Política de clasificación de la información

1. OBJETO 

El objetivo de esta política es definir las reglas y pautas para clasificar la información según su sensibilidad y criticidad para la seguridad de la información. 

2. ALCANCE 

Esta política se aplica a todos los activos de información que son propiedad, utilizados o gestionados por la organización, independientemente de su formato, ubicación o medio.  

Los usuarios de este documento son todos los empleados de TALASANA S.L.  

3. DOCUMENTOS RELACIONADOS 

Los siguientes documentos están relacionados con esta política 

  • Norma ISO/IEC 27001 
  • Política de seguridad de la información 
  • Informe sobre la evaluación y tratamiento de riesgos 
  • Declaración de aplicabilidad 
  • Inventario de activos 
  • Procedimiento de gestión de incidentes 

4. INFORMACIÓN CLASIFICADA 

4.1. Pasos y responsabilidades 

Los pasos y responsabilidades para la gestión de la información son los siguientes:  

# Nombre del paso Responsabilidad 
Ingreso del activo de información en el inventario de activos CTO 
Clasificación de la información Propietario del activo 
Etiquetado de la información Propietario del activo 
Manejo de la información Personas que poseen derechos de acceso de acuerdo con esta Política 

Si la información clasificada proviene de fuera de la organización, el receptor se convierte en el propietario de ese activo de información y se convierte en responsable de su clasificación según las reglas establecidas en esta Política. 

4.2. Clasificación de la información 

4.2.1. Criterios de clasificación 

El nivel de confidencialidad se determina de acuerdo con los siguientes criterios: 

  • Valor de la información: según los impactos evaluados durante la evaluación de riesgos.  
  • Sensibilidad y grado crítico de la información: según el mayor riesgo calculado para cada elemento de información durante la evaluación de riesgos.  
  • Obligaciones legales y contractuales cuando apliquen 

4.2.2. Niveles de confidencialidad 

Toda la información debe ser clasificada en niveles de confidencialidad 

Nivel de confidencialidad Etiquetado Criterios de clasificación Restricción de acceso 
Pública (Sin etiquetar) Hacer pública la información no puede dañar a la organización de ninguna forma La información está disponible para todo el público 
Uso interno USO INTERNO El acceso no autorizado a la información podría ocasionar daños y/o inconvenientes menores a la organización La información está disponible para todos los empleados y terceros seleccionados 
Restringida RESTRINGIDA El acceso no autorizado a la información podría dañar de forma considerable el negocio y/o la reputación de la organización La información está disponible solamente para un grupo especifico de empleados y terceros autorizados 
Confidencial CONFIDENCIAL El acceso no autorizado a la información podría dañar de forma catastrófica (irreparable) el negocio y/o la reputación de la organización La información está disponible solamente para personas de la organización 

La regla básica es utilizar el nivel de confidencialidad más bajo garantizando un adecuado nivel de protección para evitar gastos de protección innecesarios. 

4.2.3. Lista de personas autorizadas 

  • La información clasificada como “RESTRINGIDA” y “CONFIDENCIAL” debe estar acompañada de una Lista de personas autorizadas en la que el propietario de la información específica los nombres o los cargos de las personas que tienen derechos de acceso para esa información. 
  • La misma regla aplica para el nivel de confidencialidad “USO INTERNO” si las personas externas a la organización tendrán acceso a esos documentos. 

4.2.4. Reclasificación 

Los propietarios de activos deben revisar el nivel confidencialidad de sus activos de información cada dos años y deben evaluar si se puede cambiar dicho nivel. Si es posible, deberían bajarlo. 

4.3. Etiquetado de la información  

Los niveles de confidencialidad son etiquetados de la siguiente forma: 

  • Documentos en papel: se indica el nivel de confidencialidad en la esquina superior derecha de cada página del documento.  
  • Documentos electrónicos: se indica el nivel de confidencialidad en la esquina superior derecha de cada página del documento. 
  • Sistemas de información: el nivel de confidencialidad está en el inventario. 
  • Correo electrónico: se indica el nivel de confidencialidad en la primera línea del cuerpo del correo electrónico. 
  • Soporte de almacenamiento electrónico (discos, tarjetas de memoria, etc.): se debe indicar el nivel de confidencialidad sobre la superficie de cada soporte. 
  • Información transmitida oralmente: el nivel de confidencialidad de la información confidencial que se transmite a través de una comunicación cara a cara, por teléfono o por alguna otra vía de comunicación debe ser comunicado antes que la información propiamente dicha. 

4.4. Manejo de información clasificada 

Todas las personas que tienen acceso a información clasificada deben seguir las reglas enumeradas en el siguiente cuadro. El CTO debe activar acciones disciplinarias cada vez que se no se cumplan las reglas o si la información se transmite a personas no autorizadas. Cada incidente relacionado con el manejo de información clasificada debe ser reportado de acuerdo con el Procedimiento para gestión de incidentes. 

 Uso interno Restringido1 Confidencial1 
Documentos en papel Solo las personas autorizadas pueden tener acceso Si es enviado fuera de la organización, el documento debe ser enviado por correo certificado Los documentos solo pueden ser guardados en habitaciones sin acceso público Los documentos deben ser retirados frecuentemente de las impresoras El documento debe ser almacenado en un gabinete con llave Los documentos pueden ser transferidos dentro y fuera de la organización solamente en un sobre cerrado Si es enviado fuera de la organización, el documento debe ser enviado con acuse de recibo Los documentos deben ser retirados inmediatamente de las impresoras y máquinas de fax Solamente el propietario del documento puede copiarlo Solamente el propietario del documento puede destruirlo El documento debe ser almacenado en una caja fuerte El documento puede ser transferidos dentro y fuera de la organización solamente por una persona confiable y un sobre cerrado y sellado. No está permitido enviar el documento por fax Es posible imprimir el documento solo si la persona autorizada está al lado de la impresora 
Documentos electrónicos Solo las personas autorizadas pueden tener acceso Cuando se intercambian archivos a través de servicios como FTP, mensajería instantánea, etc., deben estar protegidos con clave El acceso de los sistemas de información en los que están almacenados los documentos debe estar protegido por una clave segura La pantalla en la que se encuentra el documento debe bloquearse automáticamente después de 5 minutos de inactividad máximo  Solo las personas con autorización para este documento pueden acceder a la parte del sistema de información en el que está guardado el documento Cuando se intercambian archivos a través de servicios como FTP, mensajería instantánea, etc. deben estar encriptados. Solamente el propietario del documento puede borrarlo El documento debe ser almacenado en un formato encriptado El documento solamente puede ser archivado en servidores controlados por la organización El documento no debe ser intercambiado a través de servicios como FTP, mensajería instantánea, etc. 
Controles de auditoría Solo las personas autorizadas pueden tener acceso El acceso al sistema de información debe estar protegido por una clave segura La pantalla debe bloquearse automáticamente después de 5 minutos de inactividad máximo El sistema de información puede estar ubicado solamente en habitaciones con acceso físico controlado  Los usuarios deben finalizar la sesión en el sistema de información si abandonan temporal o permanentemente su lugar de trabajo Los datos deben ser borrados solamente con un algoritmo que garantice el un borrado seguro  El acceso al sistema de información debe estar controlado mediante un proceso de autenticación que utilice tarjetas inteligentes o lectores biométricos El sistema de información solamente puede ser instalado en servidores controlados por la organización El sistema de información solamente puede estar ubicado en habitaciones con acceso físico controlado y con control de identidad de personas 
Correo electrónico Solo las personas autorizadas pueden tener acceso El remitente debe verificar cuidadosamente el destinatario Aplican todas las reglas mencionadas para “Sistemas de Información”  El correo electrónico debe estar encriptado si se envía fuera de la organización   Todos los correos electrónicos deben ser encriptados 
Soportes de almacenamiento electrónico Solo las personas autorizadas pueden tener acceso Los soportes o archivos deben estar protegidos con clave Si es enviado fuera de la organización, el soporte debe ser enviado por correo certificado El soporte solamente puede ser guardado en habitaciones con acceso físico controlado  Los soportes y archivos deben estar encriptados El soporte debe ser almacenado en un gabinete con llave Si es enviado fuera de la organización, el soporte debe ser enviado con acuse de recibo Solo el propietario del soporte puede borrar sus datos o destruirlo El soporto debe ser almacenado en una caja fuerte El soporte puede ser transferido dentro y fuera de la organización solamente por una persona confiable y en un sobre cerrado y sellado 
Información transmitida oralmente Solo las personas autorizadas pueden tener acceso a la información Las personas no autorizadas no deben estar presentes en la habitación cuando se comunica la información  La habitación debe tener aislamiento acústico. La conversación no debe ser grabada  La conversación mantenida a través de vías de comunicación debe ser encriptada No se debe guardar ninguna transcripción de la conversación 

5. Gestión de registros guardados en base a este documento 

El Cloud mantiene la lista de personas autorizadas a acceder a cada uno de los activos de información alojados en él, además de guardar una auditoría de versiones de los documentos. 

El servidor web funciona mediante una instalación WordPress que controla los roles y permisos de todos los usuarios. El acceso de administración al servidor web queda fuera del alcance, al no estar gestionado por Talasana. 

6. Validez y gestión de documentos 

Este documento es válido hasta que sea sustituido por una versión posterior. 

El propietario de este documento es el CTO, que debe verificar, y si es necesario actualizar, el documento por lo menos una vez al año. 

Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los criterios indicados en la Política de Seguridad de la Información, en especial el de proporcionalidad.