En la era de la hiperconectividad, la información es el activo más valioso y, a la vez, el más vulnerable del Estado. Si bien contar con un firewall es necesario, el verdadero corazón de la Seguridad de la Información, reside en que el Servidor Público comprenda qué tipo de datos maneja. La concienciación es el control más efectivo, un Servidor Público educado sabe que no debe enviar un archivo reservado por mensajería instantánea ni dejar documentos sensibles sobre su escritorio.
En un Estado moderno, la información fluye entre instituciones. La clasificación uniforme bajo estándares como el Esquema Gubernamental de Seguridad de la Información (EGSIv3) permite que, cuando una entidad comparte información con otra, los niveles de protección se mantengan. La interoperabilidad segura solo es posible si todos los actores del ecosistema público hablan el mismo idioma en cuanto a etiquetas de seguridad y protocolos de tratamiento, pero además permite que el Servidor Público no sea el causante de una brecha de seguridad o incumplimiento normativo.
Tipos de información y el porqué de su clasificación.-
La Información es el conjunto de datos procesados y estructurados que constituyen un activo intangible con valor operativo, estratégico o legal para una organización o Institución. Su importancia radica en que es el motor de la toma de decisiones y la continuidad del servicio; por ello, protegerla mediante la gestión de riesgos que busca mitigar el impacto de violaciones es de suma importancia.
Información Confidencial se aplica a información que está protegida por derechos de propiedad intelectual como secretos industriales, know how, patentes, y también como principio propio del derecho a la Protección de Datos Personales y de la Intimidad, cuya divulgación puede vulnerar derechos de terceros y conllevar responsabilidades legales. El tratamiento de estos datos exige un rigor ético superior, ya que su filtración no solo conlleva sanciones legales para la Institución que los trata, sino un daño moral y patrimonial irreparable para el ciudadano, quien confía sus datos al Estado bajo el principio de buena fe.
En el manejo de datos confidenciales, un Servidor Público debe aplicar estrictamente el principio de “mínimo privilegio”. Esto significa que el acceso a la información privada de terceros debe estar limitado exclusivamente a quienes lo requieran para cumplir con sus funciones legales. La curiosidad o la negligencia interna son, estadísticamente, las mayores causas de brechas de confidencialidad en el sector público.
Se debe evitar comprometer la confidencialidad (evitando accesos no autorizados), la integridad (previniendo alteraciones maliciosas o accidentales) y su disponibilidad (asegurando el acceso cuando se requiera), preservando así la confianza institucional, la resiliencia ante ciberataques y el cumplimiento normativo frente a terceros.
Información Reservada es una categoría específica de clasificación que restringe el acceso a ciertos datos por razones interés público o de seguridad nacional. Es aquel contenido como, por ejemplo documentos, bases de datos, planes estratégicos sobre inteligencia militar, estrategias de ciberdefensa o investigaciones judiciales en curso que ha sido clasificado de forma motivada por una Autoridad Competente porque su difusión pública podría comprometer la Seguridad del Estado, la Defensa Nacional, el éxito de operaciones oficiales, provocar una crisis nacional, poner en riesgo la estabilidad del país o incluso la vida de sus agentes.
Un aspecto técnico crucial que todo Servidor Público debe entender es que la Reserva de la Información no es eterna ni arbitraria. La Ley Orgánica de Acceso y Transparencia a la Información Pública exige que la reserva sea declarada mediante un acto administrativo motivado y tenga un plazo de caducidad. Saber cuándo un documento deja de ser reservado para convertirse en público es vital para no incurrir en el ocultamiento ilegal de información.
En el marco de la ciberseguridad gubernamental, la Información Pública, se define como toda información que emane o esté en poder de las instituciones del Estado (o de entidades privadas que manejen fondos públicos) y que no tenga una clasificación de reserva o confidencialidad explícita. Se centra en garantizar la disponibilidad e integridad mediante protocolos de datos abiertos para el ejercicio de derechos ciudadanos como la fiscalización de las actuaciones estatales, la transparencia y la rendición de cuentas.
Para que la información sea considerada pública desde el punto de vista de la gestión de datos, debe ser Accesible (Que cualquier persona pueda consultarla sin necesidad de justificar para qué la quiere), Oportuna (Debe estar actualizada), y Reutilizable (Preferiblemente en formatos abiertos como Excel, CSV, JSON; para que la sociedad civil pueda analizarla).
El acto de clasificar una garantía de ciberseguridad.-
Clasificar la información es el primer paso en cualquier análisis de riesgos serio. No se pueden aplicar los mismos controles de Seguridad de la Información a un listado de proveedores que a los planos de una central hidroeléctrica. Al categorizar los activos de información y asociados, la Institución optimiza sus recursos, aplicando medidas de cifrado y vigilancia donde realmente se necesitan, evitando el gasto innecesario en datos que, por su naturaleza, deben ser abiertos.
A menudo se comete el error de pensar que, como la información es pública, no requiere seguridad. Desde la perspectiva de la integridad, es indispensable el registro de actos o contratos en sistemas públicos que generen confianza y seguridad jurídica. Asimismo, los datos abiertos para su integridad requieren firmas electrónicas y logs de auditoría que aseguren la trazabilidad y veracidad de la información oficial del Estado.
Para un Servidor Público, comprender la distinción y el tratamiento de la información no es solo un deber administrativo, sino un ejercicio de responsabilidad ética y legal que sostiene la integridad del Estado. El desconocimiento en esta materia puede derivar en graves consecuencias, desde la vulneración de derechos fundamentales por la filtración de datos confidenciales, hasta el compromiso de la seguridad nacional por el manejo negligente de información reservada, sin olvidar que restringir injustificadamente el acceso a información pública socava la transparencia y la confianza ciudadana.
En última instancia, un Servidor Público consciente de estas diferencias actúa como la primera línea de defensa en la gestión de riesgos, asegurando que los activos de información y asociados sean protegidos según su naturaleza y garantizando que la Institución cumpla con los estándares de seguridad exigidos por marcos como el EGSIv3.
Para que la clasificación sea efectiva, debe estar respaldada por tecnología. La implementación de sistemas de Gestión de Identidades y Accesos (IAM), el uso de redes aisladas para información sensible y el cifrado de grado militar son controles que por ejemplo el Esquema Gubernamental de Seguridad de la Información (EGSIv3 basado en ISO/IEC 27001) sugiere para garantizar que cada tipo de información reciba el tratamiento técnico proporcional a su criticidad.
En conclusión, la correcta clasificación de la información es el eje sobre el cual gira la ciberseguridad gubernamental moderna. No se trata simplemente de colocar etiquetas a los archivos, sino de comprender el impacto que cada dato tiene en la sociedad. Al dominar el tratamiento de la información pública, confidencial y reservada, el Servidor Público no solo cumple con la normativa técnica y legal vigente en el Ecuador, sino que se erige como un guardián de la democracia, asegurando que el Estado sea transparente donde debe serlo y hermético donde la seguridad de todos así lo exija.