Articles

Oficina de Seguridad de la Información

admin

Propósito

El propósito de esta Guía es establecer un marco para clasificar los datos institucionales en función de su nivel de sensibilidad, valor y criticidad para la Universidad, según lo requiera la Política de Seguridad de la Información de la Universidad. La clasificación de los datos ayudará a determinar los controles de seguridad de referencia para la protección de los datos.

Se aplica a

Esta Política se aplica a todos los profesores, el personal y los Agentes externos de la Universidad, así como a cualquier otra filial de la Universidad que esté autorizada a acceder a los Datos Institucionales. En particular, esta Directriz se aplica a quienes son responsables de clasificar y proteger los Datos Institucionales, tal como se definen en las Funciones y Responsabilidades de Seguridad de la Información.

Definiciones

Los datos confidenciales son un término generalizado que típicamente representa datos clasificados como Restringidos, de acuerdo con el esquema de clasificación de datos definido en esta Guía. Este término se utiliza a menudo indistintamente con datos confidenciales.

Un Administrador de Datos es un empleado de nivel superior de la Universidad que supervisa el ciclo de vida de uno o más conjuntos de Datos Institucionales. Consulte las Funciones y Responsabilidades de Seguridad de la información para obtener más información.

Los datos institucionales se definen como todos los datos propiedad o licenciados por la Universidad.

La información no pública se define como cualquier información clasificada como Información Privada o Restringida de acuerdo con el esquema de clasificación de datos definido en la presente Orientación.

Los datos sensibles son un término generalizado que típicamente representa datos clasificados como Restringidos, de acuerdo con el esquema de clasificación de datos definido en esta Guía. Este término se utiliza a menudo indistintamente con datos confidenciales.

Clasificación de datos

La clasificación de datos, en el contexto de la seguridad de la información, es la clasificación de datos basada en su nivel de sensibilidad y el impacto para la Universidad si los datos se divulgan, alteran o destruyen sin autorización. La clasificación de los datos ayuda a determinar qué controles de seguridad de referencia son adecuados para salvaguardar esos datos. Todos los datos institucionales deben clasificarse en uno de los tres niveles de sensibilidad o clasificaciones:

Clasificación Definición
Restringido Los datos deben clasificarse como restringidos cuando la divulgación, alteración o destrucción no autorizada de esos datos pueda causar un nivel significativo de riesgo para la Universidad o sus filiales. Ejemplos de datos restringidos incluyen datos protegidos por regulaciones de privacidad estatales o federales y datos protegidos por acuerdos de confidencialidad. A los datos restringidos deben aplicarse los controles de seguridad más estrictos.
Los datos privados deben clasificarse como Privados cuando la divulgación, alteración o destrucción no autorizada de esos datos pueda dar lugar a un nivel moderado de riesgo para la Universidad o sus filiales. De forma predeterminada, todos los Datos Institucionales que no se clasifiquen explícitamente como datos restringidos o públicos deben tratarse como datos privados. Se debe aplicar un nivel razonable de controles de seguridad a los datos privados.
Los datos públicos deben clasificarse como Públicos cuando la divulgación, alteración o destrucción no autorizada de esos datos resulte en poco o ningún riesgo para la Universidad y sus afiliados. Entre los ejemplos de datos públicos figuran comunicados de prensa, información sobre cursos y publicaciones de investigación. Si bien se requieren pocos o ningún control para proteger la confidencialidad de los datos públicos, se requiere cierto nivel de control para impedir la modificación o destrucción no autorizadas de los datos públicos.

La clasificación de los datos debe ser realizada por un Administrador de datos apropiado. Los Administradores de datos son empleados de alto nivel de la Universidad que supervisan el ciclo de vida de uno o más conjuntos de Datos Institucionales. Consulte Roles y Responsabilidades de Seguridad de la información para obtener más información sobre el rol de Administrador de datos y las responsabilidades asociadas.

Colecciones de datos

Los administradores de datos pueden asignar una clasificación única a una colección de datos que sea común en su propósito o función. Al clasificar una colección de datos, se debe utilizar la clasificación más restrictiva de cualquiera de los elementos de datos individuales. Por ejemplo, si una recopilación de datos consiste en el nombre, la dirección y el número de seguro social de un estudiante, la recopilación de datos debe clasificarse como Restringida, aunque el nombre y la dirección del estudiante puedan considerarse información pública.

Reclasificación

De forma periódica, es importante reevaluar la clasificación de los Datos Institucionales para garantizar que la clasificación asignada siga siendo adecuada en función de los cambios en las obligaciones legales y contractuales, así como de los cambios en el uso de los datos o su valor para la Universidad. Esta evaluación debe ser realizada por el Administrador de datos apropiado. Se recomienda realizar una evaluación anual; sin embargo, el Administrador de Datos debe determinar la frecuencia más apropiada en función de los recursos disponibles. Si un Administrador de datos determina que la clasificación de un determinado conjunto de datos ha cambiado, se debe realizar un análisis de los controles de seguridad para determinar si los controles existentes son coherentes con la nueva clasificación. Si se detectan deficiencias en los controles de seguridad existentes, éstas deben corregirse oportunamente, en consonancia con el nivel de riesgo que presenten.

Cálculo de Clasificación

El objetivo de la seguridad de la información, tal y como se establece en la Política de Seguridad de la Información de la Universidad, es proteger la confidencialidad, integridad y disponibilidad de los Datos Institucionales. La clasificación de los datos refleja el nivel de impacto para la Universidad si se compromete la confidencialidad, la integridad o la disponibilidad.

Desafortunadamente no existe un sistema cuantitativo perfecto para calcular la clasificación de un elemento de datos en particular. En algunas situaciones, la clasificación apropiada puede ser más obvia, como cuando las leyes federales requieren que la Universidad proteja ciertos tipos de datos (por ejemplo, información de identificación personal). Si la clasificación adecuada no es intrínsecamente obvia, considere cada objetivo de seguridad utilizando la siguiente tabla como guía. Es un extracto de la publicación 199 de las Normas Federales de Procesamiento de Información (FIPS, por sus siglas en inglés), publicada por el Instituto Nacional de Normas y Tecnología, que analiza la categorización de la información y los sistemas de información.

IMPACTO POTENCIAL
Objetivo de seguridad BAJO MODERADO ALTO
Confidencialidad
Preservar las restricciones autorizadas al acceso y divulgación de la información, incluidos los medios para proteger la privacidad personal y la información de propiedad.		 Cabe esperar que la divulgación no autorizada de información tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. Cabe esperar que la divulgación no autorizada de información tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. Cabe esperar que la divulgación no autorizada de información tenga un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas.
Integridad
Protección contra la modificación o destrucción de información incorrecta, e incluye garantizar la autenticidad y no repudio de la información.		 Cabe esperar que la modificación o destrucción no autorizadas de información tenga un efecto adverso limitado en las operaciones, los activos o las personas de la organización. Cabe esperar que la modificación o destrucción no autorizadas de información tenga un efecto adverso grave en las operaciones, los bienes o las personas de la organización. Cabe esperar que la modificación o destrucción no autorizada de información tenga un efecto adverso grave o catastrófico en las operaciones, los activos o las personas de la organización.
Disponibilidad
Garantizar el acceso oportuno y fiable a la información y su uso.		 Cabe esperar que la interrupción del acceso a la información o a un sistema de información o su uso tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas. Cabe esperar que la interrupción del acceso a la información o a un sistema de información o de su uso tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas. La interrupción del acceso a la información o a un sistema de información o su uso podría tener un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas.

A medida que el impacto potencial total para la Universidad aumenta de Bajo a Alto, la clasificación de los datos debería ser más restrictiva, pasando de Pública a Restringida. Si una clasificación apropiada aún no está clara después de considerar estos puntos, comuníquese con la Oficina de Seguridad de la Información para obtener asistencia.

Apéndice A – Tipos Predefinidos de Información Restringida

La Oficina de Seguridad de la Información y la Oficina del Asesor General han definido varios tipos de datos restringidos en función de los requisitos reglamentarios estatales y federales. Se definen de la siguiente manera:

Verificador de Autenticación
Un Verificador de autenticación es una pieza de información que un individuo mantiene en secreto y que se utiliza para demostrar que la persona es quien dice ser. En algunos casos, un Verificador de autenticación puede compartirse entre un pequeño grupo de personas. También podrá utilizarse un verificador de autenticación para probar la identidad de un sistema o servicio. Los ejemplos incluyen, pero no se limitan a::

  • Contraseñas
  • Secretos compartidos
  • Claves privadas criptográficas
Información Financiera Cubierta
Consulte el Programa de Seguridad de la Información Gramm-Leach-Bliley de la Universidad.
Información Médica Protegida Electrónica («EPHI»)
EPHI se define como cualquier Información de Salud Protegida («PHI») que se almacena o transmite por medios electrónicos. A los efectos de esta definición, los medios electrónicos incluyen::

  • Los medios de almacenamiento electrónico incluyen discos duros de computadora y cualquier medio de memoria digital extraíble y/o transportable, como cinta magnética o disco, disco óptico o tarjeta de memoria digital.
  • Medios de transmisión utilizados para intercambiar información ya en medios de almacenamiento electrónico. Los medios de transmisión incluyen, por ejemplo, Internet, una extranet (que utiliza la tecnología de Internet para vincular una empresa con información accesible únicamente a las partes colaboradoras), líneas arrendadas, líneas de acceso telefónico, redes privadas y el movimiento físico de medios de almacenamiento electrónicos extraíbles o transportables. Determinadas transmisiones, incluidas las de papel, por fax y de voz, por teléfono, no se consideran transmisiones por medios electrónicos porque la información que se intercambia no existía en forma electrónica antes de la transmisión.
Materiales Controlados para la Exportación

Los Materiales Controlados para la Exportación se definen como cualquier información o material que esté sujeto a las regulaciones de control de exportaciones de los Estados Unidos, incluidas, entre otras, las Regulaciones de Administración de Exportaciones (EAR, por sus siglas en inglés) publicadas por los Estados Unidos. Department of Commerce and the International Traffic in Arms Regulations (AR) publicado por el Departamento de Estado de los Estados Unidos. Consulte las Preguntas frecuentes sobre Control de Exportaciones de la Oficina de Integridad de la Investigación y Cumplimiento para obtener más información.
Información de Impuestos Federales («FTI»)
FTI se define como cualquier declaración, información de declaración o información de declaración de contribuyente que el Servicio de Impuestos Internos confíe a la Universidad. Consulte la Publicación 1075 del Servicio de Impuestos Internos, Anexo 2, para obtener más información.
Información de la Tarjeta de Pago

La información de la tarjeta de pago se define como un número de tarjeta de crédito (también conocido como número de cuenta principal o PAN) en combinación con uno o más de los siguientes elementos de datos:

  • Nombre del titular de la tarjeta
  • Código de servicio
  • Fecha de caducidad
  • Valor CVC2, CVV2 o CID
  • PIN o bloque PIN
  • Contenido de la banda magnética de una tarjeta de crédito

Pago La información de la tarjeta también se rige por la Política y las Directrices de PCI DSS de la Universidad (se requiere inicio de sesión).
Registros Educativos de Identificación Personal
Los Registros Educativos de Identificación Personal se definen como cualquier Registro Educativo que contenga uno o más de los siguientes identificadores personales:

  • Nombre del estudiante
  • Nombre de los padres u otros miembros de la familia del estudiante
  • Número de seguro social
  • Número de estudiante
  • Una lista de características personales que harían que la identidad del estudiante fuera fácilmente rastreable
  • Cualquier otra información o identificador que identidad del estudiante fácilmente rastreable

Consulte la Política de Carnegie Mellon sobre los Derechos de Privacidad del Estudiante para obtener más información sobre lo que constituye un Expediente Educativo.
Información de Identificación Personal
Con el fin de cumplir con los requisitos de notificación de violaciones de seguridad, la PII se define como el nombre de una persona o la primera inicial y el apellido en combinación con uno o más de los siguientes elementos de datos:

  • Número de seguro social
  • Número de licencia de conducir emitida por el Estado
  • Número de tarjeta de identificación emitida por el Estado
  • Número de cuenta financiera en combinación con un código de seguridad, código de acceso o contraseña que permitiría el acceso a la cuenta
  • Información médica y / o de seguro de salud
Información de Salud Protegida («PHI»)
La PHI se define como «información de salud identificable individualmente» transmitida por medios electrónicos, mantenida en medios electrónicos o transmitido o mantenido en cualquier otra forma o medio por un Componente Cubierto, como se define en la Póliza HIPAA de Carnegie Mellon. La PHI se considera identificable individualmente si contiene uno o más de los siguientes identificadores:

  • Nombre
  • Dirección (todas las subdivisiones geográficas más pequeñas que el estado, incluida la dirección, la ciudad, el condado, el distrito o el código postal)
  • Todos los elementos de fechas (excepto el año) relacionados con una persona, incluida la fecha de nacimiento, la fecha de admisión, la fecha de alta, la fecha de defunción y la edad exacta si es mayor de 89 años)
  • Números de teléfono
  • Números de fax
  • Direcciones de correo electrónico
  • Números de seguro social
  • Números de registros médicos
  • Números de beneficiarios de planes de salud
  • Números de cuenta
  • Certificado/licencia números
  • Identificadores de vehículos y números de serie, incluido el número de matrícula
  • Identificadores de dispositivos y números de serie
  • Localizadores de recursos universales (URLs)
  • Direcciones de protocolo de Internet (IP)
  • Identificadores biométricos, incluidas huellas dactilares y de voz
  • Imágenes fotográficas de rostro completo y cualquier imagen comparable
  • Cualquier otro número, característica o código de identificación único que pueda identificar a una persona

Según la Póliza HIPAA de Carnegie Mellon, la PHI no incluye registros educativos ni registros de tratamiento cubiertos por la Ley de Derechos Educativos y Privacidad de la Familia o los registros de empleo en poder de la Universidad en su papel de empleador.
Información Técnica Controlada («CTI»)
Información Técnica Controlada significa «información técnica con aplicaciones militares o espaciales que está sujeta a controles sobre el acceso, uso, reproducción, modificación, rendimiento, exhibición, publicación, divulgación o difusión» según DFARS 252.204-7012.
Para Uso Oficial («FOUO»)
Los documentos y datos etiquetados o marcados Solo para Uso Oficial son un pre-cursor de Información No Clasificada Controlada (CUI) según lo definido por los Archivos Nacionales (NARA)
Datos Personales de la Unión Europea (UE)

El Reglamento General de Protección de Datos (RGPD) de la UE define los datos personales como cualquier información que pueda identificar a una persona física, directa o indirectamente, por referencia a un identificador que incluye

  • Nombre
  • Un número de identificación
  • Datos de ubicación
  • Un identificador en línea
  • Uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física

Cualquier dato personal que se recopile de personas en países del Espacio Económico Europeo (EEE) está sujeto al RGPD. Para preguntas, envíe un correo electrónico a [email protected].

Historial de Revisiones

Versión Publicado Autor Descripción
0.1 07/02/2008 Doug Markiewicz Borrador original
0.2 09/25/2008 Doug Markiewicz Reemplazó la sección de Categorización por Colecciones de Datos y agregó secciones sobre Reclasificación y Cálculo de Clasificaciones.
0.3 10/20/2008 Doug Markiewicz Reescribió la sección sobre el Cálculo de clasificaciones debido a fallas en el sistema original. Propósito Actualizado, Se Aplica A y Definiciones.
0.4 11/04/2008 Doug Markiewicz Eliminó la ecuación, realizó una actualización menor de la definición de Datos Públicos e Información Adicional actualizada. Apéndice A ordenado de manera que los términos aparezcan en orden alfabético y agregado Información Financiera Cubierta como un término.
0.5 02/20/2009 Doug Markiewicz Agregó una viñeta faltante al último identificador listado en la Definición G del Apéndice A. La definición en sí no se modificó.
0.6 02/26/2009 Doug Markiewicz Varias actualizaciones basadas en la Retroalimentación. Los cambios principales incluyen agregar «Administrador de Datos» a las Definiciones, agregar referencias a las Responsabilidades de los Roles de Seguridad de la Información & y agregar Información de Impuestos Federales al Apéndice A.
0.7 03/18/2009 Doug Markiewicz Definición actualizada de PHI en el Apéndice A para hacer referencia a la Política de Seguridad de la Información de HIPAA. Añadido Verificador de Autenticación al Apéndice A.
0.8 09/17/2009 Doug Markiewicz Actualizado Aplicado a por coherencia con publicaciones relacionadas. Se eliminaron los Registros Educativos del Apéndice A por recomendación del Asesor Jurídico General. Registros Educativos de Identificación Personal Actualizados en el Apéndice A para hacer referencia a la Política sobre los Derechos de Privacidad de los Estudiantes.
0.9 01/22/2010 Doug Markiewicz Actualizó el Apéndice A para incluir Materiales Controlados para la Exportación.
1.0 09/15/2011 Doug Markiewicz definición Actualizada de la Información de Salud Protegida para alinearse con la nueva Política HIPAA. Se ha eliminado la designación de BORRADOR.
1.1 04/07/2015 Laura Raderman

Actualizada el Apéndice a se incluyen Controlada de Información Técnica.
1.2 03/20/2018 Laura Raderman

Actualizó el apéndice A para incluir FOUO y CUI.
1.3 05/23/2018 Mary Ann Blair

Actualizada el Apéndice a se incluyen los Datos Personales de la Unión Europea

Estado: Publicado
Publicado: 07/02/2008
La Última Revisión: 05/23/2018
Última Actualización: 05/23/2018

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Previous post Cómo Viven Los Amish Sin Seguro Pero Se Mantienen Sanos
Next post El otro Karmann Ghia de Volkswagen: el Tipo 34