POLÍTICA DE CIBERSEGURIDAD

POLÍTICA DE CLASIFICACIÓN DE DATOS

DIVISIÓN DE RIESGOS

RATIFICADO EN SESIÓN <Colocar el número de sesión de directorio y la fecha : N° XXX – XX

DEL DIRECTORIO de XXXX del 2XXX>

APROBADO EN SESIÓN <Colocar el número de sesión del SCAR y la fecha : N° XXX – XX de

DEL SCAR XXXX del 2XXX>

RESPONSABLE DE LA
Gustavo Morón Pastor – Gerente de División de Riesgos
ACTUALIZACIÓN
Pedro Fernández Cordano – Subgerente de Seguridad de la
Información
REVISADO POR: <Nombre - Cargo>
<Nombre - Cargo>
<Nombre - Cargo>

© COPYRIGHT Mibanco – TODOS LOS DERECHOS RESERVADOS

Ninguna parte de esta publicación puede ser reproducida, ni almacenada en un sistema o
transmitida de ninguna forma o bajo ningún mecanismo sin aprobación escrita de Mibanco
 POL-YYY-XXX
POLÍTICA DE CLASIFICACIÓN DE DATOS
<VIGENCIA: XX-XX-XX>

ÍNDICE

1. OBJETIVO........................................................................................................................................... 3
2. ALCANCE............................................................................................................................................ 3
3. BASE LEGAL...................................................................................................................................... 3
4. GENERALIDADES.............................................................................................................................. 3
4.1. GLOSARIO........................................................................................................................................... 3
5. POLÍTICAS.......................................................................................................................................... 3
5.1. POLÍTICAS GENERALES.................................................................................................................... 4
5.2. POLÍTICAS ESPECÍFICAS.................................................................................................................. 4
6. REGISTROS........................................................................................................................................ 5
7. ANEXOS.............................................................................................................................................. 5
8. CONTROL DE CAMBIOS.................................................................................................................... 5

La versión vigente de este documento es la que se encuentra en la intranet.

VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 2 de 5
verificar su vigencia.
 POL-YYY-XXX
POLÍTICA DE CLASIFICACIÓN DE DATOS
<VIGENCIA: XX-XX-XX>

1. OBJETIVO

El objetivo de la presente política es establecer los principios de Seguridad para identificar y

categorizar los datos y sus agregados, originados, pertenecientes o confiados a la organización, de
acuerdo con el nivel de sensibilidad.

2. ALCANCE

La presente política aplica para toda la organización Mibanco. Todos los empleados son
responsables de clasificar sus datos asegurando la confidencialidad, integridad y disponibilidad.
Entiéndase como dato a todos los elementos de datos con valor para la organización independiente
de su formato y considerando su agregación. Incluye la data estructurada y no estructurada (mails,
audio, video, etc.).

3. BASE LEGAL

Externa

 NIST FIPS PUB 199 Standards for Security Categorization of Federal Information and
Information Systems

Interna

 Política de Gestión de Activos de Información y de Software

 Política General de Seguridad de la Información

4. GENERALIDADES

4.1. GLOSARIO

4.1.1. Data estructurada: Data altamente organizada, regularmente en un modelo relacional.

Bases de datos.

4.1.2. Data no Estructurada: Data que no tiene un formato ni contenido definido. Requiere alto
esfuerzo de compilación. Ejm. E-mails, documentos de Word, fotos, video.

4.1.3. Dominios de Información: Conjunto de elementos de datos que abarca una materia
específica.

4.1.4. No repudio: Garantiza la participación de las partes en la comunicación. Prueba que el

mensaje fue enviado y/o recibido por la parte específica.

4.1.5. Datos Sensibles: Datos que como resultados del proceso de Clasificación sean
categorizados como Restringidos.

5. POLÍTICAS

La versión vigente de este documento es la que se encuentra en la intranet.

VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 3 de 5
verificar su vigencia.
 POL-YYY-XXX
POLÍTICA DE CLASIFICACIÓN DE DATOS
<VIGENCIA: XX-XX-XX>

5.1. POLÍTICAS GENERALES

NO APLICA

5.2. POLÍTICAS ESPECÍFICAS

5.2.1. Identificación de Datos:

5.2.1.1. Todo dato con valor para la organización debe tener un dueño responsable de
garantizar las propiedades de Seguridad (Confidencialidad, integridad y
disponibilidad).

5.2.1.2. Se debe tener trazabilidad de los datos sensibles durante todo el ciclo de vida del
mismo. Identificando el flujo de datos, considerando sus transformaciones y su
ubicación.

5.2.1.3. Se debe descubrir y etiquetar la información que se considere sensible

permitiendo su clara identificación.

5.2.2. Categorización de Impacto Potencial

5.2.2.1. Siguiendo el estándar NIST FIPS PUB 199, se definen 3 niveles de impacto
Potencial en la organización, en casos de brechas de Seguridad de datos:

 Bajo: Si la pérdida de confidencialidad, integridad o disponibilidad genera un efecto

adverso limitado o nulo en las operaciones de la organización y los activos.
Un efecto adverso limitado puede referirse a una degradación mínima en el
funcionamiento de operaciones sin afectar procesos primarios. Pérdida financiera
mínima o nula.
 Medio: Si la pérdida de confidencialidad, integridad o disponibilidad genera un
efecto adverso serio en las operaciones de la organización y los activos.
Un efecto adverso serio puede referirse a una degradación significativa en el
funcionamiento de operaciones sin afectar sus procesos primarios. Pérdida
financiera significativa.
 Alta: Si la pérdida de confidencialidad, integridad o disponibilidad genera un efecto
adverso catastrófico en las operaciones de la organización y los activos.
Un efecto adverso serio puede referirse a una degradación severa en el
funcionamiento de operaciones afectando uno más procesos primarios. Pérdida
financiera mayor.

5.2.3. Categorización para la Clasificación de Datos

5.2.3.1. La clasificación de datos se medirá de acuerdo con el impacto potencial en la

organización en los objetivos de seguridad:

Clasificación de Datos = {Impacto de Confidencialidad, Impacto de

Integridad, Impacto de Disponibilidad}

5.2.3.2. La clasificación más alta de cualquier dato debe prevalecer al determinar la

clasificación de datos agregados. Considérese aplicativos, reportes, bases de
datos, entre otros.

La versión vigente de este documento es la que se encuentra en la intranet.

VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 4 de 5
verificar su vigencia.
 POL-YYY-XXX
POLÍTICA DE CLASIFICACIÓN DE DATOS
<VIGENCIA: XX-XX-XX>

5.2.3.3. Se establecen las siguientes categorías para clasificar los datos de la

Organización:

 Público: Data que no posee riesgo si se expone fuera de la organización o si se

corrompe o se pierde. Impacto Potencial bajo en las categorías de Seguridad, no
genera pérdidas financieras, legal o de negocio.
 Uso Interno: Si se pierde, corrompe o se divulga sin autorización es solo de
importancia dentro de la organización. No resultaría en una pérdida financiera,
legal o de negocio tangible.
 Restringido: Si se pierde, corrompe o se divulga sin autorización produce un daño
serio para la reputación y/o posición de negocio de la organización. Resulta en una
severa pérdida financiera, legal o reputacional. Ejm. data estratégica, información
personal, core datasets.

5.2.3.4. Todo dato debe ser considerado con clasificación de “Uso Interno” hasta que sea
definido explícitamente en otra categoría por los estándares y/o proceso de
Clasificación de la Organización.

5.2.3.5. Se determinará la Clasificación de Datos de acuerdo con el apetito de riesgos de

la organización.

6. REGISTROS

NO APLICA

7. ANEXOS

NO APLICA

8. CONTROL DE CAMBIOS

Modificaciones
Actualizado por

Nº de Versión

Impactada
Solicitante
Fecha de
Vigencia

Área(s)

Área(s)

Generalidades
(s)

(s)

Descripción del Cambio

Registros
Políticas

Anexos

Otros

01 Documento Nuevo

La versión vigente de este documento es la que se encuentra en la intranet.

VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 5 de 5
verificar su vigencia.