La clasificación de la información es un proceso que permite a las organizaciones activos de información del grupo en categorías pertinentes dependiendo del nivel de protección que debe proporcionarse cada categoría de información.
El Control 5.12 trata de la implementación de un esquema de clasificación de la información basado en requisitos de confidencialidad, integridad y disponibilidad de los activos de información.
5.12 es un control preventivo que identifica riesgos al permitir a las organizaciones determinar el nivel de protección de cada activo de información en función del nivel de importancia y sensibilidad de la información.
5.12 advierte explícitamente a las organizaciones contra la clasificación excesiva o insuficiente de la información en la Guía complementaria. Afirma que las organizaciones deben tener en cuenta los requisitos de confidencialidad, disponibilidad e integridad cuando asignan activos a categorías relevantes.
Esto garantiza que el esquema de clasificación logre un equilibrio adecuado entre las necesidades comerciales de información y los requisitos de seguridad para cada categoría de información.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Protección de la información | #Proteccion #Defensa |
Si bien debería haber una clasificación de los esquemas de información para toda la organización con niveles de clasificación y criterios sobre cómo clasificar activos de información, los propietarios de los activos de información son en última instancia responsables de la implementación de un esquema de clasificación.
5.12 reconoce explícitamente que los propietarios de los correspondientes activo de información debe rendir cuentas.
Por ejemplo, si el departamento de contabilidad tiene acceso a las carpetas con informes de nómina y extractos bancarios, debe clasificar la información según el esquema de clasificación de toda la organización.
Al clasificar la información, el propietario del activo debe tener en cuenta cuenta las necesidades del negocio, nivel de impacto que el compromiso de la información tendría en la organización y el nivel de importancia y sensibilidad de la información.
Para implementar un esquema sólido de clasificación de información, las organizaciones deben adoptar un enfoque temático específico, comprender las necesidades de información de cada unidad de negocios y determinar el nivel de sensibilidad y criticidad de la información.
5.12 requiere que las organizaciones tengan en cuenta los siguientes siete criterios al implementar un esquema de clasificación:
5.12 se refiere explícitamente a 5.1, Control de acceso y requiere que las organizaciones se adhieran a políticas específicas de temas como se describe en 5.1. Además, el esquema y los niveles de clasificación deben tener en cuenta las necesidades empresariales específicas.
Si asigna un activo de información a una categoría de clasificación que es innecesariamente más alta, esto puede generar el riesgo de interrupción de sus funciones comerciales críticas al restringir el acceso y el uso de la información.
Por lo tanto, debe esforzarse por encontrar un equilibrio entre las necesidades comerciales específicas de disponibilidad y uso de la información y los requisitos de confidencialidad e integridad de esa información.
Algunas leyes pueden imponerle obligaciones más estrictas para garantizar la confidencialidad, integridad y disponibilidad de la información. Al asignar activos de información a categorías, las obligaciones legales deben tener prioridad sobre su propia clasificación.
Cada tipo de información tiene un nivel diferente de criticidad para las operaciones de cada negocio y tiene un nivel diferente de sensibilidad según el contexto.
Al implementar un esquema de clasificación de información, las organizaciones deberían preguntarse:
¿Qué impacto tendría en la organización el compromiso de la integridad, disponibilidad y confidencialidad de esta información?
Por ejemplo, las bases de datos de direcciones de correo electrónico profesionales de clientes potenciales calificados y los registros médicos de los empleados difieren ampliamente en términos del nivel de sensibilidad y el impacto potencial.
5.12 señala que el valor, la criticidad y la sensibilidad de la información no son estáticos y pueden cambiar a lo largo del ciclo de vida de la información. Por lo tanto, es necesario revisar periódicamente cada clasificación y realizar las actualizaciones necesarias.
Como ejemplo de tal cambio, el 5.12 se refiere a la divulgación de información al público, lo que reduce en gran medida el valor y la sensibilidad de la información.
No existe una única forma de clasificar la información y cada organización puede tener diferentes nombres, niveles y criterios a la hora de clasificar los esquemas de información.
Estas diferencias pueden generar riesgos cuando las dos organizaciones intercambian activos de información entre sí. Por lo tanto, es necesario establecer un acuerdo con su contraparte para garantizar que haya coherencia en la clasificación de la información y la interpretación de los niveles de clasificación.
Cada departamento dentro de la organización debe tener un entendimiento común de los niveles y procedimientos de clasificación para que las clasificaciones sean consistentes en toda la organización.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Si bien 5.12 reconoce que no existe un esquema de clasificación único y que las organizaciones tienen margen para decidir y describir los niveles de clasificación individuales, ofrece el siguiente ejemplo como esquema de clasificación de información:
a) La divulgación no causa daño;
b) La divulgación causa un daño menor a la reputación o un impacto operativo menor;
c) La divulgación tiene un impacto significativo a corto plazo en las operaciones u objetivos comerciales;
d) La divulgación tiene un impacto grave en los objetivos comerciales a largo plazo o pone en riesgo la supervivencia de la organización.
La Clasificación de la Información fue abordada en el apartado 8.2.1 de la versión anterior.
Si bien las dos versiones son muy similares, existen dos diferencias clave:
En la versión anterior, no había ninguna referencia explícita al requisito de coherencia de los niveles de clasificación cuando se transfiere información entre organizaciones.
Sin embargo, en la versión 2022, es necesario establecer un acuerdo con su contraparte para garantizar que haya coherencia en la clasificación de la información y la interpretación de los niveles de clasificación.
En segundo lugar, la nueva versión requiere explícitamente que las organizaciones implementen políticas temáticas específicas. En la versión anterior, por el contrario, sólo se hacía una breve referencia al control de acceso.
Nuestra plataforma es intuitivo y fácil de usar. No es sólo para gente muy técnica; es para todos en su organización. Le recomendamos que involucre al personal de todos los niveles de su negocio en el proceso de construcción de su ISMS, porque eso te ayuda a construir un sistema verdaderamente sostenible.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
