Política de Seguridad de Clasificación de la Información
Política de Seguridad de Clasificación de la Información
Objetivo
El objetivo de esta Política es establecer las directrices de Seguridad de la Información aplicables a la clasificación de la información. Esta política se aplica exclusivamente a la información propiedad de DOCUTEN TECH, S.L. relacionada directa o indirectamente con la prestación de sus servicios, independientemente del formato y soporte en el que se encuentre (escrita, electrónica, video, voz, etc.).
Contenido
- Con el fin de mejorar la productividad, DOCUTEN TECH, S.L. promueve el uso responsable de la información ya sea en formato electrónico, papel o comunicada (por teléfono, mediante correo electrónico, etc.).
- Sin importar el nivel de clasificación de la información, la información ha de ser siempre accesible por la Dirección de DOCUTEN TECH, S.L.
- La clasificación asignada a la información debe ser revisada periódicamente por sus propietarios.
- Se seguirán las normas establecidas en DOCUTEN TECH, S.L. respecto a la clasificación, marcado y tratamiento de la información.
- Las medidas de seguridad implantadas tendrán en cuenta los criterios de clasificación y los requisitos de seguridad establecidos para cada criterio.
- Se establecerán los criterios y niveles de clasificación de los activos de información, propiedad de DOCUTEN TECH, S.L., de acuerdo a la importancia para la actividad de DOCUTEN TECH, S.L.
- La información se clasificará según los siguientes criterios:
- Confidencialidad.
- Integridad.
- Disponibilidad.
- Se designan como propietarios de la información a los Directores de cada Área o Departamento, o a aquellas personas en las que ellos deleguen dicha responsabilidad de manera formal.
- Para cada activo de información se ha designado un responsable.
- Los propietarios de la información son los responsables de clasificarla según los criterios definidos, así como de definir los distintos accesos a la misma.
- Los propietarios de los activos son responsables de la autorización sobre el uso de estos, estableciendo las medidas que consideren oportunas para su protección.
Clasificación general de la información
Información TLP:WHITE
(Divulgación sin limitaciones. Información Pública.)
Información que no requerirá de protección por el deseo expreso de su publicación por parte de DOCUTEN TECH, S.L., la exigencia de publicación por parte de la normativa vigente o porque su divulgación, intencionada o accidental, no supondrá ningún tipo de riesgo para DOCUTEN TECH, S.L. La información clasificada pública será accesible por personas de DOCUTEN TECH, S.L. o ajenas al mismo. Ej.: Información sobre servicios ofrecidos por DOCUTEN TECH, S.L.
| Cuándo utilizarla | Cómo Compartirla |
|---|---|
| Se debe utilizar TLP:WHITE cuando la información no supone ningún riesgo de mal uso, dentro de las reglas y procedimientos establecidos para su difusión pública. | La información TLP:WHITE puede ser distribuida sin restricciones, sujeta a controles de Copyright |
Ejemplos documentación a etiquetar como TLP:WHITE incluyen documentos como folletos informativos sobre servicios o productos de la empresa, informes anuales o financieros dirigidos al público general, notas de prensa sobre nuevas iniciativas o alianzas, y detalles sobre actividades de la empresa que son abiertas al público. Además, incluye contenido disponible en el sitio web de la empresa o redes sociales corporativas. Esta categoría también puede incluir políticas generales y guías públicas sobre el uso de los servicios o productos de DOCUTEN, entre otros documentos cuyo acceso no compromete la seguridad ni la privacidad de la empresa. La divulgación de esta información no requiere aprobación adicional, pero siempre debe cumplir con las normativas sobre derechos de autor y protección de propiedad intelectual.
Información TLP:GREEN
(Divulgación limitada. Información Restringida a una Comunidad.)
| Cuándo utilizarla | Cómo Compartirla |
|---|---|
| Se debe utilizar TLP:GREEN cuando la información es útil para todas las organizaciones que participan, así como con terceros de la comunidad o el sector. | Los receptores pueden compartir la información indicada como TLP:GREEN con organizaciones afiliadas o miembros del mismo sector, pero nunca a través de canales públicos. |
Ejemplos de información TLP:GREEN incluyen reportes de investigación o análisis de mercado que pueden ser compartidos con aliados estratégicos, informes sobre proyectos colaborativos, directrices y mejores prácticas que se difunden entre empresas de un mismo sector, y acuerdos comerciales o contratos marco con proveedores y socios. También puede incluir presentaciones internas de resultados o propuestas que, aunque no sean confidenciales, deben mantenerse dentro de una comunidad específica. Esta información puede ser distribuida sin mayores restricciones dentro de la organización o con socios, pero nunca debe hacerse pública o compartirse a través de canales accesibles al público en general. La protección de esta información es importante para evitar que se utilice de manera inapropiada fuera de su comunidad de destino.
Información TLP:AMBER
(Divulgación limitada. Información Restringida a las Organizaciones de los Participantes.)
Información necesaria para el correcto desempeño de las funciones y de los negocios de DOCUTEN TECH, S.L. que, necesitando protección, no estará clasificada como TLP:RED y cuya divulgación, intencionada o accidental, podrá suponer quebrantos económicos leves o medios a DOCUTEN TECH, S.L., no deteriorará significativamente la imagen corporativa, no atentará contra los derechos de las personas. La información clasificada será accesible por el personal autorizado por DOCUTEN TECH, S.L. y no podrá transmitirse ni comunicarse a nadie fuera del grupo sin previa autorización del propietario. Ej.: Directorio telefónico, organigrama de la compañía.
| Cuándo utilizarla | Cómo Compartirla |
|---|---|
| Se debe utilizar TLP:AMBER cuando la información requiere ser distribuida de forma limitada, pero supone un riesgo para la privacidad, reputación u operaciones si es compartida fuera de la organización | Los receptores pueden compartir información indicada como TLP:AMBER únicamente con miembros de su propia organización que necesitan conocerla, y con clientes, proveedores o asociados que necesitan conocerla para protegerse a sí mismos o evitar daños. El emisor puede especificar restricciones adicionales para compartir esta información. |
Ejemplos de información TLP:AMBER incluyen directorios telefónicos internos, organigramas de la empresa, informes de desempeño interno, datos sobre proveedores clave, y estrategias operativas que son esenciales para las actividades diarias de DOCUTEN, pero cuya divulgación externa podría poner en riesgo la privacidad o la competitividad. También incluye políticas internas sobre recursos humanos, como procedimientos de contratación o evaluación de desempeño, que deben mantenerse confidenciales dentro de la organización. Aunque esta información puede ser útil para varias áreas dentro de la empresa, no debe compartirse fuera de la organización ni con terceros sin autorización previa del propietario de la información. Los receptores de información TLP:AMBER deben ser conscientes de la necesidad de protegerla y garantizar que solo se comparta con las partes necesarias para el cumplimiento de sus funciones, evitando riesgos relacionados con la privacidad o la reputación de la empresa. En esta categoría también se encuentra documentación compartida con clientes, como ofertas comerciales, presupuestos y propuestas a clientes, documentos de cotización, acuerdos de servicio (SLA), documentos de implementación de proyectos, entre otros.
Información TLP:RED (Divulgación Limitada. Información Confidencial.)
Información cuya divulgación, alteración o pérdida puede suponer un quebranto económico grave para DOCUTEN TECH, S.L., un deterioro significativo de su imagen pública, atentar directamente contra el derecho a la intimidad de las personas o puede afectar significativamente a su posición en el mercado o al incumplimiento de la normativa vigente. Los activos de información confidenciales no podrán ser, en ningún caso, accedidos públicamente y podrá haber casos en que algunos usuarios tengan sólo acceso temporal. Los accesos, permanentes o temporales, a los activos de información confidencial deberán de estar plenamente justificados y aprobados. La información clasificada confidencial será accesible por un grupo limitado y definido de personas. No está permitida la transferencia excepcional a terceros sin autorización previa del propietario de la información. Ej.: Planes estratégicos, información económica.
Adicionalmente, la información que debe ser conocida únicamente por el propietario de la misma, tales como contraseñas de usuario, claves criptográficas, etc. No estará permitido compartir ni divulgar la información clasificada secreta. Se extremarán las medidas de protección en su generación y posterior distribución a los propietarios mediante cifrado y mecanismos que permitirán descubrir si han sido intervenidos (tamper proof). Se mantendrá extrema seguridad en su almacenamiento (cifrado irreversible en contraseñas, separación en partes y asignación de llaveros para claves maestras…)
| Cuándo utilizarla | Cómo Compartirla |
|---|---|
| Se debe utilizar TLP:RED cuando la información está limitada a personas concretas, y podría tener impacto en la privacidad, reputación u operaciones si es mal utilizada | Los receptores no deben compartir información designada como TLP:RED con ningún tercero fuera del ámbito donde fue expuesta originalmente, salvo |
Ejemplos de información TLP:RED incluye documentos esenciales cuya divulgación no autorizada podría afectar directamente la privacidad de individuos o la competitividad de la empresa. Ejemplos incluyen planes estratégicos a largo plazo, información financiera detallada, contratos confidenciales con clientes o proveedores, y datos personales de empleados o clientes que deben ser protegidos conforme a las leyes de privacidad. También abarca detalles sobre procesos internos sensibles, como fusiones y adquisiciones en curso, y propiedad intelectual no divulgada, como diseños, patentes, o algoritmos exclusivos. Además, incluye información crítica como claves de acceso a sistemas o datos cifrados que permiten el acceso a sistemas internos. Los accesos a esta información deben ser limitados a un grupo pequeño y autorizado, y no debe compartirse fuera de la organización sin la debida autorización. Los documentos clasificados como TLP:RED deben ser almacenados, gestionados y transmitidos con los más altos estándares de seguridad, como cifrado y controles estrictos de acceso, para evitar riesgos asociados a su mal uso.