¿Qué son los Niveles de Impacto?

Los niveles de impacto se utilizan dentro de ciertos marcos de seguridad, como los proporcionados por el Departamento de Defensa de los Estados Unidos (DoD), para categorizar el potencial impacto de la divulgación, alteración o destrucción no autorizada de información. Estos niveles ayudan a guiar la selección de controles y medidas de seguridad que deben implementarse para proteger la información y los sistemas de información según su sensibilidad e importancia.

En el contexto de la computación en la nube, por ejemplo, el DoD clasifica los servicios en la nube en categorías de Nivel de Impacto (IL), que van desde IL2 a IL6, que definen el tipo de datos que pueden ser procesados, almacenados y utilizados en un servicio en la nube, así como las protecciones de seguridad necesarias.

Aquí hay un esquema general de lo que podrían representar diferentes niveles de impacto:

  • Nivel de Impacto 2 (IL2): Para información no controlada no clasificada que no sea sensible. Adecuado para datos públicos o no sensibles.
  • Nivel de Impacto 4 (IL4): Para información no clasificada controlada (CUI) que requiere protección contra divulgación no autorizada.
  • Nivel de Impacto 5 (IL5): Para CUI que requiere un nivel más alto de protección y también puede ser utilizado para Sistemas de Seguridad Nacional.
  • Nivel de Impacto 6 (IL6): Para información clasificada hasta el nivel de Secreto.

Cada nivel superior normalmente incluye los requisitos de los niveles inferiores y agrega controles o medidas adicionales. Estos niveles de impacto influyen no solo en las soluciones tecnológicas, sino también en las políticas, procedimientos y capacitación del personal que deben estar en su lugar para la acreditación de un sistema de información.