La clasificación de datos es un componente vital de cualquier programa de cumplimiento y seguridad de la información, especialmente si su organización almacena grandes volúmenes de datos. Proporciona una base sólida para su estrategia de seguridad de datos al ayudarlo a comprender dónde almacena datos confidenciales y regulados, tanto en las instalaciones como en la nube. Además, la clasificación de datos mejora la productividad del usuario y la toma de decisiones, y reduce los costos de almacenamiento y mantenimiento al permitirle eliminar datos innecesarios.
En este artículo aprenderá qué beneficios ofrece la clasificación de datos, cómo implementarla y cómo elegir la solución de software adecuada.
- Términos y Definiciones de Clasificación de Datos clave
- Propósito de la Clasificación de Datos
- Beneficios de la Clasificación de Datos
- Tipos de Clasificación de Datos
- Ejemplos de Categorías de Clasificación de Datos
- Proceso de Clasificación de Datos
- Cómo Seleccionar una Solución de Clasificación de Datos
- FAQ
- Términos y definiciones de clasificación de datos clave
- Finalidad de la Clasificación de datos
- Beneficios de la clasificación de datos
- Seguridad de datos
- Cumplimiento normativo
- Tipos de Clasificación de datos
- Ejemplos de Categorías de Clasificación de Datos
- Ejemplo de un Esquema de Clasificación Básico
- Ejemplo de Esquema de Clasificación Gubernamental
- Ejemplo de Clasificación comercial
- Proceso de clasificación de datos
- Efectivo Clasificación de la información en cinco pasos
- Creación de una Política de Clasificación de datos eficaz
- Cómo Seleccionar una Solución de Clasificación de datos
- FAQ
Términos y definiciones de clasificación de datos clave
La clasificación de datos es el proceso de organizar datos estructurados y no estructurados en categorías definidas que representan diferentes tipos de datos. Las clasificaciones estándar utilizadas en la categorización de datos incluyen:
- Público
- Confidencial
- Sensible
- Personal
Los datos sensibles son un término general que representa datos restringidos al uso por personas o grupos específicos. Los datos sensibles y confidenciales a menudo se utilizan indistintamente. Entre los ejemplos de datos sensibles figuran la propiedad intelectual y los secretos comerciales.
La reclasificación de datos es la reclasificación de datos para aplicar actualizaciones adecuadas, por ejemplo, en función de cambios en las obligaciones legales o contractuales, el uso o el valor de los datos, o los mandatos reglamentarios nuevos o revisados.
El etiquetado o etiquetado de datos agrega metadatos a los archivos que indican los resultados de la clasificación.
Finalidad de la Clasificación de datos
La clasificación de datos le ayuda a comprender qué tipos de datos almacena y dónde se encuentran. Esta inteligencia:
- Informa de los procesos de gestión de riesgos, descubrimiento legal y cumplimiento normativo
- Ayuda a priorizar las medidas de seguridad
- Mejora la productividad del usuario y la toma de decisiones al optimizar la búsqueda y el descubrimiento electrónico
- Reduce los costos de mantenimiento y almacenamiento de datos al identificar datos duplicados y obsoletos
- Ayuda a los equipos de TI a justificar las solicitudes de inversión en seguridad de datos.
Beneficios de la clasificación de datos
En términos más generales, la clasificación de datos ayuda a las organizaciones a mejorar la seguridad de los datos y garantizar el cumplimiento normativo.
Seguridad de datos
La clasificación es una forma eficaz de proteger sus valiosos datos. Al identificar los tipos de datos que almacena y localizar dónde residen los datos confidenciales, está bien posicionado para::
- Priorice sus medidas de seguridad, ajustando sus controles de seguridad en función de la sensibilidad de los datos
- Comprenda quién puede acceder, modificar o eliminar datos
- Evalúe los riesgos, como el impacto empresarial de una violación, ataque de ransomware u otra amenaza
Cumplimiento normativo
Las regulaciones de cumplimiento requieren que las organizaciones protejan datos específicos, como la información de los titulares de tarjetas (PCI DSS) o los datos personales de los residentes de la UE (RGPD). La clasificación de datos le permite identificar al sujeto de datos a las regulaciones particulares para que pueda aplicar los controles necesarios y aprobar auditorías.
Así es como la clasificación de datos puede ayudarlo a cumplir con los estándares de cumplimiento comunes:
- GDPR-Clasificación de datos le ayuda a defender los derechos de los interesados, incluida la satisfacción de la solicitud de acceso de los interesados al recuperar el conjunto de documentos con datos sobre una persona determinada.
- HIPAA: Saber dónde se almacenan todos los registros de salud le ayuda a implementar controles de seguridad para una protección de datos adecuada.
- ISO 27001: Clasificar la información de acuerdo con el valor y la sensibilidad le ayuda a cumplir con los requisitos para evitar la divulgación o modificación no autorizadas.
- NIST SP 800-53-La categorización de datos ayuda a las agencias federales a diseñar y administrar adecuadamente sus sistemas de TI.
- La clasificación de datos PCI DSS le permite identificar y proteger la información financiera del consumidor utilizada en la tarjeta de pago
Tipos de Clasificación de datos
- La clasificación basada en el contenido inspecciona e interpreta los archivos para identificar información sensible.
- La clasificación basada en contexto considera la aplicación, la ubicación, las etiquetas de creador y otras variables como indicadores indirectos de información sensible.
- La clasificación basada en el usuario depende de la selección manual de cada documento por una persona.
Ejemplos de Categorías de Clasificación de Datos
Ejemplo de un Esquema de Clasificación Básico
El esquema más simple es la clasificación de tres niveles:
- Datos públicos: Datos que pueden divulgarse libremente al público. Los ejemplos incluyen la información de contacto de su empresa y la política de cookies del navegador.
- Datos internos: Datos que tienen requisitos de seguridad bajos, pero no están destinados a divulgación pública, como la investigación de marketing.
- Datos restringidos: datos internos altamente sensibles. La divulgación de información podría afectar negativamente a las operaciones y poner a la organización en peligro financiero o jurídico. Los datos restringidos requieren el más alto nivel de protección de seguridad.
Ejemplo de Esquema de Clasificación Gubernamental
Las agencias gubernamentales a menudo usan tres niveles de sensibilidad, pero les dan etiquetas diferentes a las enumeradas anteriormente: alto secreto, secreto y público. Para estructuras de datos más complejas, se pueden agregar más niveles. Aquí hay una estrategia de cinco niveles con ejemplos:
- Alto secreto — Inteligencia criptológica y de comunicaciones
- Planes militares selectos secretos
- Confidencial — Datos que indican la fuerza de las fuerzas terrestres
- No clasificados — Datos sensibles etiquetados como «Solo para uso oficial»
- No clasificados — Datos que pueden divulgarse públicamente con autorización
Ejemplo de Clasificación comercial
Normalmente, las organizaciones que almacenan y procesan datos comerciales utilizan cuatro niveles para clasificar los datos: tres niveles confidenciales y un nivel público. Algunos ampliar a un sistema de cinco niveles con los siguientes niveles:
- Sensible — Propiedad intelectual, PHI
- Confidencial — Contratos de proveedores, reseñas de empleados
- Privado — Nombres o imágenes de clientes
- Procesos de organización propietarios
- Público — Información que puede divulgarse a cualquier persona
Proceso de clasificación de datos
Efectivo Clasificación de la información en cinco pasos
- Establezca una política de clasificación de datos, que incluya objetivos, flujos de trabajo, esquema de clasificación de datos, propietarios y manejo de datos
- Identifique los datos confidenciales que almacena.
- Aplicar etiquetas etiquetando datos.
- Utilice los resultados para mejorar la seguridad y el cumplimiento.
- Los datos son dinámicos y la clasificación es un proceso continuo.
Creación de una Política de Clasificación de datos eficaz
Una política de clasificación de datos es un documento que incluye un marco de clasificación, una lista de responsabilidades para identificar datos confidenciales y descripciones de los diversos niveles de clasificación de datos.
Una buena política de clasificación:
- Utiliza criterios que son sencillos y evitan ambigüedades, pero que son lo suficientemente genéricos para aplicarse a diferentes conjuntos de datos y circunstancias
- Es claro y está escrito en un lenguaje simple
- Se adapta al negocio de la organización
- Se limita a 3 o 4 niveles de clasificación
- Contiene un punto de contacto para aclaraciones
- Establece un calendario de revisión
Cómo Seleccionar una Solución de Clasificación de datos
Busque estas características:
- Búsqueda de términos compuestos: Mejora la precisión al minimizar los falsos positivos y los falsos negativos.Índice
- : le permite identificar términos confidenciales sin volver a rastrear los datos.
- Administrador de taxonomía flexible: Facilita la adición y modificación de términos y reglas.Flujos de trabajo
- : Realiza automáticamente acciones específicas cuando un documento se clasifica de una determinada manera. Por ejemplo, un flujo de trabajo puede mover datos confidenciales de un recurso compartido público.
- Amplitud de cobertura: admite fuentes de datos en la nube y locales, incluidos datos estructurados y no estructurados.
FAQ
¿Cuál es el propósito de la clasificación de datos?
Clasificación de datos clasifica los datos en categorías en función de su valor y sensibilidad.
¿Por qué es importante la clasificación de los datos? ¿Qué beneficios ofrece?
La clasificación de datos le ayuda a priorizar sus esfuerzos de protección de datos para mejorar la seguridad de los datos y el cumplimiento normativo. También mejora la productividad del usuario y la toma de decisiones, y reduce los costos al permitirle eliminar datos innecesarios.
¿Cuáles son los niveles comunes de clasificación de datos?
Los datos a menudo se clasifican como públicos, confidenciales, sensibles o personales.
¿Cuáles son los tipos de clasificación de datos? La clasificación
puede estar basada en contenido, en contexto o en el usuario (manual).
¿Qué software debo usar para la clasificación de datos?
Busque un software de clasificación de datos, como el ofrecido por Netwrix, que:
- Utiliza la búsqueda de palabras compuestas para garantizar una clasificación precisa que minimiza los falsos positivos
- Tiene un índice para que pueda encontrar términos confidenciales sin volver a rastrear sus almacenes de datos
- Incluye un administrador de taxonomía flexible que le permite personalizar sus parámetros de clasificación
- Proporciona flujos de trabajo para automatizar procesos como la migración de datos confidenciales de recursos compartidos públicos
- Admite contenido local y en la nube fuentes, incluidos datos estructurados y no estructurados
Que es responsable de la clasificación de los datos en un ¿organización?
Las organizaciones suelen designar a un Administrador de Seguridad y Riesgos, un Administrador de Protección de Datos, un Comité de Cumplimiento o una entidad similar.
VICEPRESIDENTE de Gestión de Producto en Netwrix. Ilia es responsable de la visión y estrategia del producto Netwrix. Es un reconocido experto en seguridad de la información y miembro oficial del Consejo Tecnológico de Forbes. Ilia tiene más de 15 años de experiencia en el mercado de software de gestión de TI. En el blog Netwrix, Ilia se centra en tendencias, estrategias y evaluación de riesgos de ciberseguridad.
