Lizbeth Suazo

Mecanismos de Etiquetado de la Información

Introducción
La clasificación de la información es sin duda una de las partes más atractivas de
la gestión de la seguridad de la información, pero al mismo tiempo, una de las más
incomprendidas. Esto se debe probablemente al hecho de que históricamente, la
clasificación de la información fue el primer elemento de la seguridad de la
información que se estaba manejando, mucho antes de que se inventara la
primera computadora; los gobiernos, las fuerzas armadas, pero también las
corporaciones etiquetaron su información como confidencial. Sin embargo, el
proceso sobre cómo funcionaba seguía siendo un misterio.
Si bien esta no es una filosofía nueva, pudo haber provocado que algunas
organizaciones se dieran cuenta por primera vez de que debe considerar la
información como un activo, al igual que el equipo físico. Si se hace un inventario
de la información por primera, puede resultar difícil saber por dónde empezar. Sin
embargo, una vez que se tiene este inventario en su término, sería mucho más
fácil salvaguardar la información que se mantiene protegida.

Mecanismos de Etiquetado de la Información

El estándar no prescribe los niveles de clasificación, esto es algo que las
organizaciones debe desarrollar por sí mismas, basado en lo que es común de
cada país o industria. Cuanto más grande y compleja sea la organización más
niveles de confidencialidad tendrá; por ejemplo, para una organización de tamaño
mediano se puede utilizar este tipo de niveles de clasificación de información con
tres niveles confidenciales y un nivel público:
 Confidencial (máximo nivel de confidencialidad)
 Restringido (nivel medio de confidencialidad)
 Uso interno (mínimo nivel de confidencialidad)
 Público (todo el mundo puede ver la información)
En la mayoría de los casos, el propietario del activo es responsable de clasificar la
información y esto se hace generalmente sobre la base de los resultados de la
evaluación del riesgo: cuanto mayor sea el valor de la información (cuanto mayor
sea la consecuencia de la violación de la confidencialidad), mayor deberá ser el
nivel de clasificación.
A menudo, una empresa u organización puede tener dos esquemas de
clasificación diferentes si trabaja tanto con el gobierno como con el sector privado.
Por ejemplo, la OTAN mantiene la siguiente clasificación con cuatro niveles
confidenciales y dos niveles públicos:
1
Lizbeth Suazo

 Cosmic Top Secret

 NATO Secret
 NATO Confidential
 NATO Restricted
 NATO Unclassified (copyright)
 NON SENSITIVE INFORMATION RELEASABLE TO THE PUBLIC
Se trata realmente de comprender las formas en que se utilizan los activos de
información y de garantizar que existan procedimientos para mantenerlos seguros.
Esta es un área en la que ha habido muchas infracciones públicas notorias
relacionadas con departamentos gubernamentales en los que se ha perdido
información delicada como nombres, direcciones e información fiscal, a veces en
forma no codificada.
Ahora bien, una vez decidida la forma en que van a ser llamados los niveles de
clasificación, ¿cómo se puede dejar claro a todos los involucrados, qué
información lleva qué nivel? A menudo las organizaciones se sienten un poco
abrumadas con la idea de que de repente tienen que etiquetar cada uno de los
documentos electrónicos y en papel que tienen, mientras que también están
trabajando en qué hacer con los datos almacenados en los sistemas informáticos.
La clave aquí es definir un enfoque que aborde primero los aspectos importantes y
ponga un interés en el terreno, de modo que el etiquetado comience desde un
punto específico. Intentar etiquetar primero la información realmente confidencial y
de alto valor, ya que es probable que se trate de un volumen mucho menor que la
información menos sensible del día a día. Esto requiere que se tenga un inventario
de activos preciso (control de Inventario de activos) para que se conozca con que
se está tratando. Un enfoque para comenzar a etiquetar todos los nuevos activos
a partir de una fecha determinada e intentar sentir que está empezando a tener
algún control sobre el tema, mientras considera cómo abordar los elementos
históricos.
Los activos de información deben tener "propietarios" llamados dueños del
negocio dentro de la organización; y son ellos los que deben considerar el
etiquetado, por lo que no todo dependerá de una sola persona o departamento
para lograrlo; se debe distribuir la carga tanto como sea posible.
Agrupar elementos con el mismo nivel de clasificación también ayudará a dejar las
cosas claras sin grandes gastos administrativos. Tal vez todo lo que se guarda en
una habitación en particular es confidencial y cerrar la puerta con llave y
etiquetarla como tal será suficiente para satisfacer la necesidad. Es posible que se
tenga que invertir en un sello para las copias en papel existentes que necesitan
ser etiquetadas individualmente, pero obviamente los artículos que se impriman en
el futuro deberían ser etiquetados electrónicamente usando encabezados, pies de
página, marcas de agua, etc.

2
Lizbeth Suazo

Existen herramientas de software disponibles para ayudar con esta labor. Estos
pueden utilizar metadatos para reflejar el nivel de clasificación y luego evitar que
ciertos tipos de documentos se utilicen de manera particular de acuerdo con una
política definida, por ejemplo, los documentos confidenciales no deben enviarse
por correo electrónico fuera de la organización. Algunos ejemplos de estas
herramientas encontradas en internet son Boldon James, Titus y Digital Guardian.
Para los datos almacenados en sistemas informáticos y bases de datos, etc., se
deberá considerar cómo etiquetarlos mientras están en su lugar y también si
deben ir a cualquier parte, por ejemplo, impresos o extraídos en soportes
extraíbles. Los mensajes de advertencia en el inicio de sesión y en los controles
de procedimiento son probablemente sus mejores enfoques en este caso.

Conclusión
Lo que se necesita es un enfoque claro que utilice el sentido común para proteger
primero los activos más importantes, al tiempo que se reconoce que va a ser un
viaje bastante largo que probablemente nunca terminará con el objetivo de
resguardar nuestra información.
Pero no hay duda de que esto debería ser un componente fundamental de la
estrategia de seguridad de la información, ya que respalda muchos otros
controles, como la gestión de acceso, la seguridad física y la criptografía, por lo
que merece la pena dedicarle el tiempo necesario para hacerlo bien.

Referencias

(n.d.). Retrieved Marzo 13, 2019, from ISO Tools: https://www.isotools.com.co/clasificar-la-

informacion-segun-iso-27001/

Guía de Auditoría del SGSI v2. (2017). ISO 27001 Security.

ISO 27001.es. (n.d.). Retrieved from http://www.iso27000.es/iso27002_8.html

mintic.gov.co. (2016). Guía para la Gestión y Clasificación de Activos de Información. Colombia:

mintic.gov.co.

NORTH ATLANTIC TREATY ORGANIZATION (NATO) SECURITY PROCEDURES. (n.d.). Retrieved from
https://fas.org/sgp/library/ipshbook/Chap_10.html

Rivas, A., Parrales, M., & Sabando, P. (n.d.). Retrieved Marzo 13, 2019, from
https://www.dspace.espol.edu.ec/bitstream/123456789/21624/1/Manual%20SGSI%20Aplicada
%20a%20la%20Gestion%20de%20Activos.pdf

3
Lizbeth Suazo