jueves, 9 de octubre de 2008

Cuando confidencial no significa nada

Aparece publicado en la Web de Cadena Ser, documentación donde los servicios secretos españoles acusan a Irán de proteger y armar a terroristas islámicos.

Si lo de la semana pasada era repugnante porque se vendía información, lo de esta tiene más guasa, puesto que son documentos de "Los Servicios Secretos" (Deben ser de la TIA, como Mortadelo y Filemón). Lo que deberían los periodistas hacer en estos casos sería matizar bien los titulares cambiando "Según nuevos informes confidenciales a los que ha tenido acceso la SER" por "Según nuevos informes que han dejado de ser confidenciales a los que ha tenido acceso la SER.



Por centrarme en el tema, siempre que tratas la implantación de controles de la norma ISO 27001 aparece el escollo en lo relacionado al bloque "7 Gestión de activos", y en concreto, el objetivo de control "7.2 Clasificación de información".

En este asunto hay que hilar muy fino y no por lo complejo de la implantación de las medidas sino por la extensión que debe tener su aplicación, afectando generalmente a toda la organización que se encuentre dentro del alcance del sistema de gestión de la seguridad de la información. En general, solemos recomendar la aplicación de tres escalones de protección:
  • Confidencial

  • Uso interno

  • Uso público


¿Puede haber más? Pues claro que sí, tantos como la organización necesite para poder garantizar los requisitos de protección adecuados a cada nivel. Pero lo que quiero destacar es que las etiquetas no son lo importante. Lo esencial es establecer diferentes formas de tratar cada uno de estos tipos de información, dado que atendiendo a su naturaleza, tienen requisitos diferentes. Por eso, cuando ves "información confidencial" en manos de extraños o publicada en una Web, te preguntas ¿Habrán desclasificado ya este documento? porque de confidencial, a partir de ese momento, solo le queda la etiqueta y debería ser ya desclasificada.

Por tanto, cualquiera que quiera hacer bien las cosas en relación al manejo de información clasificada, debe pensar en procesos de tratamiento y lo adecuado, sería definir los requisitos que hay que espeficar para:
- Etiquetado
- Acceso o autorización
- Desclasificación
- Transmisión o transporte
- Destrucción
- Requisitos adicionales si se trata de datos de carácter personal.

Si un empleado, vinculado a los niveles de clasificación, no tiene claro para cada "tipo de información" que es lo que tiene que hacer, simplemente lo que se ha hecho es "clasificar información y etiquetarla" pero no mejorar su seguridad.

4 comentarios:

Luis dijo...

Muy interesante la entrada y muy acertado el comentario sobre la "confidencialidad" de cierta información a la que se ha tenido acceso.

Lo peor es que si la revelación de secretos es un delito, ¿no debería serlo también la inducción a revelarlos?. Los medios de comunicación pagan por esas revelaciones y eso todo el mundo lo sabe. En realidad, se obtiene una ventaja de una infracción legal por lo que puede ser calificado, al menos, como de competencia desleal.

Saludos

Anónimo dijo...

Hola Javier, totalmente de acuerdo, con una matización. Como con otros términos y con su posterior secta/orización el uso que damos a "confidencialidad" viene de una incorrecta traducción al castellano como otros términos usados en muchas ISO. De tal manera que, en versión original , la confidencialidad requerida puede ser tan amplia que casi sea pública y, en su caso, irrelevante.
SSF

Javier Cao Avellaneda dijo...

Respecto al comentario de Luis, sería lo más correcto puesto que al no establecerse nunca las responsabilidades sobre la pérdida de confidencialidad, este tipo de incidentes quedan impunes y de alguna manera, eso solo genera que sean cada vez más frecuentes. Algo debería hacerse si una amenaza se repite demasiado, es una evidencia de que las medidas no funcionan (no solo las técnicas sino también las organizativas o legales).

Al comentario de "Anónimo", sería interesante que lo matizara más. Por lo que yo entiendo por confidencial, básicamente es evitar el acceso a cierta información de personal no autorizado. Si un documento confidencial llega a prensa, o bien es "público" o bien pierde su condición de "confidencialidad", o sea, es desclasificado.

Edgard dijo...

Hola profesor ;-)

Confi.... qué ??? Me parece que nuestros espias, o son becarios o se han formado en un curso a distancia .....

Interesante entrada, no obstante "confidencialidad" y "periodismo" por llamarlo de alguna manera son vocablos incompatibles.

La verdad que es tan preocupante que esta información sea filtrada como que alguien la haga pública.

 
;