Traffic Light Procol (TLP), o protocolo de luces de semáforo, es un esquema para favorecer el intercambio de información sensible de forma óptica en el ámbito de la seguridad de la información. Ahora, después de cinco años funcionando de forma óptima, se ha publicado la versión 2.0 que incorpora nuevas mejoras.
El protocolo de luces de semáforo, TLP, fue creado por el Centro de Coordinación de Seguridad de la Infraestructura Nacional del gobierno de Reino Unido. Gracias a él, se buscaba fomentar un mayor intercambio de la información confidencial, pero no clasificada.
El distintivo permite al autor de una información indicar hasta dónde puede circular más allá del receptor inmediato, por lo que establece que, se deba consultar al autor original a la hora de distribuir la información a terceros.
Para ello se utilizan cuatro colores que indican los límites de compartición de esa información. De esta forma, cuando se quiera compartir información más allá de lo que indica la designación TLP, se necesita un permiso explícito de la fuente original.
Además de España, el TLP lo utilizan organizaciones públicas y privadas de otros países como Alemania, Australia, Canadá, Estados Unidos, Finlandia, Francia, Hungría, Italia, Japón, Noruega, Nueva Zelanda, Países Bajos, Reino Unido, Suecia y Suiza.
Uso de los cuatro colores en TLP
- TLP: RED. El color rojo se utiliza cuando la información está limitada a personas concretas ya que, su mal uso, podría tener impacto en su privacidad, reputación y operaciones.
- TLP: AMBER. El color amarillo o ámbar se utiliza cuando la información puede distribuirse de forma limitada, aunque supone un riesgo para la privacidad, reputación u operaciones si se comparte fuera de la organización. Los receptores solo pueden compartirla con otros miembros de la propia empresa, o clientes y partners que deban conocerla para evitar daños.
- TLP: GREEN. El TLP verde indica que se trata de información útil para todas las organizaciones que participan, así como con organizaciones afiliadas o miembros del mismo sector. La condición es que nunca se comparta a través de canales públicos.
- TLP: WHITE. Este color se utiliza cuando compartir esta información no conlleva ningún riesgo y se puede difundir sin restricciones siempre respetando el copyright.
En sistemas como el correo electrónico o los chats, la etiqueta TLP debe estar en la línea del asunto del correo y, en caso necesario, también al final del texto al que se aplica la etiqueta.
En los documentos con información etiquetada con TLP debe situarse en el encabezado y pie de cada página del documento. Además, la etiqueta debe tener como mínimo un tamaño de fuente 12 y se recomienda justificarlas a la derecha.
Novedades de la versión 2.0
A partir de este mes de agosto entra en vigor la versión 2.0 del TLP publicado por el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST, de su denominación en inglés).
Desde este foro reivindican la importancia de contar con un esquema como TLP ya que es «simple e intuitivo para indicar con quién se puede compartir información potencialmente confidencial». Asimismo, destacan que son etiquetas que no están creadas para que tengan efecto alguno sobre la libertad de información en ninguna jurisdicción.
Con el estándar actualizado, FIRST mantiene la regla de que la fuente de información debe comunicar la etiqueta TLP por escrito o verbalmente, según la designación. Además, también se requieren fuentes de información para garantizar que los destinatarios de la información etiquetada con TLP entiendan y cumplan con la guía para compartirla.
En comparación con TLP 1.0, la versión 2.0 reemplaza la etiqueta TLP:WHITE por TLP:CLEAR, y añade la etiqueta TLP:AMBER+STRICT que restringe el uso compartido solo a la organización.
Junto a estos cambios, la nueva versión también ha eliminado sinónimos y coloquialismos para mejorar la accesibilidad para hablantes de inglés no nativos y la facilitar la traducción.
Según FIRST, las etiquetas TLP codificadas por colores deben aplicarse en función de la audiencia que debe tener acceso a la información confidencial compartida:
Como apunta el copresidente de FIRST TLP-SIG, Don Stikvoort, «necesitamos sistemas que sean fáciles de usar, simples de entender y lo suficientemente sencillos como para que la traducción no afecte el significado para garantizar que compartamos información confidencial con la audiencia adecuada». Unos objetivos con los que espera cumplir TLP 2.0.
