Aunque se trate de aspectos de la información independientes, en ocasiones se necesita combinar los valores de C, I y A, para obtener un único valor de seguridad para el proceso. Si la valoración es cuantitativa, puede emplearse la suma, que puede ser no ponderada (S = C + I + A), o ponderando cada dimensión, para otorgarles diferentes pesos, por ejemplo: S = [(3 x C) + (2 x I) + A)] / 6.
Si la valoración es cualitativa, habitualmente se simplifica en elegir como representante de seguridad del proceso el valor máximo que se alcance en alguna de sus dimensiones.
4. Determinación de los sistemas de información que soportan los procesos de negocio y sus requerimientos de seguridad
En el apartado anterior se dieron las pautas para determinar los requerimientos de seguridad de la información. Los otros elementos que pueden intervenir en un proceso son las personas y los sistemas. En este apartado se profundizará en sus requerimientos de seguridad.
4.1. Valoración CIA de las personas
La información es manejada por personas, y resulta importante tener identificadas a dichas personas, que serán empleados de la empresa, o externos (proveedores, clientes, visitas, y otros).
El responsable de identificar las personas que acceden a la información de un proceso, es el responsable de dicho proceso; y puede coincidir habitualmente con el responsable o jefe del área o departamento que desempeña dicho proceso en la empresa.
Nota
Se pueden emplear formularios similares a los usados en el BIA, o reuniones con los dueños de los procesos, para identificar a todas las personas que intervengan en dichos procesos.
La valoración para cada persona que intervenga en el proceso se evalúa en las tres dimensiones de la seguridad: (C, I, A).
Confidencialidad
Los requisitos de confidencialidad para cada individuo atienden, por tanto, a la clasificación de la información del proceso (confidencial, interno, o público), a la que tenga restringido su acceso. Se clasifican en 3 niveles, y pueden asignarse de acuerdo a la mejor descripción de las necesidades del proceso.
| Requerimientos de confidencialidad para las personas | |
| Nivel alto | Cuando las personas acceden a información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona con un requisito de confidencialidad alto tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | Cuando las personas acceden a información calificada como interna. Un incidente de seguridad tendría un impacto moderado en el proceso. |
| Nivel bajo | Cuando las personas acceden a información calificada como pública. Un incidente de seguridad tendría una repercusión ninguna/bajo en el proceso. |
Integridad
Los requisitos de integridad para las personas atienden al nivel de la información que pueden modificar en el proceso, y a la capacidad para modificar completamente o no dicha información.
| Requerimientos de integridad para las personas | |
| Nivel alto | Cuando las personas modifican información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | Cuando las personas pueden modificar completamente información calificada como interna e información calificada como pública. Un incidente de seguridad tendría un impacto moderado en el proceso. |
| Nivel bajo | Cuando las personas tienen restricciones para modificar la información calificada como interna e información calificada como pública. Un incidente de seguridad tendría una repercusión ninguno/bajo en el proceso. |
Disponibilidad
Los requisitos de disponibilidad para las personas atienden al daño que genera al proceso el que la persona no esté disponible.
| Requerimientos de disponibilidad para las personas | |
| Nivel alto | Cuando la no disponibilidad de la persona tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | Cuando la no disponibilidad de la persona tendría un impacto moderado en el proceso. |
| Nivel bajo | Cuando la no disponibilidad de la persona tendría un impacto ninguno/bajo en el proceso. |
4.2. Valoración CIA de sistemas físicos, programas y servicios de soporte
En esta categoría se deben clasificar los componentes que intervienen en el proceso, al margen de las personas y de la información. Se clasifican aquí los requisitos para los equipos físicos (hardware, incluyendo ordenadores, equipos de comunicaciones y soportes de almacenamiento (CD, discos duros extraíbles, etc.), para las aplicaciones o programas (software, incluyendo sistemas operativos y aplicaciones), e incluso para los servicios de soporte necesarios, como el suministro eléctrico, la climatización, o el alojamiento.
Actividades
7. Piense la valoración CIA que podría tener el único administrador de la red de ordenadores de un despacho de abogados.
Nota
Los soportes de almacenamiento son una pieza esencial de un sistema de información, y en concreto, del sistema de copias de seguridad. Si la información tiene un nivel alto de confidencialidad, tan importante es conservarlos libres de accesos no permitidos, como destruirlos de manera irrecuperable al finalizar su periodo de vigencia, porque las copias no pueden almacenarse indefinidamente. Si la información tiene un nivel de integridad alto, las copias deben protegerse de modificaciones, ya que en caso de restaurarlas se introducirá información alterada; para ello puede servir conservar el hash de la información guardada, que se empleará como elemento de verificación de la copia antes de restaurarla.
Confidencialidad
Los requisitos de confidencialidad de los sistemas atienden al servicio que prestan, y heredan la confidencialidad de la información procesada o almacenada por el sistema.
| Requerimientos de confidencialidad para los sistemas | |
| Nivel alto | Cuando la información procesada, almacenada, o el servicio prestado, tiene un nivel de confidencialidad alta. |
| Nivel medio | Cuando la información procesada, almacenada, o el servicio prestado, es de confidencialidad media. |
| Nivel bajo | Cuando la información procesada, almacenada, o el servicio prestado, es de confidencialidad baja. |
Integridad
Los requisitos de integridad de los sistemas heredan la integridad de la información procesada o almacenada por el sistema, y además, reflejan la confianza o fiabilidad (predictibilidad) de los servicios prestados por el sistema en el proceso.
| Requerimientos de integridad para los sistemas | |
| Nivel alto | La confianza y fiabilidad de los servicios prestados es alta. La información procesada o almacenada tiene un nivel
|