Clasificación de datos
La clasificación de datos es el proceso de organizar la información en categorías relevantes para facilitar su recuperación, ordenamiento, uso, almacenamiento y protección.
Una política de clasificación de datos, correctamente ejecutada, facilita el proceso de encontrar y recuperar datos críticos. Esto es importante para la gestión de riesgos, el descubrimiento legal y el cumplimiento normativo. Al crear procedimientos y lineamientos escritos para regir las políticas de clasificación de datos, es fundamental definir los criterios y las categorías que la organización usará para clasificar los datos.
La clasificación de datos puede ayudar a que los datos sean más fáciles de buscar y de rastrear. Esto se logra al etiquetar los datos. El etiquetado de datos permite a las organizaciones etiquetar los datos de forma clara para que sea fácil encontrarlos e identificarlos. Las etiquetas también ayudan a administrar mejor los datos e identificar riesgos con mayor facilidad. Una etiqueta de datos también permite que estos se procesen de forma automática y garantiza un acceso oportuno y confiable a los datos, como lo exigen algunas regulaciones estatales y federales.
La mayoría de los proyectos de clasificación de datos ayudan a eliminar la duplicación de información. Al detectar y eliminar datos duplicados, las organizaciones pueden reducir los costos de almacenamiento y respaldo, así como disminuir el riesgo de que datos confidenciales o sensibles se vean expuestos en caso de una violación de datos.
Especificar la administración de datos, así como los roles y responsabilidades de los empleados dentro de la organización, forma parte de los sistemas de clasificación de datos. La administración de datos es la coordinación táctica y la implementación de los activos de datos de una organización, mientras que el gobierno de datos se enfoca en políticas y procedimientos de datos de nivel más alto.
El propósito de la clasificación de datos
La clasificación de datos incrementa la accesibilidad de los datos, permite que las organizaciones cumplan más fácilmente con los requisitos de cumplimiento normativo, y les ayuda a alcanzar sus objetivos empresariales. A menudo, las organizaciones deben asegurarse de que los datos sean buscables y recuperables dentro de un periodo de tiempo específico. Este requisito es imposible sin procesos sólidos de clasificación para clasificar los datos de forma rápida y precisa.
Para cumplir con los objetivos de seguridad de datos, la clasificación de datos es esencial. La clasificación de datos facilita respuestas de seguridad apropiadas para la seguridad de datos según los tipos de datos que se recuperan, copian o transmiten. Sin un proceso de clasificación de datos, es difícil identificar y proteger adecuadamente los datos sensibles.
La clasificación de datos proporciona visibilidad de todos los datos dentro de una organización y le permite usar, analizar y proteger las vastas cantidades de datos disponibles mediante la recopilación de datos. Una clasificación de datos eficaz facilita una mejor protección de dichos datos y promueve el cumplimiento de las políticas de seguridad.
Desafíos de las herramientas heredadas de clasificación de datos
Las herramientas de clasificación de datos están diseñadas para ofrecer capacidades de descubrimiento de datos; sin embargo, a menudo analizan los almacenes de datos solo en busca de metadatos o identificadores bien conocidos. En entornos complejos, el descubrimiento de datos es ineficaz si solo puede descubrir fechas pero no puede identificar si se trata de una fecha de nacimiento, una fecha de transacción o la línea de fecha de un artículo. Sin esta información adicional, estas herramientas de descubrimiento no pueden identificar si los datos son sensibles y, por lo tanto, necesitan protección.
“Los mejores DSP tendrán capacidades semánticas y contextuales para la clasificación de datos — juzgar qué es realmente algo, en lugar de depender de identificadores preconfigurados.“ Gartner: Hoja de Ruta Estratégica 2023 para la Adopción de Plataformas de Seguridad de Datos
Las plataformas modernas de seguridad de datos deben incluir capacidades semánticas y contextuales para la clasificación de datos, a fin de identificar qué es un dato en lugar de usar identificadores preconfigurados, que son menos precisos y confiables. Debido a que las organizaciones están aumentando el uso de servicios de computación en la nube, ahora hay más datos sensibles en la nube. Sin embargo, muchos de esos datos sensibles no están estructurados, lo que dificulta su protección.
Esquemas de clasificación de datos
Un esquema de clasificación de datos te permite identificar los estándares de seguridad que especifican prácticas de manejo adecuadas para cada categoría de datos. También deben abordarse los estándares de almacenamiento que definen los requisitos del ciclo de vida de los datos. Una política de clasificación de datos puede ayudar a una organización a lograr sus objetivos de protección de datos al aplicar categorías de datos de forma coherente a los datos externos e internos.
Descubrimiento de datos
Las herramientas de descubrimiento e inventario de datos ayudan a las organizaciones a identificar recursos que contienen datos de alto riesgo y datos sensibles en endpoints y activos de la red corporativa. Estas herramientas ayudan a las organizaciones a identificar las ubicaciones tanto de datos sensibles estructurados como de datos no estructurados analizando hosts, columnas y filas de bases de datos, aplicaciones web, recursos compartidos de archivos y redes de almacenamiento.
Tipos de clasificación de datos
Etiquetar o aplicar etiquetas a los datos ayuda a clasificarlos. Esto es una parte esencial del proceso de clasificación de datos. Estas etiquetas y rótulos definen el tipo de datos, el grado de confidencialidad y la integridad de los datos. El nivel de sensibilidad generalmente se basa en niveles de importancia o confidencialidad, lo cual se alinea con las medidas de seguridad aplicadas para proteger cada nivel de clasificación. Los estándares de la industria para la clasificación de datos incluyen tres tipos:
- Clasificación basada en el contenido, que se relaciona con información sensible (como registros financieros e información de identificación personal).
- Clasificación basada en el contexto, que analiza los datos según la ubicación, la aplicación, el creador, etc., como indicadores indirectos de información sensible.
- Clasificación basada en el usuario, que requiere el conocimiento y criterio del usuario para decidir si se deben marcar documentos sensibles durante la creación, el proceso de edición, los ciclos de revisión o cuando se distribuye el contenido.
Si bien cada enfoque tiene su lugar en la clasificación de datos, la clasificación basada en el usuario es un proceso manual y que consume mucho tiempo, y es sumamente propenso a errores. No será eficaz para categorizar datos a gran escala y puede poner en riesgo los datos protegidos y los datos restringidos.
Sensibilidad de los datos y riesgo
Es importante que los esfuerzos de clasificación de datos incluyan la determinación del riesgo relativo asociado con diversos tipos de datos, cómo gestionar esos datos y dónde y cómo almacenarlos y enviarlos. Existen tres niveles amplios de riesgo para los datos y los sistemas:
- Riesgo bajo: Los datos públicos que son fáciles de recuperar son un buen ejemplo de datos de bajo riesgo. Cualquier información que pueda usarse, reutilizarse y redistribuirse libremente sin restricciones locales, regionales, nacionales o internacionales sobre el acceso o el uso. Dentro de una organización, estos datos incluyen descripciones de puestos, materiales de marketing de acceso público y comunicados de prensa o artículos.
- Riesgo moderado: Si los datos no son públicos o se usan solo de forma interna, pero no son críticos para las operaciones ni sensibles, pueden clasificarse como de riesgo moderado. La documentación de la empresa, presentaciones no sensibles y los procedimientos operativos pueden entrar en esta categoría.
- Riesgo alto: Si los datos o el sistema son sensibles o críticos para la seguridad operativa, pertenecen a la categoría de alto riesgo. Además, cualquier dato que sea difícil de recuperar se considera de alto riesgo. Cualquier dato confidencial, datos sensibles, datos de uso interno y datos necesarios también entran en esta categoría. Algunos ejemplos incluyen números de seguro social, números de licencia de conducir, información de cuentas bancarias y de débito, y otros datos altamente sensibles.
Clasificación automatizada de datos
Las herramientas automatizadas pueden realizar una clasificación que defina los datos personales y los datos altamente sensibles según los niveles de clasificación de datos establecidos. Una plataforma que incluya un motor de clasificación puede identificar los almacenes de datos que contienen información sensible en cualquier archivo, tabla o columna de un entorno. También puede proporcionar protección continua al analizar de manera constante el entorno para detectar cambios en el panorama de datos. Las nuevas soluciones pueden identificar los datos sensibles y dónde residen, así como aplicar la clasificación basada en el contexto necesaria para decidir cómo protegerlos.
Ejemplos de clasificación de datos
Clasificar los datos como restringidos, privados o públicos es un ejemplo de clasificación de datos. Al igual que al identificar niveles de riesgo, los datos públicos son los menos sensibles y tienen los requisitos de seguridad más bajos. Los datos restringidos reciben la clasificación de seguridad más alta e incluyen la información más sensible, como los datos de salud. Un proceso de clasificación de datos exitoso se extiende para incluir procedimientos adicionales de identificación y etiquetado a fin de garantizar la protección de los datos según su sensibilidad.
Por qué es importante la clasificación de datos
Los líderes de seguridad y riesgo solo pueden proteger los datos sensibles y la propiedad intelectual si saben que esos datos existen, dónde se encuentran, por qué son valiosos y quién tiene acceso para usarlos. La clasificación de datos les ayuda a identificar y proteger los datos corporativos, los datos de clientes y los datos personales. Etiquetar los datos de forma adecuada ayuda a las organizaciones a protegerlos y prevenir su divulgación no autorizada.
El Reglamento General de Protección de Datos (GDPR), entre otras normativas de privacidad y protección de datos, incrementa la importancia de la clasificación de datos para cualquier organización que almacena, transfiere o procesa datos. Clasificar los datos ayuda a asegurar que todo lo cubierto por el GDPR se identifique rápidamente para que las medidas de seguridad adecuadas estén implementadas. El GDPR también aumenta la protección de los datos personales relacionados con el origen racial o étnico, las opiniones políticas y las creencias religiosas o filosóficas, y clasificar estos tipos de datos puede ayudar a reducir el riesgo de problemas relacionados con el cumplimiento.
Las organizaciones deben cumplir con los requisitos de marcos establecidos, como el RGPD, la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), la Ley Gramm-Leach-Bliley (GLBA), la Ley de Tecnología de la Información de Salud para la Economía y la Clínica (HITECH), entre otras. Para lograrlo, deben evaluar la postura de los datos sensibles estructurados y no estructurados en entornos de Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) y Software como Servicio (SaaS), y contextualizar el riesgo en relación con la seguridad, la privacidad y otros marcos regulatorios.
Obtén visibilidad total
con nuestra Evaluación de Riesgos de Datos.