Está en la página 1de 8

2019

COMO CLASIFICAR LA INFORMACION

2

1.

Objetivo

3

2.

Alcance

3

3.

Condiciones Generales

3

4.

Desarrollo

3

4.1.1

Información Pública

4

Manejo

4

4.1.2

Información Privada

5

*Manejo

5

4.1.3

Información Confidencial

6

Manejo

6

5.

Revisión periódica de información para eliminación

8

3

1. Objetivo

1.1 Definir los criterios según los cuales la información de

; debe ser identificada,

clasificada y publicada con el fin de que se preserven de manera adecuada los niveles de

confidencialidad de esta.

2. Alcance

2.1 La aplicación de este procedimiento debe ir orientada a la protección de información presente en medio electrónico, magnético, impreso e incluso la información que se intercambia oral y visualmente. Todo funcionario o colaborador debe familiarizarse con los procedimientos definidos para manejo y clasificación de la información. Las definiciones de nivel de confidencialidad presentadas en este procedimiento deben tomarse como guía y siempre se debe aplicar el sentido común durante su uso.

3. Condiciones Generales

El desarrollo del presente procedimiento se encuentra alineado con las políticas de seguridad de la

información de

y por lo tanto se encuentra enfocado al

cumplimiento de los requisitos definidos por el estándar internacional PCI DSS.

4. Desarrollo

La información de

Información Publica

Información Privada

Información Confidencial.

se clasifica en tres categorías generales:

es información que ha sido

declarada de conocimiento público por alguna norma jurídica o por algún comité interno con autoridad para hacerlo y puede ser entregada sin restricciones a cualquier persona sin que implique daños a terceros ni a los sistemas o procesos que son focos de

La información Privada de

no es publica y por tanto debe ser vigilada y protegida muy de cerca. Un ejemplo de este tipo de información

Un

subconjunto de esta categoría es la información privada de terceros la cual pertenece o está relacionada

con otras personas u organizaciones que la han confiado a no puede mostrarla a otros ni utilizarla para fines distintos a los establecidos.

La información Confidencial es la información financiera, administrativa o técnica que no puede ser conocida sin autorización especial de la presidencia la Compañía o por la Dirección del proceso donde se custodie la información. En caso de ser conocida, utilizada o modificada por personas sin la debida autorización impactaría de forma grave a terceros o a los sistemas y/o procesos de

y

es la información de la nómina de empleados de

es toda aquella información que

La información Pública de

Se deberán tener en cuenta las disposiciones legales vigentes para cada proceso con efectos de hacer pública la información privada y confidencial por causa de algún requerimiento judicial referente a la divulgación de este tipo de información.

4

Cada proceso de

instructivos específicos que detallen como se debe cumplir con los niveles de clasificación de la información que se indican en este procedimiento.

Guía de Clasificación

deberá de manera particular definir

A

continuación, se indican los detalles sobre cómo proteger la información de en sus diferentes niveles de confidencialidad. Se debe utilizar

estas

indicaciones como una referencia para garantizar que la información tenga medidas de protección más

débiles o fuertes de acuerdo con la naturaleza de la información en cuestión, el momento en el que se está

utilizando y las circunstancias específicas de uso.

4.1.1 Información Pública

En la información bajo responsabilidad de cada gerente o director de proceso de se debe determinar cuál debe ser clasificada en esta categoría y registrarla por escrito o en medio electrónico. La marcación o etiquetado de los equipos, archivadores, carpetas o los medios magnéticos y electrónicos (páginas WEB, unidades de cinta, CDS, o DVD´s) donde reposa la información pública deberá realizarse de la siguiente manera:

Documentos Impresos: En todas las páginas del documento deberá incluirse la marca de agua PÚBLICO.

Documentos Electrónicos: Aplica para documentos publicados en páginas Web o disponibles por

de

Estos deberán ser rotulados con el mismo formato indicado en el ITEM anterior en el cual figure la marca de agua PÚBLICO.

medio de recursos o carpetas compartidas de

la

red

Unidades de cinta, CDS o DVD´s: Deberán ser rotulados en un lugar visible con la leyenda Documento Público, el proceso a la cual pertenece, la Compañía y la fecha de clasificación de este.

Manejo

La información clasificada como publica tiene las siguientes características y disposiciones de manejo:

Acceso permitido A: Empleados y colaboradores de personas externas cuyas actividades requieran de esta información.

y

Método de distribución recomendado dentro de

:

Correo interno entre las dependencias, correo electrónico oficial y cualquier método de transmisión

de

que exija una contraseña para acceder a la

información.

electrónico de archivos a través de

los

equipos

y

redes

Método de distribución recomendado fuera de

:

Servicios de correo normal o servicios de entrega de paquetes reconocidos, correo electrónico oficial, o cualquier método de transmisión electrónico de archivos que cumpla con los requerimientos de seguridad de

5

4.1.2 Información Privada

Esta información de tipo técnico, administrativo o financiero utilizada por empleados y/o colaboradores

debe estar bajo responsabilidad y custodia del

director o gerente del proceso a la cual está asociada, de tal forma que esta no pueda ser conocida por terceros sin la autorización escrita del director o gerente del proceso. El director o gerente del proceso debe determinar cuál información pertenece a esta categoría y registrarla por escrito o en medio electrónico. La marcación o etiquetado de los equipos, archivadores, carpetas o los medios magnéticos y electrónicos (páginas WEB, unidades de cinta, CDS, o DVD´s) donde reposa la información Privada deberá realizarse de la siguiente manera:

de

Documentos Impresos: En todas las páginas del documento deberá incluirse la marca de agua PRIVADO.

Documentos Electrónicos: Aplica para documentos publicados en páginas Web o que son accedidos por medio de recursos o carpetas compartidas de la red de Estos deberán ser rotulados con el mismo formato indicado en el ITEM anterior en el cual figure la marca de agua PRIVADO e incluir en el pie de página la leyenda “Solo para uso interno”.

Unidades de cinta, CDS o DVD´s: Deberán ser rotulados en un lugar visible con la leyenda DOCUMENTO PRIVADO. Solo para uso interno, el proceso a la cual pertenece, la Compañía y la fecha de clasificación de este.

*Manejo

La información clasificada como Privada tiene las siguientes características y disposiciones de manejo:

Acceso permitido A: Empleados y colaboradores de y personas externas con un compromiso firmado de no divulgación de la información.

 

Método de distribución recomendado dentro de

 

:

Correo interno entre las dependencias, correo electrónico oficial y cualquier método de transmisión

electrónico de archivos a través de los equipos y redes de que exija una contraseña para acceder a la información y que mantenga un registro en bitácora de los accesos al servicio. Método de distribución recomendado fuera de

:

Servicios de correo normal o servicios de entrega de paquetes reconocidos. Cuando se utilicen medios electrónicos, este tipo de información solo se debe distribuir de manera encriptada o a través de canales de comunicación privados.

Restricciones

en

la

distribución

electrónica:

Dentro

de

no existe ninguna restricción, exceptuando que se envíe al destinatario correcto. Para enviarlo fuera de debe hacerse de forma encriptada o a través de un enlace privado. Los mensajes de correo electrónico con información Privada deben incluir la siguiente leyenda:

“El contenido de este mensaje puede ser información privilegiada y confidencial de Si usted no es el destinatario real del mismo, por favor informe de ello a quien lo envía y destrúyelo en forma inmediata. Está prohibida su

6

retención, grabación, utilización o divulgación con cualquier propósito. Este mensaje ha sido verificado con software antivirus; sin embargo, no se hace responsable por la presencia en él o en sus anexos de algún virus que pueda generar daños en los equipos o programas del destinatario”

Almacenamiento y Archivado: Debe hacerse fuera de la vista de personas no autorizadas. Si la información fue anotada en papelógrafos o tableros, esta debe ser borrada. Si la información permanece almacenada en servidores o estaciones de trabajo estas deben tener

controles de acceso individuales y estar ubicadas dentro de los procesos seguros definidas por la Compañía.

Disposición y Destrucción: La información Privada desactualizada la cual no se hará pública y que se encuentre en documentos de papel, debe ser eliminada físicamente con el manejo adecuado de desechos, los datos en medio electrónico y magnético deben ser borrados de manera confiable ya sea reescribiendo el directorio del archivo con otro del mismo nombre o formateando la unidad de disco o cinta donde existan copias de la información. Para esto se aplicaría el “PRO- Procedimiento Destrucción de Medios y Borrado Seguro”.

Penalizaciones para revelación o alteración deliberada o inadvertida de este tipo de información:

Dependiendo de las consecuencias de la revelación de la información y después de las investigaciones correspondientes adelantadas por parte del proceso de seguridad y recursos

humanos de responsabilidades y las sanciones a las que hubiera lugar.

se determinarán por esta las

4.1.3

Información Confidencial

Esta información de tipo técnico, administrativo o financiero no debe ser conocida o divulgada sin la

autorización expresa de la alta gerencia de presidente de

encuentre la custodia de la información, la cual estará bajo su responsabilidad o de las personas que estos deleguen formalmente para tal fin. La marcación o etiquetado de los equipos, archivadores, carpetas o los medios magnéticos y electrónicos (páginas WEB, unidades de cinta, CDS, o DVD´s) donde reposa la información confidencial deberá realizarse de la siguiente manera:

en cabeza del o los Gerentes de los procesos donde se

Documentos Impresos: En todas las páginas del documento deberá incluirse la marca de agua CONFIDENCIAL e incluir en el pie de página la leyenda “Para uso exclusivo de personal autorizado”.

Documentos Electrónicos: Aplica para documentos publicados en páginas Web o que son accedidos por medio de recursos o carpetas compartidas de la red de la Compañía. Estos deberán ser rotulados con el mismo formato indicado en el ITEM anterior, el proceso a la cual pertenece el documento y la fecha de clasificación de este.

Unidades de cinta, CD´s o DVD´s: Deberán ser rotulados en un lugar visible con la leyenda DOCUMENTO CONFIDENCIAL. Para uso exclusivo de personal autorizado, el proceso a la cual pertenece, la Compañía y la fecha de clasificación de este.

Manejo

La información clasificada como confidencial tiene las siguientes características y disposiciones de manejo:

7

Acceso permitido A: Exclusivamente a aquellas personas que sean empleados y/o colaboradores con un compromiso firmado de no divulgación de la información y con autorización para ver la misma.

Método de distribución recomendado dentro de Solo se permite entrega

:

directa con firma del destinatario aceptando haber recibido el documento. La documentación debe

ir en sobre cerrado y si se considera conveniente con el texto CONFIDENCIAL escrito en forma visible.

:

Método de distribución recomendado fuera de Entrega directa con firma

de recepción del destinatario requerida. Si no se puede realizar una entrega directa se debe recurrir

a una empresa de valores o una empresa de paquetes reconocida con un servicio cuyas características sean equivalentes a la empresa de transporte de valores.

de

no existe ninguna restricción, exceptuando que se envíe al destinatario correcto, pero debe hacerse de forma encriptada. Se recomienda que los mensajes con información confidencial incluyan la siguiente leyenda

Restricciones

en

la

distribución

electrónica:

Dentro

“El contenido de este mensaje puede ser información privilegiada y confidencial de Si usted no es el destinatario real del mismo, por favor informe de ello a quien lo envía y destrúyelo en forma inmediata. Está prohibida su retención, grabación, utilización o divulgación con cualquier propósito. Este mensaje ha sido verificado con software antivirus; sin embargo, no se hace responsable por la presencia en él o en sus anexos de algún virus que pueda generar daños en los equipos o programas del destinatario”

Almacenamiento y Archivado: En medios electrónicos debe tener controles de acceso individuales (clave personal) y se recomienda que los archivos se guardan encriptados. El equipo donde esta información permanezca debe estar dentro de un proceso segura de

Disposición y Destrucción: La información confidencial desactualizada la cual no se hará pública y que se encuentre en documentos de papel, debe ser eliminada físicamente con el manejo adecuado de desechos (destructoras de papel), Los datos en medio electrónico y magnético deben ser borrados de manera confiable ya sea reescribiendo el directorio del archivo con otro del mismo nombre o formateando y destruyendo la unidad de disco o cinta donde existan copias de la información. Para esto se recomienda aplicar el “PRO- Procedimiento Destrucción de Medios y Borrado Seguro”.

Penalizaciones para revelación o alteración deliberada o inadvertida de este tipo de información:

Dependiendo de las consecuencias de la revelación de la información y después de las investigaciones correspondientes adelantadas por parte de recursos humanos y el proceso de

se determinarán por esta las

responsabilidades y las sanciones a las que hubiera lugar. No obstante, lo anterior, una vez surtidas

las investigaciones pertinentes a fin de determinar el impacto y consecuencias de la divulgación de información considerada confidencial y lograr establecer la responsabilidad en cabeza de algún

, se procederá a iniciar

las acciones legales a que haya lugar de conformidad con la Legislación vigente y aplicable en esta materia

seguridad de

funcionario o contratista de

8

5. Revisión periódica de información para eliminación

Trimestralmente el funcionario encargado, verificará con cada uno de los procesos responsables por la información relacionada, si existe o no información que haya cumplido el periodo y que deba ser eliminada de manera definitiva. En caso afirmativo se deberá aplicar el “PRO- Procedimiento Destrucción de Medios y Borrado Seguro”, dentro del cual se especifican los lineamientos para la destrucción de información impresa y aquella almacenada de manera lógica en unidades de almacenamiento, de esta actividad quedará como registro el formato de destrucción de información y adicionalmente se deberá generar un acta firmada por el propietario de la información y la persona que realiza el proceso de eliminación. Dentro del proceso de revisión se deberán incluir los repositorios que contienen información de titulares de tarjeta, que se encuentran ubicados en el servidor de bases de datos (Si aplica) En caso de modificaciones a los repositorios, tipo de información y periodos, estos deberán ser actualizados dentro del presente documento.