Explorar la clasificación de datos

  • 8 minutos

Los datos confidenciales presentan un riesgo significativo para una empresa si alguna vez los roban, se comparten inadvertidamente o quedan expuestos a través de una vulneración. Entre los factores de riesgo figuran los daños en la reputación, los efectos financieros y la pérdida de ventajas competitivas. Proteger los datos y la información que administra una empresa es una prioridad absoluta para todas las organizaciones. Sin embargo, a algunos les puede resultar difícil saber si sus esfuerzos son realmente eficaces, dada la cantidad de contenido que mantienen.

Además del volumen, el contenido de una organización puede variar en importancia, desde altamente confidencial e impactante a trivial y transitorio. También puede estar bajo el ámbito de varios requisitos de cumplimiento normativo. Saber qué priorizar y dónde aplicar controles puede ser un desafío.

Las organizaciones abordan estos problemas mediante la implementación de la clasificación de datos. La clasificación de datos es un término especializado que se usa en los campos de ciberseguridad y administración del ciclo de vida de los datos. Describe el proceso de identificación, categorización y protección del contenido según su nivel de confidencialidad o impacto. En su forma más básica, la clasificación de datos es un medio para proteger los datos de una organización frente a la divulgación, modificación o destrucción no autorizadas en función de su confidencialidad o impacto.

Las organizaciones clasifican los datos de muchas maneras, entre las que se incluyen:

  • Etiquetas de confidencialidad
  • Etiquetas de retención
  • Tipos de información confidencial
  • Clasificadores que se pueden entrenar

¿Qué es un marco de clasificación de datos?

Las organizaciones suelen codificar un marco de clasificación de datos (a veces denominado "directiva de clasificación de datos") en una directiva formal para toda la empresa. Los marcos de clasificación de datos suelen constar de tres a cinco niveles de clasificación. Estos niveles suelen incluir tres elementos: un nombre, una descripción y ejemplos reales.

Microsoft recomienda no más de cinco etiquetas principales de nivel superior, cada una con un máximo de cinco subetiquetas (25 en total) para mantener la interfaz de usuario (UI) manejable. La interfaz de usuario suele ordenar los niveles de menor a mayor grado de confidencialidad, por ejemplo:

  • Public
  • Interno
  • Confidencial
  • Extremadamente confidencial

Otras variaciones de nombre de nivel que puede encontrar son:

  • Restricted
  • Sin restricciones
  • Protegido por el consumidor

Microsoft recomienda nombres de etiqueta autodescriptibles. También deben resaltar claramente su nivel de confidencialidad relativa. Por ejemplo, Confidencial y Restringido pueden hacer que los usuarios se pregunten qué etiqueta es la adecuada. En comparación, Confidencial y Extremadamente confidencial son más claros en cuanto a qué es más confidencial.

En la tabla siguiente se muestra un ejemplo de un nivel de marco de clasificación de datos Extremadamente confidencial:

Nivel de clasificación Descripción Ejemplos
Extremadamente confidencial Los datos altamente confidenciales son el tipo más confidencial de datos almacenados o administrados por la empresa y pueden requerir notificaciones legales en caso de violación o divulgación.

Los datos restringidos requieren el máximo nivel de control y seguridad. Las organizaciones deben limitar su acceso en función de las necesidades.		 - Información personal del usuario
- Datos del titular de la tarjeta
- Información de salud protegida (PHI)
- Datos de la cuenta bancaria

Sugerencia

El marco de clasificación de datos corporativos de Microsoft utilizaba originalmente una categoría y una etiqueta denominadas "Interno". Sin embargo, durante la fase piloto, descubrió que había razones legítimas para compartir algunos documentos externamente. Por ello, pasó a usar la etiqueta "General" en lugar de "Interno".

Otro componente importante de un marco de clasificación de datos son los controles asociados a cada nivel. Los niveles de clasificación de datos por sí solos son simplemente etiquetas que indican el valor o la confidencialidad del contenido. Para proteger ese contenido, los marcos de clasificación de datos definen los controles que deben aplicarse para cada nivel de clasificación de datos. Estos controles pueden incluir requisitos relacionados con:

  • Ubicación y tipo de almacenamiento
  • Cifrado
  • Control de acceso
  • Destrucción de datos
  • Prevención de pérdida de datos
  • Divulgación pública
  • Registro y seguimiento del acceso
  • Otros objetivos de control, según sea necesario

Los controles de seguridad de una organización varían según el nivel de clasificación de datos. Por ejemplo:

  • Las medidas de protección definidas en el marco de una organización pueden aumentar en función de la confidencialidad de su contenido.
  • Los requisitos de control de almacenamiento de datos pueden variar en función de los medios usados y del nivel de clasificación aplicado a un determinado fragmento de contenido.

En la tabla siguiente se muestra un ejemplo de controles de clasificación de datos para un tipo de almacenamiento específico.

Tipo de almacenamiento Confidencial Interna Sin restricciones
Medios de almacenamiento extraíbles Prohibido Prohibido a menos que esté cifrado No se requiere ningún control

Aplicar correctamente el nivel correcto de clasificación de datos puede ser complejo en situaciones reales. Por lo tanto, a veces puede sobrecargar a los usuarios finales. El proceso no finaliza una vez que una organización crea una directiva o estándar que define los niveles necesarios de clasificación de datos. Es importante orientar a los usuarios finales sobre cómo aplicar este marco en su trabajo diario. En esta área es donde entran en juego las reglas o directrices de control de la clasificación de datos.

Las directrices de control de clasificación de datos ayudan a los usuarios finales con orientación específica sobre cómo controlar cada nivel de datos de forma adecuada para distintos medios de almacenamiento a lo largo de su ciclo de vida. Estas directrices también ayudan a los usuarios finales a aplicar correctamente las reglas en la práctica. Por ejemplo, al compartir documentos, enviar correos electrónicos o colaborar en distintas plataformas y organizaciones.

Los clientes de Microsoft indican que aproximadamente el 50 % de un proyecto de Information Protection está centrado en el negocio en lugar de en el ámbito técnico. Por lo tanto, el aprendizaje y la comunicación del usuario final son fundamentales para el éxito.

Crear un marco de clasificación de datos bien diseñado

A medida que las organizaciones desarrollan, renuevan o perfeccionan sus marcos de clasificación de datos, deben tener en cuenta las siguientes mejores prácticas:

  • No espere pasar de 0 a 100 el día 1. Microsoft recomienda un enfoque paso a paso. Las características críticas para la organización deben priorizarse y asignarse en función de una línea de tiempo. Complete el primer paso, asegúrese de que se ha realizado correctamente y, a continuación, pase a la siguiente fase, aplicando las lecciones aprendidas. Tenga en cuenta que el diseño del marco de clasificación de datos no elimina la exposición de su organización al riesgo. Por lo tanto, está bien empezar con unos pocos niveles de clasificación y ampliarlos más adelante según sea necesario.

  • No solo escribe para profesionales de la ciberseguridad. Los marcos de clasificación de datos están diseñados para un público amplio. Puede incluir al personal medio, a los equipos jurídico y de cumplimiento y al equipo de TI. Es importante escribir definiciones claras y fáciles de entender para los niveles de clasificación de datos. Proporcione ejemplos reales siempre que sea posible. Intente evitar la jerga y considere la posibilidad de elaborar un glosario de acrónimos y términos muy técnicos.

  • Implementar los marcos de clasificación de datos. No basta con que las organizaciones solo diseñen marcos de clasificación de datos. Para tener éxito, las organizaciones también deben implementarlos. Es especialmente relevante a la hora de elaborar los requisitos de control para cada nivel de clasificación de datos. Asegúrese de definir claramente los requisitos. También debe prever y abordar cualquier ambigüedad que pueda surgir durante la implementación. Por ejemplo, si tiene un control en torno a la información personal del cliente, asegúrese de detallar exactamente qué significa ese control, como el número de la Seguridad Social o del pasaporte.

  • Pasar a la granularidad solo si es necesario. Los marcos de clasificación de datos suelen contener entre 3 y 5 niveles de clasificación de datos. Pero que pueda incluir cinco niveles no significa que deba hacerlo. Tenga en cuenta los siguientes criterios al decidir el número de niveles de clasificación que necesita:

    • Su sector y sus obligaciones normativas asociadas (los sectores altamente regulados tienden a necesitar más niveles de clasificación).
    • La sobrecarga operativa necesaria para mantener un marco más complejo.
    • Los usuarios y su capacidad para cumplir con el aumento de la complejidad y los matices asociados a más niveles de clasificación.
    • Experiencia del usuario y accesibilidad al intentar aplicar la clasificación manual en varios tipos de dispositivos.

  • Consiga que las personas adecuadas se impliquen. Tener una parte interesada sénior es fundamental para el éxito. A muchos proyectos les cuesta arrancar o tardan más en completarse sin el apoyo de la dirección. Normalmente, los equipos de tecnologías de la información poseen marcos de clasificación de datos. Sin embargo, pueden tener implicaciones legales, de cumplimiento, de privacidad y de administración del cambio. Una organización debe asegurarse de que el marco que crea ayuda a proteger su negocio. Para ello, debe incluir en el desarrollo de su directiva a las partes interesadas del ámbito jurídico y de la privacidad. Por ejemplo, el responsable de privacidad de la empresa y la oficina del director del Departamento de Asuntos Legales. Si su organización cuenta con un Departamento de Cumplimiento, profesionales de la administración del ciclo de vida de los datos o un equipo de administración de registros, también pueden aportar información valiosa. A medida que implemente su marco en la empresa, el Departamento de Comunicación también tiene un papel clave que desempeñar en la difusión y adopción internas.

  • Equilibrar seguridad y comodidad. Un error común es crear un marco de clasificación de datos seguro pero demasiado restrictivo. Aunque las organizaciones definen este tipo de marcos pensando en la seguridad, a menudo tienen dificultades a la hora de implementarlos. Si los usuarios deben seguir procedimientos complejos, rígidos y lentos para aplicar el marco en su vida cotidiana, siempre existe el riesgo de que dejen de creer en su valor. Cuando se produce esta escenario, los usuarios suelen dejar de seguir los procedimientos. Este riesgo existe en todos los niveles de la organización, incluidos los directivos de nivel ejecutivo (C-suite) dentro de la organización. Un buen equilibrio entre seguridad y comodidad junto con herramientas fáciles de usar suele conducir a una mayor adopción y uso por parte de los usuarios. Si hay lagunas en su marco, no espere a que todo esté perfecto para empezar a implementarlo. En su lugar, evalúe el riesgo o la laguna, cree un plan para mitigarlo y siga avanzando. Recuerde que la protección de la información es un recorrido. No es algo que solo se active de la noche a la mañana. Planificar, implementar algunas capacidades, confirmar el éxito y repetir hasta el siguiente hito a medida que las herramientas evolucionan y los usuarios adquieren madurez y experiencia.

Además, tenga en cuenta que un marco de clasificación de datos solo aborda lo que su organización debe hacer para proteger los datos confidenciales. Los marcos de clasificación de datos suelen incluir reglas o directrices de control de datos que definen cómo aplicar estas directivas desde una perspectiva técnica y tecnológica.

Puntos problemáticos en la creación de un marco de clasificación de datos

Los esfuerzos de clasificación de datos son, por naturaleza, de gran alcance. Toca casi todas las funciones empresariales dentro de una empresa. Debido a este amplio ámbito y a la complejidad de la administración de contenidos en los entornos digitales modernos, las empresas se enfrentan a menudo a desafíos a la hora de saber:

  • Por dónde empezar.
  • Cómo administrar una implementación con éxito.
  • Cómo medir su progreso.

Las organizaciones se encuentran a menudo con puntos problemáticos comunes al:

  • Diseñar un marco de clasificación de datos sólido y fácil de entender. Al hacerlo, las organizaciones deben determinar los niveles de clasificación y los controles de seguridad asociados.
  • Desarrollar un plan de implementación. Debe confirmar la solución tecnológica adecuada, alinear el plan con los procesos empresariales existentes e identificar su efecto en los recursos.
  • Configurar un marco de clasificación de datos dentro de la solución tecnológica elegida.
  • Solucionar las lagunas entre las capacidades tecnológicas de la herramienta y el propio marco.
  • Establecer una estructura de gobernanza. Esta estructura debe supervisar el mantenimiento continuo y el buen estado de los esfuerzos de clasificación de datos.
  • Identificar los indicadores clave de rendimiento (KPI) específicos para supervisar y medir el progreso.
  • Aumentar la concienciación y la comprensión de las directivas de clasificación de datos, por qué son importantes y cómo cumplirlas.
  • Cumplir con las revisiones de auditoría internas que tienen como objetivo la pérdida de datos y los controles de ciberseguridad.
  • Entrenar e interactuar con los usuarios. Los usuarios deben tener en cuenta la necesidad de una clasificación correcta en su trabajo diario. También deben aprender cuándo aplicar las medidas de clasificación adecuadas.

Gobernanza y mantenimiento

Después de que una organización desarrolle e implemente su marco de clasificación de datos, la gobernanza y el mantenimiento continuos son fundamentales para su éxito. Además de realizar un seguimiento de sus usuarios empleando etiquetas de sensibilidad en la práctica, las organizaciones deben actualizar sus requisitos de control en función de los cambios en la normativa, las prácticas líderes en ciberseguridad y la naturaleza del contenido que administran.

Los esfuerzos de gobernanza y mantenimiento pueden incluir:

  • Establecer un órgano de gobierno dedicado a la clasificación de datos o añadir una responsabilidad de clasificación de datos a los estatutos de un organismo de seguridad de la información ya existente.
  • Definir roles y responsabilidades de los usuarios que supervisan la clasificación de datos.
  • Establecer KPI para supervisar y medir el progreso.
  • Realizar un seguimiento de las principales prácticas de ciberseguridad y de los cambios normativos.
  • Desarrollar procedimientos operativos estándar. Estos procedimientos deben admitir y aplicar un marco de clasificación de datos.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.

Compruebe sus conocimientos

1.

Adatum Corporation está desarrollando un marco de clasificación de datos. ¿Cuál de las siguientes acciones es un procedimiento recomendado que deben tener en cuenta al desarrollar este marco?