Fundamentos de Seguridad de la Información

Estados y clasificación de la información

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué información debo proteger y cómo la
clasifico?

¿Qué tengo?

¿Dónde está?

¿Qué hago?

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué información tengo? Interesa a grupo de personas,
Requiere autorización judicial:
De un individuo:
- Historia crediticia
- Nombre
- BD clientes
- ID
- Lista de $
- Tarjeta crédito

Personal Semiprivada

Pública Privada
Solo concierne al titular:
“Sin restricciones”:
- Email, Infracciones
- Profesión / Ocupación
- Libros contables
- Estado civil
- Plan estratégico
- Portal web
Ley 1581 de 2012 – Ley de protección de datos personales

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué información tengo?
Interesa a grupo de personas,
De un individuo:
Requiere autorización judicial:
- Nombre
- Historia crediticia
- ID
- BD clientes
- Tarjeta crédito
- Lista de $
Personal
Semiprivada

Pública
Privada
“Sin restricciones”:
Solo concierne al titular:
- Profesión / Ocupación
- Email, Infracciones
- Estado civil
- Libros contables
- Portal web
- Plan estratégico
Ley 1581 de 2012 – Ley de protección de datos

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué información tengo?
Definiciones de la presidencia de la república

Dato Dato Datos Datos

Información Información Información Información

http://es.presidencia.gov.co/dapre/DocumentosSIGEPRE/G-GD-02-calificacion-informacion.pdf

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Cómo clasifico la información?
Criterios según MinTIC

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Cómo clasifico la información?
Sugerencia de ISO 27001 por nivel de confidencialidad

Confidencial

Restringido

Interno

Público
ISO 27001

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué información debo proteger y cómo la
clasifico?

¿Qué tengo?

¿Dónde está?

¿Qué hago?

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Necesito proteger mi información, pero, ¿dónde
está?

www.menti.com

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Estados de la información

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Protección de información en reposo
Aquí la tengo

¿Cómo la protejo?

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Protección de información en reposo

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Retos al proteger información en reposo
• Información almacenada de forma múltiple en diferentes medios
• Información dispersa en dispositivos móviles no corporativos
• Imposibilidad de controlar el almacenamiento de nube, el control lo
tiene el proveedor.
• Necesidad de cumplir con las diferentes regulaciones de protección de
datos

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Protección de información en tránsito
Aquí la tengo

¿Cómo la protejo?

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Protección de información en tránsito

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Retos al proteger información en tránsito
• Infinidad de medios y canales de comunicación
• Infinidad de aplicaciones Cloud
• Imposibilidad de mantener el control en el extremo receptor
• Dificultad para determinar qué se deber proteger y que no. Se puede
usar el enfoque de “proteger todo” (salvo excepciones)

¡Aplique Pareto!

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Protección de información en uso
Aquí la tengo

¿Cómo la protejo?

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Protección de información en uso

Los tres estados de la información (ingecom.net)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Retos al proteger información en uso
• Se realiza un control de acceso, pero no en uso (una vez validado)
• No podemos controlar que le saquen fotos
• Las plataformas de colaboración dificultan el modificar el documento,
aunque al acceder al mismo ya lo descifraron.

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué hacer para clasificar la información?
- Quién es el dueño - Según su
- Quién puede usarlos clasificación
- Con cuales permisos

Haga el Etiquétela y
Defina el Clasifique la
Inventario defina como
propietario información
de activos manipularla
- Identificación / tipo - Que valor tiene
- Donde están - Que tan crítica
- Qué procesos o - Que tan susceptible
personas los usan - Temas legales
- Observaciones ISO 27001

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Ley 1581 de 2012
Ley de protección de datos personales
Obliga a las empresas a realizar tratamiento de datos personales:
➢ Recolectar
➢ Almacenar
➢ Uso
➢ Circulación
Registrar las BD en el RNBD e implementar los controles establecidos
por la ley
Multas de hasta 2000 SMMLV
Suspensión o cierres de actividades

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿QUÉ ES UNA BASE DE DATOS?
LEY 1712 DE 2014, ARTÍCULO 6

“un conjunto organizado de datos contenido en cualquier

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Ejercicio de clasificación de información
El Dr. Abelardo está entrando al hospital de la Plaza después de unas merecidas
vacaciones. Al ingresar al hospital encuentra un nuevo vigilante en portería que le solicita
sus datos para anotarlos en la minuta de ingreso, entre ellos pide el número de teléfono de
una persona de contacto y el Dr. registra a su esposa. Necesita renovar su contrato y por
eso se dirige a la administración de la clínica con el documento que imprimió y firmó la
noche anterior; el acceso a las oficinas administrativas requiere la lectura de su huella digital
en un lector de huellas. Previendo posibles modificaciones, tiene una copia digital del
contrato almacenada en una memoria usb que guarda en el bolsillo.
En su maleta lleva el portátil con la información de las historias clínicas de sus pacientes y
con un software instalado por la clínica para poder ver en línea los resultados de los
exámenes de laboratorio y las imágenes diagnósticas que se han realizado los pacientes.
Adicionalmente utiliza un cliente de correo electrónico para comunicarse con otros colegas,
personal de la clínica, con familiares y amigos. También carga con una agenda en donde
relaciona sus actividades personales y los números de contacto de sus familiares y amigos.
Esas vacaciones fueron grandiosas y pudo tomar con su celular fotos en todos los sitios
agradables donde estuvieron; espera tener un momento para poder mostrárselas a sus
colegas en el transcurso del día.

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Ejercicio de clasificación de información
• ¿Qué información tiene el Dr. Abelardo y donde está ubicada?
• Clasifique la información según la norma ISO 27001 y según las definiciones de la
presidencia de la república
• La secretaria le envía un mail confirmando la información de la cuenta bancaria
donde se le va a consignar su salario. Esta información en qué estado está?
• Como el Dr. es cirujano plástico, en su cámara lleva también fotografías de los
pacientes. ¿Cómo se clasificaría esta información?
• ¿Con cuales personas el hospital adquiere responsabilidades de proteger los datos
personales?
• ¿Cuales funcionarios involucraría usted en una campaña de concientización de la
seguridad de la información?
• ¿A cuales activos de información el hospital debería hacer seguimiento?

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas