Anexo 2 Seguridad

ANALISIS Y SEGURIDAD DE LA INFORMACIN
ANEXO 2 SEGURIDAD DE LA INFORMACIN

Estamos en una poca de disponibilidad e intercambio de informacin. Con los avances de la
tecnologa, la informacin esta a disposicin de la audiencia mundial, por lo que es importante la
clasificacin de la informacin y la designacin de responsabilidades de las personas que tienen acceso
a dicha informacin.
La informacin de acuerdo al impacto que pueda tener dentro de la empresa vara en sus niveles de
sensibilidad y criticidad, por lo que es necesario realizar un esquema de clasificacin de la informacin.
INFORMACIN
La informacin puede ser definida como cualquier comunicacin, incluyendo hechos, datos u
opiniones, ciertas o no; registradas por cualquier medio; sea numrica, grfica o narrativa, y conservada
en cualquier medio, incluyendo bases de datos computarizadas, papel, microfichas, cds, dikettes, etc.
Ejemplos:
Informacin financiera: Registro histrico de roles pagos, ingresos y egresos econmicos, precios
de productos o servicios para clientes, precios de productos o servicios de proveedores, etc.
Informacin de talento humano: Datos de personal que labora en la empresa, orgnico estructural
y funcional de la empresa, registro histrico de desempeo, proyecciones, fortalezas y debilidades,
etc.
Otra informacin confidencial de negocios: alianzas estratgicas, proyectos especficos,

informacin de mercadeo, expansin, metas de mercadeo, contratacin, nuevos productos y
servicios, inventos y descubrimientos, polticas de estado relacionadas a la actividad de la empresa,
etc.
SEGURIDAD DE LA INFORMACIN
Es el conjunto de metodologas, prcticas y procedimientos que buscan proteger la informacin como
activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que esta expuesta, a
efectos de asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el
retorno de inversiones y las oportunidades del negocio.
MEDIOS QUE CONTIENEN O TRANSMITEN INFORMACIN
Al hablar del manejo de la informacin nos referiremos a los medios a travs de los cuales la
informacin se registra, se mantiene o almacena, se transporta o se defiende. Esos medios son:
Informacin impresa o escrita

Hace relacin a la informacin que se registra por medio de caracteres convencionales en un medio
capaz de contenerla para almacenarla y tenerla disponible para transporte, consulta o manejo.
Informacin grabada
La informacin se registra en medios magnticos y la llamaremos grabada. Mediante grabacin
realizada a travs de artefactos podemos registrar informacin sonora o audible, la cual se puede
grabar modulada, codificada o encriptada.
Informtica
El manejo de grandes volmenes de informacin, la posibilidad de almacenar esos grandes
volmenes, de procesarlos, manipularlos para obtener de ellos estadsticas, tendencias,
comportamientos sociales o colectivos, es posible hoy gracias al desarrollo tecnolgico de los
computadores (hardware) y de los programas de computacin (software) lo que ha dado origen a la
informtica, cual es justamente la ciencia del manejo de la informacin en grandes volmenes a
travs del uso de ordenadores.
La informacin es registrada en contenedores magnticos como cintas y discos y ltimamente en
discos pticos que se pueden grabar y regrabar con informacin.
La multimedia, al digitalizar la informacin permite no solamente grabar informacin documental,
audio y video, sino que permite manipular, modificar, procesar en formas muy variadas la
informacin registrada, de manera que la realizacin de montajes fotogrficos, la manipulacin de
audio, tal como la construccin de conversaciones ficticias al unir partes de conversaciones
verdaderas, se volvi muy sencillo y los resultados son prcticamente perfectos cuando se maneja
informacin digitalizada por medio de los programas adecuados.
Medios que transmiten informacin

La transmisin de informacin en un emisor y un receptor se llama comunicacin. La comunicacin
se ha desarrollado por la necesidad de difundir informacin: Hacer que sta llegue ms rpido, ms
completa, a ms lugares, a ms usuarios.
Conduccin fsica de la informacin: Mensajeros

Para esta actividad podemos utilizar exclusivamente a una persona, la cual lleva y trae informacin
en cualquier medio.
Vulnerabilidad
La interceptacin de los mensajeros para conocer el mensaje, adems de la venta de informacin a
la competencia.
2
Transmisin por lnea fsica: El telgrafo, el, el telfono, el computador

La posibilidad de comunicarse con una persona a distancia en forma segura, econmica e
instantnea se hizo real con el invento del telgrafo, que consista en la transmisin y conduccin
de impulsos elctricos a travs de una lnea fsica conformado por un hilo metlico conductor,
generalmente de una aleacin de cobre. Estos impulsos podan ser momentneos (puntos) o
sostenidos (rayas) y a travs de estos se establecieron cdigos que permitan la transmisin de
mensajes en cdigo (cdigo Morse) los cuales se descodificaban y se traducan al romance. Se usa
tambin an el telgrafo ptico, que utiliza seales visuales, lumnicas en distancias relativamente
cortas. Este no tiene lnea fsica y es muy utilizado en el mar.
Posteriormente, al sofisticarse la codificacin de los impulsos elctricos, estos empezaron a
representar letras, desarrollndose el Telex, que permita la transmisin de letras y la composicin
de frases y textos, bsicamente con el mismo principio del telgrafo, pero ms sofisticado en la
codificacin de las seales que permitan a las mquinas llamadas teletipos la identificacin de
las letras y la transmisin de mensajes en un lenguaje comprensible en forma directa.
Los mensajes se podan preparar previamente a la transmisin, hacindose una grabacin del
mismo en una cinta de papel grueso o cartulina mediante perforaciones en la misma, igualmente
podan quedar grabados a su recibo mediante una mquina que perforaba papel con la codificacin
del mensaje que estaba llegando.
Finalmente viene la invencin del TELFONO por Graham Bell en 1876. Este artefacto permite
modificar la intensidad de una corriente elctrica mediante un micrfono; convirtiendo en corriente
de intensidad variable un grupo de sonidos, transportar esa corriente a travs de los hilos
conductores y posteriormente reproducir de nuevo los sonidos inicialmente producidos en un
extremo de la lnea, en el otro extremo al modular la seal elctrica de intensidad variable a travs
de una membrana flexible que vibra acorde con la resistencia que ofrezca a la seal elctrica. Este
invento puso a la gente a hablar de un extremo del mundo al otro.
Con el FAX vino la transmisin generalizada de TEXTO y de grficos por lnea telefnica y con el
MODEM se puede establecer comunicacin entre computadores a travs de lnea telefnica, lo que
ha desarrollado un nuevo mundo en las formas de comunicacin.
Actualmente la lnea fsica de cobre est siendo reemplazada en las redes telefnicas, por la fibra
ptica, lo cual al suprimir la resistencia que presenta la lnea de cobre a la corriente elctrica y con
la transmisin de parpadeos de luz, permite una mayor eficiencia y rapidez con un mnimo
consumo de energa. La fibra ptica permite manejar simultneamente un gran nmero de
comunicaciones aumentndose la capacidad de transmisin a travs de una sola lnea.
Vulnerabilidad
La comunicacin por lnea fsica puede ser fcilmente interferida y conocerse el mensaje que se
transmite, pero se requiere de una conexin fsica sobre la lnea portadora en alguna parte de su
recorrido, a travs de un empalme sobre el par de lneas. Para este empalme ha sido necesario
3

cortar o pelar los cables portadores, segn se instale la intercepcin en serie o en paralelo, o
conectarlos en una de las terminales. Para ello se seleccionan preferencialmente las consolas
locales de distribucin de pares, o las entradas de las lneas a las instalaciones. Actualmente existen
aparatos que cumplen el propsito de la intercepcin con el solo contacto fsico: se colocan sobre la
superficie del cable sin que sea necesario cortarlos o pelarlos.
Una vez interceptada la lnea, la comunicacin que puede ser modulada o encriptada, puede ser
grabada, transmitida a distancia o escuchada directamente.
En el caso de comunicaciones por FAX la intercepcin puede ser conectada directamente a un fax,
o sta puede ser grabada y posteriormente pasar la grabacin por un fax, para la reproduccin del
texto transmitido al papel. La informtica o transmisin de informacin a travs de redes de
computador presenta situaciones tan complejas y variadas que sern tratadas en la materia de
Seguridad Informtica.
Transmisin por radiofrecuencia: El radio, radiotelfono, telfono celular, satlites,

computador
La radiofrecuencia (o sea la superior a 10.000 ciclos por segundo) permite la comunicacin a travs
de la transmisin de voz, de sonidos o de seales sin necesidad de la existencia de lnea fsica entre
los puntos enlazados. Hoy existen muchas modalidades en la utilizacin de frecuencias de radio
para la realizacin de comunicaciones entre estaciones distantes. La ms comn es la que se
establece entre un emisor/receptor de radio que emite seales moduladas y un emisor/ receptor de
las mismas que est sintonizado en la misma frecuencia del emisor.
Podemos combinar o integrar mejor la utilizacin de aparatos de radio con aparatos telefnicos, en
una sola comunicacin cuya seal transcurre parte por va radio y parte por lnea fsica telefnica,
establecindose una comunicacin RADIOTELEFNICA, a travs de los dispositivos llamados
PACH que toman la seal de radio frecuencia, la convierten en corriente de intensidad variable y la
meten por la lnea fsica de la red telefnica hasta el lugar de destino.
Este sistema es muy comn hoy, especialmente con la utilizacin de redes de microondas que son
portadoras de muchas seales enviadas por va radio entre puntos y complementando con la
utilizacin de lneas telefnicas especialmente en comunicaciones de larga distancia. Hoy es muy
comn la utilizacin de la TELEFONA CELULAR, que es una modalidad de empleo de radio
frecuencias por un sistema de cubrimiento de alta densidad de torres repetidoras terrestres que
reciben seales codificadas y las van llevando a travs de las reas por las cuales se desplazan los
aparatos mviles emisor/receptores. Hay sistemas de telefona celular anlogos y digitales.
La utilizacin de satlites como estaciones repetidoras de seales de radiofrecuencia suspendidas
en el espacio, libres de las interferencias que ocasionan irregularidades topogrficas de la tierra,
abren unas perspectivas alentadoras para el futuro de las comunicaciones por radio frecuencia, lo
que se conoce hoy en da como comunicacin satelital.
Vulnerabilidad
4

La intercepcin de transmisiones de radio se realiza con la sola sintonizacin de un receptor en la
frecuencia que transmite. Obviamente hay que conocer la frecuencia, pero si no se conoce podemos
valernos de un buscador de frecuencias (o scanner) que nos permite recorrer la gama de
frecuencias del espectro y localizar la transmisin que buscamos, conociendo en esa forma la
frecuencia en la cual se est haciendo la transmisin.
Esta vulnerabilidad ha hecho que se desarrollen muchos y sofisticados sistemas de encriptado de
informacin y/o scrambler o mezclado de seales: con ruidos, con distorsiones, en las
comunicaciones moduladas, de manera que se pueda realizar una transmisin irreconocible de la
informacin hasta su destinatario, quien tendr la clave para invertir el proceso y devolver a la
transmisin su contenido original para hacerla comprensible.
An la comunicacin celular, la cual utiliza sofisticados sistemas de codificacin de informacin es
relativamente fcil de interceptar utilizando los aparatos adecuados. Cuando el sistema de telefona
es anlogo, su intercepcin es ms sencilla y los costos de hacerlo son inferiores a los necesarios
para interceptar telfonos de tecnologa digital. Esta ltima se intercepta igualmente, pero el costo
de hacerlo es mayor.
La gran vulnerabilidad que a la intercepcin presentan las comunicaciones por radiofrecuencia, e
inclusive por lnea fsica, o en sistemas que utilizan los dos medios, ha hecho que se desarrollen en
forma acelerada sofisticadas tcnicas de encriptado de informacin. Actualmente toda la
informacin financiera que se transmite por redes informticas de Bancos e instituciones
financieras nacionales e internacionales va encriptada. Igualmente encriptan sus transmisiones
muchas empresas nacionales, multinacionales, entidades gubernamentales, etc.
La sofisticacin de los mtodos de mezclado o de encriptado depende de los recursos de la entidad,
puesto que hay sistemas muy costosos que emplean programas de computador diseados
cuidadosamente para realizar encriptados mediante algoritmos aleatorios, es decir que cambian los
patrones permanentemente y en una forma imposible de predecir.
Combinacin de medios: redes informticas

Estamos actualmente en la era del ciber espacio, a la era de internet, a la era de las SUPER
AUTOPISTAS DE LA INFORMACIN, esto es a la comunicacin por medio de redes
electrnicas de computadores. En estas redes se combinan las redes telefnicas de conduccin de
informacin por lnea fsica: alambre de cobre y fibra ptica, y las de comunicacin por radio
frecuencia, entre ellas las de microondas y telefona celular, con los computadores, los cuales
utilizan estas redes telefnicas para comunicarse mediante una interfase o MODEM.
Una red informtica esta compuesta por los computadores de los usuarios, los cuales entran a la red
a travs de un NODO o NDULO. Estos nodos son el alma de una red y pueden estar integrados
por un computador o por un conjunto de computadores que contactan otros nodos para llevar al
usuario navegante del ciber espacio hasta su destino final.

Los nodos son distribuidores que trazan caminos en el ciber espacio y a travs de los cuales
podemos viajar por el mundo en busca de la informacin que queremos obtener. Es necesario que
un nodo acte como proveedor de acceso a la red.
Adems de los Nodos, en una red informtica puede haber terminales de servicios. Estos son
computadores que contienen datos o informacin especfica para la consulta gratis o pagada por
parte de usuarios que ingresen a ellos.
PROBLEMAS EN EL MANEJO DE LA INFORMACIN
Actualmente cada uno de los riesgos de la informacin y sus derivaciones, se puede concretar sobre la
informacin de la empresa.
Que la informacin se pierda

La posibilidad de que se presente una prdida de informacin: tecnolgica, cientfica, histrica,
financiera, contable, etc., es un fantasma que ronda permanentemente las empresas, contra el cual
se deben tomar medidas eficaces so pena de arriesgar la supervivencia misma de la empresa. Hoy
se tiene la nocin de catstrofe informtica que corresponde a la prdida total o parcial,
permanente o transitoria de informacin procesada o informtica, o a la suspensin del flujo de
procesamiento de informacin, lo cual puede causar la paralizacin total o parcial, con
traumatismos de gran envergadura y prdidas enormes a una empresa.
Que la informacin se altere o se deforme

La alteracin, cambio, o deformacin de la informacin es un recurso que es frecuentemente
utilizado por defraudadores, por delincuentes de cuello blanco y por funcionarios que delinquen
desde afuera o desde adentro contra la empresa, mediante la alteracin de registros contables, de
movimientos de materias primas y de mercancas, informes de desarrollos tecnolgicos, anlisis
estadsticos, etc.
Que la informacin llegue al enemigo o delincuente

Cualquier accin delictiva que se desarrolle contra la empresa, de cualquier tipo, requiere de
INFORMACION PREVIA. El delincuente sin informacin no puede intentar nada serio contra
la empresa o sus principales. Toda accin delictiva llevada a cabo, supone la posesin de
informacin por parte del delincuente, informacin que generalmente no debi conocer, a la cual
tuvo acceso por descuido o por carencia de un plan o programa de proteccin de informacin
tendiente a evitar el uso indebido o inconveniente de informacin sensitiva, por parte de personas o
de organizaciones, evitando que la informacin llegue a ser conocida por quienes no deben tener
acceso a esa informacin.
Sistema de clasificacin de informacin

No hace mucho que la informacin considerada de suficiente importancia como para que mereciera
un tratamiento especial en la empresa era informacin que produca nicamente la Presidencia o la
Gerencia General. En poco tiempo esta situacin ha cambiado radicalmente, y hoy nos
encontramos la evidencia de que informacin producida, originada en dependencias de bajo nivel
de la empresa, puede ser crtica y un manejo imprudente de la misma puede ocasionarle serios
reveses o prdidas a la empresa, e incluso amenazar su supervivencia. Por ello se hace necesario
elaborar un plan cuidadoso y detallado que contemple en forma especfica la informacin a proteger
y los mecanismos, el personal, los procedimientos, los controles, la supervisin que van a ser
involucrados en la proteccin de la informacin.
Dentro de este programa, primeramente se deben fijar los criterios que nos determinarn qu
informacin se debe proteger. Esta seleccin es absolutamente crucial: definir qu informacin de
la empresa o de la entidad se debe proteger, va a ser crucial para el efecto que buscamos al decidir
hacer proteccin de la informacin. Para esta seleccin debe tenerse en cuenta multitud de factores
en funcin de la situacin, caractersticas, etc.
De manera que para asegurar la informacin y establecer medidas adecuadas para su manejo, se
requiere inicialmente la deteccin de informacin sensible, es decir, aquella que su contenido
debe ser protegido por alguna de las varias consideraciones que entran a jugar. Es necesario
entonces, establecer parmetros para determinar qu informacin se debe considerar sensible y en
qu grado de sensibilidad.
CLASIFICACIN DE LA INFORMACIN
La clasificacin de la informacin es la actividad a travs de la cual determinamos, dentro del gran
volumen de la totalidad de la informacin que se maneja, cul de ella debe tener un manejo especial y
en qu medida, por razn de la consideracin que se haya tenido en cuenta, ya que hay varias
consideraciones para clasificar la informacin:
-
Con base a la importancia

Con base a la confidencialidad
Con base a la difusin
Con base a la confiabilidad de los usuarios
Puede haber otros criterios de clasificacin de acuerdo a las caractersticas de la empresa. Los que
vamos a analizar son los ms empleados.
Clasificacin en base a la importancia de la informacin
La clasificacin en base a la importancia de la informacin hace relacin a la necesidad de establecer
qu informacin se debe mantener, ntegra, completa y a evitar que esta informacin se pierda, se
distorsione o se altere. La informacin que en base a los parmetros que se establezca, se clasifica
dentro de los rangos altos de una escala de informacin importante debe ser informacin protegida
7

bsicamente contra los riesgos de prdida de la informacin y de alteracin de la informacin, de
acuerdo con las caractersticas de la empresa, la escala para la clasificacin puede contener mnimo
tres posiciones y hasta cinco, incluso ms posiciones. Las tres posiciones bsicas pueden ser:
-
Informacin muy importante

Esta es informacin que debe tener la mxima proteccin fsica contra sustraccin, contra
incendio, contra prdida por catstrofes como inundacin, terremoto, etc. Esta es informacin que
bajo ninguna circunstancia se puede perder, cambiar o tergiversar. Generalmente se debe tener
copias de esta informacin en lugares distantes y con las mismas medidas de seguridad, para
garantizar que no se pierda an en el caso de que una de las copias desapareciera o se inutilizara.
Aunque es conveniente que el acceso a esta informacin sea clasificado y restringido a personas de
una alta clasificacin de confiabilidad, lo que prima en este rango de informacin no es su
confidencialidad, sino la necesidad de garantizar su integridad, que no se pierda y que no sea
alterada en su contenido. La prdida de esta informacin o su alteracin puede comprometer la
supervivencia de la empresa.
Informacin importante
Informacin que debe tener buena proteccin fsica que garantice su integridad y que evite su
prdida, no obstante la prdida de esta informacin, aunque puede ocasionar serios reveses a la
empresa, no se ver comprometida su supervivencia, por resta razn las medidas de seguridad a
adoptar deben ser muy buenas, sin que se requieran las del primer grado de la clasificacin.
Informacin de poca importancia

Esta es una informacin que no requiere de medidas de seguridad especiales para su conservacin.
Una normatividad ordinaria sobre produccin, manejo y archivo de documentos es suficiente. La
prdida o alteracin de esta informacin no ocasionar ningn tipo de revs a la empresa.
Entre estas tres posiciones bsicas se puede intercalar una gama de posiciones intermedias que se
adapten ms adecuadamente a las necesidades de la empresa, de manera que las medidas de
seguridad para cada nivel sean las necesarias.
Clasificacin en base a la confidencialidad de la informacin

La clasificacin en base a la confidencialidad hace relacin concretamente a quin puede, quin no
puede y quin no debe CONOCER LA INFORMACIN, aqu es donde se construye una escala de
confidencialidad de informacin que puede ser:
-
Pblica

Informacin que puede ser conocida por todos los miembros de la organizacin e incluso por
personas ajenas a la organizacin sin ninguna restriccin.
-
Reservada
Informacin que puede ser conocida solamente por los miembros de la organizacin, no debe ser
conocida por personas ajenas a la organizacin.
Confidencial
Informacin que puede ser conocida por algunos miembros de la organizacin, aquellas que tienen
un nivel de mando y un nivel de confianza, que los ubica dentro de un nivel de confiabilidad
habilitado para conocer documentos o informacin confidencial. El acceso a informacin en este
nivel no es generalizado, sino especfico. Los usuarios de esta informacin son personas
clasificadas en un alto nivel de confiabilidad que los habilita para acceder a ella.
Restringida
Es el mximo nivel de confidencialidad. La informacin clasificada en este nivel solamente puede
ser de conocimiento de algunos de los ms altos funcionarios de la organizacin, aquellos que
tienen la mxima calificacin de confiabilidad.
La proteccin de informacin por razn de su confidencialidad tiene caractersticas un tanto diferentes

a la proteccin que se debe dar a la informacin que se clasifica por razn de su importancia. El
programa de manejo de informacin deber determinar QUIEN es la autoridad mxima que asigna los
accesos, que certifica los niveles de confiabilidad y que determina la informacin que debe quedar
clasificada en los niveles altos de clasificacin.
Clasificacin en base a la difusin de la informacin

Esta clasificacin hace relacin a QUIN DEBE conocer la informacin. Un programa de informacin
debe contener instrucciones y prever el manejo de la informacin, no solamente en restringir el acceso
a la informacin, sino que debe contemplar la forma y necesidades de la DIFUSIN de la informacin.
Hoy puede ser ms daino para una empresa el que sus integrantes IGNOREN INFORMACIN
VITAL, a que conozcan informacin de alguna restriccin.
La necesidad de conocer informacin por parte de empleados que la deben conocer para desempearse
eficientemente, debe llevarnos a que la necesidad de conocer informacin requiere de una preparacin,
de una capacitacin a las personas para manejar informacin con clasificacin de seguridad.
La utilizacin de redes de computadores dentro de las empresas se est generalizando y una vez se est
trabajando en red, la implementacin de un correo o e-mail, es el paso siguiente casi que forzoso.
De manera que la informacin ya no influir a travs a travs de memorandos y documentos que iban
9

fsicamente en papel de una oficina a otra, sino que estar en el buzn de correspondencia del
computador. CMO SE CONTROLA LA DIFUSIN DE LA INFORMACIN POR ESTE
MEDIO?
Una clasificacin de informacin en base a la difusin puede tener las siguientes casillas:
-
Informacin de divulgacin general

Es informacin que debe ser conocida por toda la organizacin, su difusin debe contemplar a
todas las personas que la integran. No hay restriccin en el caso de que la informacin traspase la
organizacin misma y llegue fuera de sta.
Informacin de divulgacin limitada

Es informacin que debe ser conocida por un rea amplia de la organizacin a quien va dirigida
especficamente, ejemplo: un nivel de gestin, personal de base, supervisores, etc.
Informacin de divulgacin especfica

Debe ser conocida nicamente por un sector restringido de la organizacin a la cual va dirigida en
forma especfica, Departamento de Produccin, Seccin de Ventas.
Informacin de divulgacin restringida

Debe ser conocida nicamente por aquellos a quienes va dirigida la informacin en forma
personal, o al cargo que desempea y no ms que a ellos. Debe ir en sobre cerrado y con alguna
clasificacin de confiabilidad. En el caso de divulgacin por el servicio de correspondencia de la
red de computador se deber acceder a ella mediante la utilizacin de password o claves
personales.
Informacin de divulgacin exclusiva

Debe ser conocida nicamente en forma exclusiva por aquellos a quienes se ha decidido participar
de su difusin. Un grupo pequeo y selecto. La comunicacin de la informacin clasificada en
esta categora se debe hacer en forma personal y directa, y se debe advertir sobre el grado de
clasificacin de confidencialidad que tiene la informacin en cuestin. En el caso de divulgacin
por el servicio de correspondencia de la red de computador, se deber acceder a ella mediante la
utilizacin de password o claves personales con el ms alto nivel de control.
Clasificacin en base a la confiabilidad de los usuarios de la informacin

El manejo de informacin clasificada supone la existencia de una clasificacin de usuarios de la
informacin. La clasificacin de usuarios de informacin se suele hacer en base a la confiabilidad de
usuarios.
10

Cuando se evala la confiabilidad de una persona estamos midiendo la seguridad que esa persona nos
da de que la informacin que conocer no ser utilizada por ella en su propio beneficio personal o en
contra de los intereses de la empresa, o de las personas que la integran, sino que ser manejada
nicamente para los fines propios de la empresa y de sus objetivos institucionales.
La confiabilidad de los usuarios puede estar clasificada en cinco casillas o niveles:
-
Poco confiable
Confiabilidad negativa. A las personas en este nivel de confiabilidad no se les puede hacer
partcipes de informacin con ningn nivel de clasificacin, la confiabilidad negativa puede
ocasionarse en aspectos de carcter de la persona: dificultad para guardar la confidencialidad de
una informacin, comunicabilidad excesiva, o puede ocasionarse en sospechas sobre su lealtad,
posibilidad que trabaje para la competencia, para la delincuencia, etc.
Sin clasificacin de confiabilidad

La gran mayora de los empleados, especialmente en el nivel de operarios puede encontrarse en
esta clasificacin de confiabilidad: No tienen clasificacin de confiabilidad evaluada, pero nada
indica que no pueden ser confiables. No se recomienda la divulgacin de informacin clasificada a
personal con esta clasificacin de confiabilidad, sin antes realizar una capacitacin o al menos una
instruccin, adems de hacer las correspondientes evaluaciones de confiabilidad para asignar
niveles de confiabilidad.
Normalmente confiable
Es una persona cuya lealtad a la empresa no est en discusin y que mediante una advertencia
previa puede mantener la confidencialidad de informacin de rutina, especialmente en lo
concerniente a su trabajo. A estas personas no se les ha tomado compromiso de confidencialidad,
por lo cual no deben tener acceso a informacin con alta clasificacin de confiabilidad.
Confiable
Persona cuya confiabilidad est probada, que puede manejar informacin de alto grado de
confidencialidad. A estas personas, adems de la evaluacin de confiabilidad que ha resultado de
una investigacin y de pruebas de confiabilidad, se les ha tomado la firma en un documento de
compromiso de guardar la confidencialidad sobre informacin clasificada que conozca en la
empresa.
Muy confiable
Personal con el mximo grado de confiabilidad en la empresa. No es necesario mantener ningn
secreto. Tiene acceso a toda la informacin, esto es el dueo de la empresa, por as decirlo en
alguna forma. Obviamente los funcionarios con este grado de confiabilidad han pasado la
investigacin y pruebas de confiabilidad, adems de haber firmado el documento de compromiso
de confiabilidad.
11

Se recomienda la realizacin de investigaciones de seguridad, de pruebas de lealtad, de exmenes y
pruebas de confiabilidad, la utilizacin de fisigrafos o polgrafos en estudios de confiabilidad, los
cuales deben realizarse peridicamente a los funcionarios de alta confianza y a los que manejan
documentacin de alta clasificacin de la empresa.
PLANIFICACIN DE SEGURIDAD DE LA INFORMACIN.
Dentro del proceso de seguridad de la informacin es necesario que tomemos en cuenta:
La informacin debe ser obtenida y usada solo para propsitos especficos y exclusivos de la
empresa.
Debe ser adecuada, relevante y no excesiva
Debe ser acertada y actualizada siempre que sea necesario
La informacin debe ser integrada y procesada
La informacin debe ser conservada el tiempo necesario
Debe archivarse con seguridad
Debe ser difundida nicamente a las personas que requieran la informacin.
Para la correcta administracin de la Seguridad de la Informacin, se deben establecer y mantener

programas que busquen cumplir con los tres requerimientos de mayor importancia: La disponibilidad,
la confidencialidad y la disponibilidad de los recursos de las organizaciones, siendo los tres
requerimientos bsicos definidos como:
Confidencialidad.-Para la Seguridad de Informacin, la confidencialidad busca prevenir el acceso

no autorizado ya sea en forma intencional o no intencional de la informacin. La prdida de la
confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicacin
intencional de informacin confidencial de la organizacin.
Integridad.- Para la Seguridad de la Informacin, el concepto de Integridad busca asegurar:

- Que no se realicen modificaciones por personas no autorizadas a los datos, informacin o
procesos
- Que no se realicen modificaciones no autorizadas por personal autorizado a los datos,
informacin o procesos
- Que los datos o informacin sea consistente tanto interna como externamente.
Disponibilidad.- Para la Seguridad de Informacin, la disponibilidad busca el acceso confiable y

oportuno a los datos, informacin o recursos para el personal apropiado.
APLICACIN DE LA CONFIDENCIALIDAD
PBLICA
RESERVADA
CONFIDENCIAL
RESTRINGIDA
12

Descripcin
Informacin
no sensible,
disponible a
todo pblico.
Impacto
Sin efecto
negativo
del
acceso
no
autorizado a la
informacin
Restricciones
de acceso
Informacin que
generalmente es
accesible
a
empleados de la
empresa,
previa
autorizacin.
Informacin que es
sensible para la
empresa y que debe
ser
usada
exclusivamente por
grupos especficos
de empleados.
Informacin que
es extremadamente
sensible o vital
para la empresa y
que debe ser usada
nicamente
por
ciertos individuos
a nivel gerencial.
Limitado efecto
Efecto
significativo:
Puede
producir
implicaciones
financieras
o
legales menores a
la empresa.
Puede afectar a la
imagen
de
la
empresa.
Impacto severo:
Puede ocasionar
dao financiero o
legal severo a la
empresa.
Puede ocasionar el
cierre
de
la
empresa.
Puede ocasionar
daos
severos
financieros a los
clientes.
Puede destruir la
imagen
de
la
empresa.
El
acceso
solamente se puede
autorizar a personal
seleccionado y para
fines
netamente
comerciales
comprobados.
Se debe mantener
un registro.
El acceso debe
estar limitado a
personas
autorizadas,
(Nivel gerencial),
para la toma de
decisiones.
Se debe mantener
un registro.
Accesible a Accesible
a
todos
los empleados y no
empleados
empleados
autorizados, con
propsitos
de
negocios.
Se debe mantener
un registro.
APLICACIN DE INTEGRIDAD
INTEGRIDAD
DEFINICIN
13

Alta
100%
errores
libre
de
Media
96-99%
errores
libre
de
Baja
90-95%
errores
libre
de
Pueden ser de cualquier nivel de confiabilidad, pero ser fundamental la integridad en el momento de la
toma de decisiones.
APLICACIN DE DISPONIBILIDAD
CALIFICACIN
DISPONIBILIDAD
ALTA
Uso exclusivo para reuniones

gerenciales,
inmediata.
(Restringida).
Para
fines
comerciales
comprobados, mximo un da.
(Confidencial)
MEDIA
Para
fines
comerciales,
con
autorizacin, de uno a cinco das,
(Reservada)
BAJA
Sin
interrupcin
(Pblica).
de
acceso
EL MANEJO DE LA INFORMACIN
14
Determinar los requerimientos de almacenamiento fsico.

Determinar tiempo de almacenamiento de la informacin.
Determinar el manejo de la informacin.
PBLICA
RESERVADA
CONFIDENCIAL
RESTRINGIDA
La
informacin
original
y
los
respaldos deben ser
encriptadas
obligatoriamente.
Almacenamiento
de informacin
(magntica)
Sin controles El
de seguridad almacenamiento
requeridos
en el rea o
departamento
debe adecuarse
para
prevenir
accesos casuales.
Se
debe
seleccionar
el
lugar adecuado
para guardar los
respaldos.
La
informacin
puede
requerir
encripcin. Si es
as deben utilizarse
mtodos
adecuados.
Requiere
de
respaldos en un
lugar establecido.
Almacenamiento
de los medios de
informacin
impresos
Sin controles El
de seguridad almacenamiento
requeridos
en el rea o
departamento
debe adecuarse
para
prevenir
accesos casuales.
La
informacin La informacin debe
debe almacenarse almacenarse en caja
bajo llave y en un fuerte.
ambiente seguro
Rotulacin de la
informacin
No se requiere Debe
ser Deben tener una Debe tener una pasta
rotulacin
rotulada
de pasta con la marca de RESTRINGIDO.
acuerdo a la de
Confidencial Cada pgina debe estar
clasificacin
cada pgina debe marcada
con
estar marcada con RESTRINGIDO
CONFIDENCIAL Las
copias
individuales
del
documento
deben
contener
un
identificador nico.
Destruccin de
medios fsicos (ej.
Papel/medio
magntico)
Mediante
planificacin
de
incineracin,
de acuerdo a
Mediante
planificacin de
incineracin, con
actas de respaldo
y con presencia
Mediante
planificacin
de
incineracin, con
actas de respaldo y
con presencia de
Mediante acta de
resolucin a nivel
gerencial
de
la
empresa.
Con
acta
de
15

las
necesidades.
de un delegado un delegado del incineracin y en

del departamento departamento de presencia del Gerente
de seguridad.
seguridad.
de Seguridad.
Hay que tomar en cuenta que toda informacin pasada se convierte en un archivo pasivo, que nos
permite actualizar o integrar con informacin presente para formular proyecciones futuras.
LA DISTRIBUCIN DE LA INFORMACIN (DESINSTALACIN E INTERCAMBIO)
Determinar el proceso de autorizacin de uso de informacin
Forma de transmitir la informacin
Tiempo de uso de la informacin
CONFIDENCIAL
RESTRINGIDA
Distribucin
Se debe elaborar listado de

personas autorizadas a la
utilizacin
de
la
informacin, deben ser
mnimas.
Las copias deben ser
numeradas y registradas a
quien se entregan.
Solo a personal autorizado.

Se recomienda no sacar
copias de esta informacin
para su uso.
Se debe registrar las
personas que tienen acceso a
esta informacin en las
juntas gerenciales.
Envo
Se debe marcar en la
envoltura externa todos los
datos de la persona que
recibir la informacin, con
la fecha de salida.
Debe estar marcado el
nombre, direccin y telfono
del remitente.
Se debe escribir PARA
USO EXCLUSIVO DEL
DESTINATARIO.
Se
recomienda
esta
informacin
entregarla
personalmente en gerencia,
por el encargado de manejar
dicha informacin.
En la gran mayora de casos, se enva informacin por medio internet, para lo cual se
recomienda utilizar todas las medidas de seguridad que posteriormente se analizarn en la
materia de seguridad informtica.
16
MODELO DE PLANIFICACIN BSICA DE PROTECCIN Y ACCESO A LA

INFORMACIN
Las consideraciones bsicas para realizar una planificacin de proteccin y acceso a la informacin son
las siguientes:
1.
Organizacin de la informacin.
- Toda la informacin que tenemos en nuestro departamento, la organizamos de acuerdo al medio
en el que ha sido difundido (magntico, grfico, impreso, etc.), y de acuerdo a cada campo Ejm:
(proveedores, clientes, empleados, etc.)
2.
Clasificacin de confidencialidad.
- Determinamos si la informacin es pblica, reservada, confidencial o restringida.
3.
Formas de almacenamiento
- Seleccionamos la manera como archivaremos la informacin, sea en dispositivos magnticos,
carpetas, etc.
- Los lugares en los que mantendremos almacenada la informacin.
- Las seguridades que debe tener la informacin.
- Lugares y forma de guardar el respaldo de la informacin necesaria de acuerdo al nivel de
importancia.
4.
Administracin de la informacin
- Determinamos la persona encargada de administrar esta informacin, en base a un anlisis de
sus antecedentes personales y profesionales.
5.
Difusin y uso de la Informacin

- Determinamos los medios por los que distribuiremos la informacin y seleccionamos las
personas que podrn acceder a dicha informacin.
Este modelo puede servir de base para la planificacin de la seguridad de la informacin en las
empresas de acuerdo a sus propias caractersticas.
BIBLIOGRAFA
-
Compendio Didctico de Seguridad Fsica de Manuel Antonio Novoa Bermudez

Protection of Assets Manual, Timothy J. Walsh, 1989, The Merritt Company.
Protecting Your Business Against Espionage, Timothy J. Walsh, Richard J. Healy, 1973,
AMACOM, a Division of American Management Association.
Introduction to Security, Gion Green, 1989, Butterworth Publisher.
17

Anexo 2 Seguridad

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Anexo 2 Seguridad

Diunggah oleh

Hak Cipta:

Format Tersedia

ANALISIS Y SEGURIDAD DE LA INFORMACIN