perforaciones en la misma, igualmente podan quedar grabados a su recibo mediante una mquina que perforaba papel con la codificacin del mensaje que estaba llegando.

Finalmente viene la invencin del TELFONO por Graham Bell en 1876. Este artefacto permite modificar la intensidad de una corriente elctrica mediante un micrfono; convirtiendo en corriente de intensidad variable un grupo de sonidos, transportar esa corriente a travs de los hilos conductores y posteriormente reproducir de nuevo los sonidos inicialmente producidos en un extremo de la lnea, en el otro extremo al modular la seal elctrica de intensidad variable a travs de una membrana flexible que vibra acorde con la resistencia que ofrezca a la seal elctrica. Este invento puso a la gente a hablar de un extremo del mundo al otro.

Con el FAX vino la transmisin generalizada de TEXTO y de grficos por lnea telefnica y con el MODEM se puede establecer comunicacin entre computadores a travs de lnea telefnica, lo que ha desarrollado un nuevo mundo en las formas de comunicacin.

Actualmente la lnea fsica de cobre est siendo reemplazada en las redes telefnicas, por la fibra ptica, lo cual al suprimir la resistencia que presenta la lnea de cobre a la corriente elctrica y con la transmisin de parpadeos de luz, permite una mayor eficiencia y rapidez con un mnimo consumo de energa. La fibra ptica permite manejar simultneamente un gran nmero de comunicaciones aumentndose la capacidad de transmisin a travs de una sola lnea.

Vulnerabilidad

La comunicacin por lnea fsica puede ser fcilmente interferida y conocerse el mensaje que se transmite, pero se requiere de una conexin fsica sobre la lnea portadora en alguna parte de su recorrido, a travs de un empalme sobre el par de lneas. Para este empalme ha sido necesario cortar o pelar los cables portadores, segn se instale la intercepcin en serie o en paralelo, o conectarlos en una de las terminales. Para ello se seleccionan preferencialmente las consolas locales de distribucin de pares, o las entradas de las lneas a las instalaciones. Actualmente existen aparatos que cumplen el propsito de la intercepcin con el solo contacto fsico: se colocan sobre la superficie del cable sin que sea necesario cortarlos o pelarlos.

Una vez interceptada la lnea, la comunicacin que puede ser modulada o encriptada, puede ser grabada, transmitida a distancia o escuchada directamente.

En el caso de comunicaciones por FAX la intercepcin puede ser conectada directamente a un fax, o sta puede ser grabada y posteriormente pasar la grabacin por un fax, para la reproduccin del texto transmitido al papel. La informtica o transmisin de informacin a travs de redes de computador presenta situaciones tan complejas y variadas que sern tratadas en la materia de Seguridad Informtica.

Transmisin por radiofrecuencia: El radio, radiotelfono, telfono celular, satlites, computador

La radiofrecuencia (o sea la superior a 10.000 ciclos por segundo) permite la comunicacin a travs de la transmisin de voz, de sonidos o de seales sin necesidad de la existencia de lnea fsica entre los puntos enlazados. Hoy existen muchas modalidades en la utilizacin de frecuencias de radio para la realizacin de comunicaciones entre estaciones distantes. La ms comn es la que se establece entre un emisor/receptor de radio que emite seales moduladas y un emisor/ receptor de las mismas que est sintonizado en la misma frecuencia del emisor.

Podemos combinar o integrar mejor la utilizacin de aparatos de radio con aparatos telefnicos, en una sola comunicacin cuya seal transcurre parte por va radio y parte por lnea fsica telefnica, establecindose una comunicacin RADIOTELEFNICA, a travs de los dispositivos llamados PACH que toman la seal de radio frecuencia, la convierten en corriente de intensidad variable y la meten por la lnea fsica de la red telefnica hasta el lugar de destino.

Este sistema es muy comn hoy, especialmente con la utilizacin de redes de microondas que son portadoras de muchas seales enviadas por va radio entre puntos y complementando con la utilizacin de lneas telefnicas especialmente en comunicaciones de larga distancia. Hoy es muy comn la utilizacin de la TELEFONA CELULAR, que es una modalidad de empleo de radio frecuencias por un sistema de cubrimiento de alta densidad de torres repetidoras terrestres que reciben seales codificadas y las van llevando a travs de las reas por las cuales se desplazan los aparatos mviles emisor/receptores. Hay sistemas de telefona celular anlogos y digitales.

La utilizacin de satlites como estaciones repetidoras de seales de radiofrecuencia suspendidas en el espacio, libres de las interferencias que ocasionan irregularidades topogrficas de la tierra, abren unas perspectivas alentadoras para el futuro de las comunicaciones por radio frecuencia, lo que se conoce hoy en da como comunicacin satelital.

Vulnerabilidad

La intercepcin de transmisiones de radio se realiza con la sola sintonizacin de un receptor en la frecuencia que transmite. Obviamente hay que conocer la frecuencia, pero si no se conoce podemos valernos de un buscador de frecuencias (o scanner) que nos permite recorrer la gama de frecuencias del espectro y localizar la transmisin que buscamos, conociendo en esa forma la frecuencia en la cual se est haciendo la transmisin.

Esta vulnerabilidad ha hecho que se desarrollen muchos y sofisticados sistemas de encriptado de informacin y/o scrambler o mezclado de seales: con ruidos, con distorsiones, en las comunicaciones moduladas, de manera que se pueda realizar una transmisin irreconocible de la informacin hasta su destinatario, quien tendr la clave para invertir el proceso y devolver a la transmisin su contenido original para hacerla comprensible.

An la comunicacin celular, la cual utiliza sofisticados sistemas de codificacin de informacin es relativamente fcil de interceptar utilizando los aparatos adecuados. Cuando el sistema de telefona es anlogo, su intercepcin es ms sencilla y los costos de hacerlo son inferiores a los necesarios para interceptar telfonos de tecnologa digital. Esta ltima se intercepta igualmente, pero el costo de hacerlo es mayor.

La gran vulnerabilidad que a la intercepcin presentan las comunicaciones por radiofrecuencia, e inclusive por lnea fsica, o en sistemas que utilizan los dos medios, ha hecho que se desarrollen en forma acelerada sofisticadas tcnicas de encriptado de informacin. Actualmente toda la informacin financiera que se transmite por redes informticas de Bancos e instituciones financieras nacionales e internacionales va encriptada. Igualmente encriptan sus transmisiones muchas empresas nacionales, multinacionales, entidades gubernamentales, etc.

La sofisticacin de los mtodos de mezclado o de encriptado depende de los recursos de la entidad, puesto que hay sistemas muy costosos que emplean programas de computador diseados cuidadosamente para realizar encriptados mediante algoritmos aleatorios, es decir que cambian los patrones permanentemente y en una forma imposible de predecir.

Combinacin de medios: redes informticas

Estamos actualmente en la era del ciber espacio, a la era de internet, a la era de las SUPER AUTOPISTAS DE LA INFORMACIN, esto es a la comunicacin por medio de redes electrnicas de computadores. En estas redes se combinan las redes telefnicas de conduccin de informacin por lnea fsica: alambre de cobre y fibra ptica, y las de comunicacin por radio frecuencia, entre ellas las de microondas y telefona celular, con los computadores, los cuales utilizan estas redes telefnicas para comunicarse mediante una interfase o MODEM.

Una red informtica esta compuesta por los computadores de los usuarios, los cuales entran a la red a travs de un NODO o NDULO. Estos nodos son el alma de una red y pueden estar integrados por un computador o por un conjunto de computadores que contactan otros nodos para llevar al usuario navegante del ciber espacio hasta su destino final.

Los nodos son distribuidores que trazan caminos en el ciber espacio y a travs de los cuales podemos viajar por el mundo en busca de la informacin que queremos obtener. Es necesario que un nodo acte como proveedor de acceso a la red.

Adems de los Nodos, en una red informtica puede haber terminales de servicios. Estos son computadores que contienen datos o informacin especfica para la consulta gratis o pagada por parte de usuarios que ingresen a ellos.

PROBLEMAS EN EL MANEJO DE LA INFORMACIN

Actualmente cada uno de los riesgos de la informacin y sus derivaciones, se puede concretar sobre la informacin de la empresa.

Que la informacin se pierda

La posibilidad de que se presente una prdida de informacin: tecnolgica, cientfica, histrica, financiera, contable, etc., es un fantasma que ronda permanentemente las empresas, contra el cual se deben tomar medidas eficaces so pena de arriesgar la supervivencia misma de la empresa. Hoy se tiene la nocin de catstrofe informtica que corresponde a la prdida total o parcial, permanente o transitoria de informacin procesada o informtica, o a la suspensin del flujo de procesamiento de informacin, lo cual puede causar la paralizacin total o parcial, con traumatismos de gran envergadura y prdidas enormes a una empresa.

Que la informacin se altere o se deforme

La alteracin, cambio, o deformacin de la informacin es un recurso que es frecuentemente utilizado por defraudadores, por delincuentes de cuello blanco y por funcionarios que delinquen desde afuera o desde adentro contra la empresa, mediante la alteracin de registros contables, de movimientos de materias primas y de mercancas, informes de desarrollos tecnolgicos, anlisis estadsticos, etc.

Que la informacin llegue al enemigo o delincuente

Cualquier accin delictiva que se desarrolle contra la empresa, de cualquier tipo, requiere de INFORMACION PREVIA. El delincuente sin informacin no puede intentar nada serio contra la empresa o sus principales. Toda accin delictiva llevada a cabo, supone la posesin de informacin por parte del delincuente, informacin que generalmente no debi conocer, a la cual tuvo acceso por descuido o por carencia de un plan o programa de proteccin de informacin tendiente a evitar el uso indebido o inconveniente de informacin sensitiva, por parte de personas o de organizaciones, evitando que la informacin llegue a ser conocida por quienes no deben tener acceso a esa informacin.

Sistema de clasificacin de informacin

No hace mucho que la informacin considerada de suficiente importancia como para que mereciera un tratamiento especial en la empresa era informacin que produca nicamente la Presidencia o la Gerencia General. En poco tiempo esta situacin ha cambiado radicalmente, y hoy nos encontramos la evidencia de que informacin producida, originada en dependencias de bajo nivel de la empresa, puede ser crtica y un manejo imprudente de la misma puede ocasionarle serios reveses o prdidas a la empresa, e incluso amenazar su supervivencia. Por ello se hace necesario elaborar un plan cuidadoso y detallado que contemple en forma especfica la informacin a proteger y los mecanismos, el personal, los procedimientos, los controles, la supervisin que van a ser involucrados en la proteccin de la informacin.

Dentro de este programa, primeramente se deben fijar los criterios que nos determinarn qu informacin se debe proteger. Esta seleccin es absolutamente crucial: definir qu informacin de la empresa o de la entidad se debe proteger, va a ser crucial para el efecto que buscamos al decidir hacer proteccin de la informacin. Para esta seleccin debe tenerse en cuenta multitud de factores en funcin de la situacin, caractersticas, etc.

De manera que para asegurar la informacin y establecer medidas adecuadas para su manejo, se requiere inicialmente la deteccin de informacin sensible, es decir, aquella que su contenido debe ser protegido por alguna de las varias consideraciones que entran a jugar. Es necesario entonces, establecer parmetros para determinar qu informacin se debe considerar sensible y en qu grado de sensibilidad.

CLASIFICACIN DE LA INFORMACIN

La clasificacin de la informacin es la actividad a travs de la cual determinamos, dentro del gran volumen de la totalidad de la informacin que se maneja, cul de ella debe tener un manejo especial y en qu medida, por razn de la consideracin que se haya tenido en cuenta, ya que hay varias consideraciones para clasificar la informacin:

Con base a la importancia

Con base a la confidencialidad

Con base a la difusin

Con base a la confiabilidad de los usuarios

Puede haber otros criterios de clasificacin de acuerdo a las caractersticas de la empresa. Los que vamos a analizar son los ms empleados.

Clasificacin en base a la importancia de la informacin

La clasificacin en base a la importancia de la informacin hace relacin a la necesidad de establecer qu informacin se debe mantener, ntegra, completa y a evitar que esta informacin se pierda, se distorsione o se altere. La informacin que en base a los parmetros que se establezca, se clasifica dentro de los rangos altos de una escala de informacin importante debe ser informacin protegida bsicamente contra los riesgos de prdida de la informacin y de alteracin de la informacin, de acuerdo con las caractersticas de la empresa, la escala para la clasificacin puede contener mnimo tres posiciones y hasta cinco, incluso ms posiciones. Las tres posiciones bsicas pueden ser:

Informacin muy importante

Esta es informacin que debe tener la mxima proteccin fsica contra sustraccin, contra incendio, contra prdida por catstrofes como inundacin, terremoto, etc. Esta es informacin que bajo ninguna circunstancia se puede perder, cambiar o tergiversar. Generalmente se debe tener copias de esta informacin en lugares distantes y con las mismas medidas de seguridad, para garantizar que no se pierda an en el caso de que una de las copias desapareciera o se inutilizara.

Aunque es conveniente que el acceso a esta informacin sea clasificado y restringido a personas de una alta clasificacin de confiabilidad, lo que prima en este rango de informacin no es su confidencialidad, sino la necesidad de garantizar su integridad, que no se pierda y que no sea alterada en su contenido. La prdida de esta informacin o su alteracin puede comprometer la supervivencia de la empresa.

Informacin importante

Informacin que debe tener buena proteccin fsica que garantice su integridad y que evite su prdida, no obstante la prdida de esta informacin, aunque puede ocasionar serios reveses a la empresa, no se ver comprometida su supervivencia, por resta razn las medidas de seguridad a adoptar deben ser muy buenas, sin que se requieran las del primer grado de la clasificacin.

Informacin de poca importancia

Esta es una informacin que no requiere de medidas de seguridad especiales para su conservacin. Una normatividad ordinaria sobre produccin, manejo y archivo de documentos es suficiente. La prdida o alteracin de esta informacin no ocasionar ningn tipo de revs a la empresa.

Entre estas tres posiciones bsicas se puede intercalar una gama de posiciones intermedias que se adapten ms adecuadamente a las necesidades de la empresa, de manera que las medidas de seguridad para cada nivel sean las necesarias.

Clasificacin en base a la confidencialidad de la informacin

La clasificacin en base a la confidencialidad hace relacin concretamente a quin puede, quin no puede y quin no debe CONOCER LA INFORMACIN, aqu es donde se construye una escala de confidencialidad de informacin que puede ser:

Pblica

Informacin que puede ser conocida por todos los miembros de la organizacin e incluso por personas ajenas a la organizacin sin ninguna restriccin.

Reservada

Informacin que puede ser conocida solamente por los miembros de la organizacin, no debe ser conocida por personas ajenas a la organizacin.

Confidencial

Informacin que puede ser conocida por algunos miembros de la organizacin, aquellas que tienen un nivel de mando y un nivel de confianza, que los ubica dentro de un nivel de confiabilidad habilitado para conocer documentos o informacin confidencial. El acceso a informacin en este nivel no es generalizado, sino especfico. Los usuarios de esta informacin son personas clasificadas en un alto nivel de confiabilidad que los habilita para acceder a ella.

Restringida

Es el mximo nivel de confidencialidad. La informacin clasificada en este nivel solamente puede ser de conocimiento de algunos de los ms altos funcionarios de la organizacin, aquellos que tienen la mxima calificacin de confiabilidad.

La proteccin de informacin por razn de su confidencialidad tiene caractersticas un tanto diferentes a la proteccin que se debe dar a la informacin que se clasifica por razn de su importancia. El programa de manejo de informacin deber determinar QUIEN es la autoridad mxima que asigna los accesos, que certifica los niveles de confiabilidad y que determina la informacin que debe quedar clasificada en los niveles altos de clasificacin.

Clasificacin en base a la difusin de la informacin

Esta clasificacin hace relacin a QUIN DEBE conocer la informacin. Un programa de informacin debe contener instrucciones y prever el manejo de la informacin, no solamente en restringir el acceso a la informacin, sino que debe contemplar la forma y necesidades de la DIFUSIN de la informacin. Hoy puede ser ms daino para una empresa el que sus integrantes IGNOREN INFORMACIN VITAL, a que conozcan informacin de alguna restriccin.

La necesidad de conocer informacin por parte de empleados que la deben conocer para desempearse eficientemente, debe llevarnos a que la necesidad de conocer informacin requiere de una preparacin, de una capacitacin a las personas para manejar informacin con clasificacin de seguridad.

La utilizacin de redes de computadores dentro de las empresas se est generalizando y una vez se est trabajando en red, la implementacin de un correo o e-mail, es el paso siguiente casi que forzoso. De manera que la informacin ya no influir a travs a travs de memorandos y documentos que iban fsicamente en papel de una oficina a otra, sino que estar en el buzn de correspondencia del computador. CMO SE CONTROLA LA DIFUSIN DE LA INFORMACIN POR ESTE MEDIO?

Una clasificacin de informacin en base a la difusin puede tener las siguientes casillas:

Informacin de divulgacin general

Es informacin que debe ser conocida por toda la organizacin, su difusin debe contemplar a todas las personas que la integran. No hay restriccin en el caso de que la informacin traspase la organizacin misma y llegue fuera de sta.

Informacin de divulgacin limitada

Es informacin que debe ser conocida por un rea amplia de la organizacin a quien va dirigida especficamente, ejemplo: un nivel de gestin, personal de base, supervisores, etc.

Informacin de divulgacin especfica

Debe ser conocida nicamente por un sector restringido de la organizacin a la cual va dirigida en forma especfica, Departamento de Produccin, Seccin de Ventas.

Informacin de divulgacin restringida

Debe ser conocida nicamente por aquellos a quienes va dirigida la informacin en forma personal, o al cargo que desempea y no ms que a ellos. Debe ir en sobre cerrado y con alguna clasificacin de confiabilidad. En el caso de divulgacin por el servicio de correspondencia de la red de computador se deber acceder a ella mediante la utilizacin de password o claves personales.

Informacin de divulgacin exclusiva

Debe ser conocida nicamente en forma exclusiva por aquellos a quienes se ha decidido participar de su difusin. Un grupo pequeo y selecto. La comunicacin de la informacin clasificada en esta categora se debe hacer en forma personal y directa, y se debe advertir sobre el grado de clasificacin de confidencialidad que tiene la informacin en cuestin. En el caso de divulgacin por el servicio de correspondencia de la red de computador, se deber acceder a ella mediante la utilizacin de password o claves personales con el ms alto nivel de control.

Clasificacin en base a la confiabilidad de los usuarios de la informacin

El manejo de informacin clasificada supone la existencia de una clasificacin de usuarios de la informacin. La clasificacin de usuarios de informacin se suele hacer en base a la confiabilidad de usuarios.

Cuando se evala la confiabilidad de una persona estamos midiendo la seguridad que esa persona nos da de que la informacin que conocer no ser utilizada por ella en su propio beneficio personal o en contra de los intereses de la empresa, o de las personas que la integran, sino que ser manejada nicamente para los fines propios de la empresa y de sus objetivos institucionales.

La confiabilidad de los usuarios puede estar clasificada en cinco casillas o niveles:

Poco confiable

Confiabilidad negativa. A las personas en este nivel de confiabilidad no se les puede hacer partcipes de informacin con ningn nivel de clasificacin, la confiabilidad negativa puede ocasionarse en aspectos de carcter de la persona: dificultad para guardar la confidencialidad de una informacin, comunicabilidad excesiva, o puede ocasionarse en sospechas sobre su lealtad, posibilidad que trabaje para la competencia, para la delincuencia, etc.

Sin clasificacin de confiabilidad

La gran mayora de los empleados, especialmente en el nivel de operarios puede encontrarse en esta clasificacin de confiabilidad: No tienen clasificacin de confiabilidad evaluada, pero nada indica que no pueden ser confiables. No se recomienda la divulgacin de informacin clasificada a personal con esta clasificacin de confiabilidad, sin antes realizar una capacitacin o al menos una instruccin, adems de hacer las correspondientes evaluaciones de confiabilidad para asignar niveles de confiabilidad.

Normalmente confiable

Es una persona cuya lealtad a la empresa no est en discusin y que mediante una advertencia previa puede mantener la confidencialidad de informacin de rutina, especialmente en lo concerniente a su trabajo. A estas personas no se les ha tomado compromiso de confidencialidad, por lo cual no deben tener acceso a informacin con alta clasificacin de confiabilidad.

Confiable

Persona cuya confiabilidad est probada, que puede manejar informacin de alto grado de confidencialidad. A estas personas, adems de la evaluacin de confiabilidad que ha resultado de una investigacin y de pruebas de confiabilidad, se les ha tomado la firma en un documento de compromiso de guardar la confidencialidad sobre informacin clasificada que conozca en la empresa.

Muy confiable

Personal con el mximo grado de confiabilidad en la empresa. No es necesario mantener ningn secreto. Tiene acceso a toda la informacin, esto es el dueo de la empresa, por as decirlo en alguna forma. Obviamente los funcionarios con este grado de confiabilidad han pasado la investigacin y pruebas de confiabilidad, adems de haber firmado el documento de compromiso de confiabilidad.

Se recomienda la realizacin de investigaciones de seguridad, de pruebas de lealtad, de exmenes y pruebas de confiabilidad, la utilizacin de fisigrafos o polgrafos en estudios de confiabilidad, los cuales deben realizarse peridicamente a los funcionarios de alta confianza y a los que manejan documentacin de alta clasificacin de la empresa.

PLANIFICACIN DE SEGURIDAD DE LA INFORMACIN.

Dentro del proceso de seguridad de la informacin es necesario que tomemos en cuenta:

La informacin debe ser obtenida y usada solo para propsitos especficos y exclusivos de la empresa.

Debe ser adecuada, relevante y no excesiva

Debe ser acertada y actualizada siempre que sea necesario

La informacin debe ser integrada y procesada

La informacin debe ser conservada el tiempo necesario

Debe archivarse con seguridad

Debe ser difundida nicamente a las personas que requieran la informacin.

Para la correcta administracin de la Seguridad de la Informacin, se deben establecer y mantener programas que busquen cumplir con los tres requerimientos de mayor importancia: La disponibilidad, la confidencialidad y la disponibilidad de los recursos de las organizaciones, siendo los tres requerimientos bsicos definidos como:

Confidencialidad.-Para la Seguridad de Informacin, la confidencialidad busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la informacin. La prdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicacin intencional de informacin confidencial de la organizacin.

Integridad.- Para la Seguridad de la Informacin, el concepto de Integridad busca asegurar:

Que no se realicen modificaciones por personas no autorizadas a los datos, informacin o procesos

Que no se realicen modificaciones no autorizadas por personal autorizado a los datos, informacin o procesos

Que los datos o informacin sea consistente tanto interna como externamente.

Disponibilidad.- Para la Seguridad de Informacin, la disponibilidad busca el acceso confiable y oportuno a los datos, informacin o recursos para el personal apropiado.

APLICACIN DE LA CONFIDENCIALIDAD

PBLICA

RESERVADA

CONFIDENCIAL

RESTRINGIDA

Descripcin

Informacin no sensible, disponible a todo pblico.

Informacin que generalmente es accesible a empleados de la empresa, previa autorizacin.

Informacin que es sensible para la empresa y que debe ser usada exclusivamente por grupos especficos de empleados.

Informacin que es extremadamente sensible o vital para la empresa y que debe ser usada nicamente por ciertos individuos a nivel gerencial.

Impacto negativo del acceso no autorizado a la informacin

Sin efecto

Limitado efecto

Efecto significativo:

Puede producir implicaciones financieras o legales menores a la empresa.

Puede afectar a la imagen de la empresa.

Impacto severo:

Puede ocasionar dao financiero o legal severo a la empresa.

Puede ocasionar el cierre de la empresa.

Puede ocasionar daos severos financieros a los clientes.

Puede destruir la imagen de la empresa.

Restricciones de acceso

Accesible a todos los empleados

Accesible a empleados y no empleados autorizados, con propsitos de negocios.

Se debe mantener un registro.

El acceso solamente se puede autorizar a personal seleccionado y para fines netamente comerciales comprobados.

Se debe mantener un registro.

El acceso debe estar limitado a personas autorizadas,

(Nivel gerencial), para la toma de decisiones.

Se debe mantener un registro.

APLICACIN DE INTEGRIDAD

INTEGRIDAD

DEFINICIN

Alta

100% libre de errores

Media

96-99% libre de errores

Baja

90-95% libre de errores

Pueden ser de cualquier nivel de confiabilidad, pero ser fundamental la integridad en el momento de la toma de decisiones.

APLICACIN DE DISPONIBILIDAD

CALIFICACIN

DISPONIBILIDAD

ALTA

Uso exclusivo para reuniones gerenciales, inmediata. (Restringida).

Para fines comerciales comprobados, mximo un da.

(Confidencial)

MEDIA

Para fines comerciales, con autorizacin, de uno a cinco das, (Reservada)

BAJA

Sin interrupcin de acceso (Pblica).

EL MANEJO DE LA INFORMACIN

Determinar los requerimientos de almacenamiento fsico.

Determinar tiempo de almacenamiento de la informacin.

Determinar el manejo de la informacin.

PBLICA

RESERVADA

CONFIDENCIAL

RESTRINGIDA

Almacenamiento de informacin (magntica)

Sin controles de seguridad requeridos

El almacenamiento en el rea o departamento debe adecuarse para prevenir accesos casuales.

Se debe seleccionar el lugar adecuado para guardar los respaldos.

La informacin puede requerir encripcin. Si es as deben utilizarse mtodos adecuados.

Requiere de respaldos en un lugar establecido.

La informacin original y los respaldos deben ser encriptadas obligatoriamente.

Almacenamiento de los medios de informacin impresos

Sin controles de seguridad requeridos

El almacenamiento en el rea o departamento debe adecuarse para prevenir accesos casuales.

La informacin debe almacenarse bajo llave y en un ambiente seguro

La informacin debe almacenarse en caja fuerte.

Rotulacin de la informacin

No se requiere rotulacin

Debe ser rotulada de acuerdo a la clasificacin

Deben tener una pasta con la marca de Confidencial cada pgina debe estar marcada con CONFIDENCIAL

Debe tener una pasta de RESTRINGIDO.

Cada pgina debe estar marcada con RESTRINGIDO

Las copias individuales del documento deben contener un identificador nico.

Destruccin de medios fsicos (ej. Papel/medio magntico)

Mediante planificacin de incineracin, de acuerdo a las necesidades.

Mediante planificacin de incineracin, con actas de respaldo y con presencia de un delegado del departamento de seguridad.

Mediante planificacin de incineracin, con actas de respaldo y con presencia de un delegado del departamento de seguridad.

Mediante acta de resolucin a nivel gerencial de la empresa.

Con acta de incineracin y en presencia del Gerente de Seguridad.

Hay que tomar en cuenta que toda informacin pasada se convierte en un archivo pasivo, que nos permite actualizar o integrar con informacin presente para formular proyecciones futuras.

LA DISTRIBUCIN DE LA INFORMACIN (DESINSTALACIN E INTERCAMBIO)

Determinar el proceso de autorizacin de uso de informacin

Forma de transmitir la informacin

Tiempo de uso de la informacin

CONFIDENCIAL

RESTRINGIDA

Distribucin

Se debe elaborar listado de personas autorizadas a la utilizacin de la informacin, deben ser mnimas.

Las copias deben ser numeradas y registradas a quien se entregan.

Solo a personal autorizado.

Se recomienda no sacar copias de esta informacin para su uso.

Se debe registrar las personas que tienen acceso a esta informacin en las juntas gerenciales.

Envo

Se debe marcar en la envoltura externa todos los datos de la persona que recibir la informacin, con la fecha de salida.

Debe estar marcado el nombre, direccin y telfono del remitente.

Se debe escribir PARA USO EXCLUSIVO DEL DESTINATARIO.

Se recomienda esta informacin entregarla personalmente en gerencia, por el encargado de manejar dicha informacin.

En la gran mayora de casos, se enva informacin por medio internet, para lo cual se recomienda utilizar todas las medidas de seguridad que posteriormente se analizarn en la materia de seguridad informtica.

MODELO DE PLANIFICACIN BSICA DE PROTECCIN Y ACCESO A LA INFORMACIN

Las consideraciones bsicas para realizar una planificacin de proteccin y acceso a la informacin son las siguientes:

1. Organizacin de la informacin.

Toda la informacin que tenemos en nuestro departamento, la organizamos de acuerdo al medio en el que ha sido difundido (magntico, grfico, impreso, etc.), y de acuerdo a cada campo Ejm: (proveedores, clientes, empleados, etc.)

2. Clasificacin de confidencialidad.

Determinamos si la informacin es pblica, reservada, confidencial o restringida.

3. Formas de almacenamiento

Seleccionamos la manera como archivaremos la informacin, sea en dispositivos magnticos, carpetas, etc.

Los lugares en los que mantendremos almacenada la informacin.

Las seguridades que debe tener la informacin.

Lugares y forma de guardar el respaldo de la informacin necesaria de acuerdo al nivel de importancia.

4. Administracin de la informacin

Determinamos la persona encargada de administrar esta informacin, en base a un anlisis de sus antecedentes personales y profesionales.

5. Difusin y uso de la Informacin

Determinamos los medios por los que distribuiremos la informacin y seleccionamos las personas que podrn acceder a dicha informacin.

Este modelo puede servir de base para la planificacin de la seguridad de la informacin en las empresas de acuerdo a sus propias caractersticas.

BIBLIOGRAFA

Compendio Didctico de Seguridad Fsica de Manuel Antonio Novoa Bermudez

Protection of Assets Manual, Timothy J. Walsh, 1989, The Merritt Company.

Protecting Your Business Against Espionage, Timothy J. Walsh, Richard J. Healy, 1973, AMACOM, a Division of American Management Association.

Introduction to Security, Gion Green, 1989, Butterworth Publisher.

PAGE

15