Plantilla de política de clasificación de datos

Según Statista, se estima que la creación de datos a nivel mundial se disparará en la próxima década, llegando a más de 180 zettabytes para 2025 y más de dos mil zettabytes para 2035.

Aunque solo se conserva un pequeño porcentaje de estos nuevos datos creados, las organizaciones aún enfrentan el desafío de gestionar más datos que nunca y protegerlos contra brechas de seguridad.

La clasificación de datos puede ayudar a su organización a abordar este desafío, permitiéndole ordenar la información según el nivel de riesgo y establecer políticas de seguridad de datos adecuadas.

Siga leyendo para aprender cómo determinar los niveles de clasificación de datos, qué métodos puede usar para clasificar los datos, qué pasos y mejores prácticas debe seguir para crear una política de clasificación de datos y más.

¿Qué es la clasificación de datos?

La clasificación de datos es el proceso de identificar y categorizar los datos según su nivel de sensibilidad para ayudar a simplificar la gestión, seguridad y almacenamiento de esos datos.

La clasificación de datos viene después del proceso de descubrimiento de datos. Así que primero, escanee su entorno para determinar dónde reside los datos estructurados y no estructurados. Es probable que esté distribuido en bases de datos, servicios de almacenamiento en la nube y archivos como PDFs y correos electrónicos, entre otras fuentes. Luego, dentro de estas fuentes de datos descubiertas, identifique diferentes tipos de datos y asígneles etiquetas basadas en características como:

• Sensibilidad: Ejemplos incluyen alta, media y baja sensibilidad.
• Tipo de activo de datos: Ejemplos incluyen facturas de proveedores, facturas de clientes y registros de empleados.
• Información de origen: Ejemplos incluyen licenciado, adquirido o creado internamente.
• Información geopolítica: Ejemplos incluyen persona de EE. UU. o entidades de la UE.

Estas etiquetas son parte del esquema de clasificación de datos de una organización. Ahora echemos un vistazo más de cerca a por qué la clasificación de datos es importante.

¿Cuál es el propósito de la clasificación de datos?

Los datos que su negocio crea incluyen desde valiosa propiedad intelectual hasta invitaciones de calendario entre compañeros de trabajo y pueden representar un verdadero desafío desde una perspectiva de riesgo y gobernanza de datos. Su negocio necesita un sistema para organizar tanto los datos sensibles como los de baja prioridad, ahí es donde entra en juego la clasificación de datos.

La clasificación de datos implica ordenar la información según el nivel de sensibilidad para que pueda establecer políticas de seguridad de datos adecuadas para mitigar el riesgo de que estos sean alterados, robados o destruidos.

Veamos más de cerca los beneficios de la clasificación de datos para que entienda por qué su organización debe comenzar a clasificar sus datos.

Beneficios de la clasificación de datos

La clasificación efectiva de datos es una parte clave de cualquier política de seguridad de la información y debería ayudar a su organización a proteger datos de alta sensibilidad, agilizar la búsqueda y recuperación de datos, eliminar datos duplicados y cumplir con los requisitos de privacidad y seguridad de los datos.

Echemos un vistazo más de cerca a cada uno de estos beneficios a continuación.

Gestión de riesgos

Las políticas de clasificación de datos deberían ayudarle a desarrollar una estrategia sensata de gestión de riesgos. Una vez que identifique el valor de sus datos, puede implementar medidas de seguridad para minimizar el riesgo de que esos datos sean alterados, robados o destruidos.

Por lo tanto, la clasificación de datos es una parte clave de las estrategias de gestión de riesgos y prevención de pérdida de datos.

Seguridad y recuperación de datos

La clasificación de datos también puede ser útil para crear procesos de seguridad y recuperación de datos al ayudarle a:

• Organizar los datos por importancia
• Proteger los datos de alta sensibilidad
• Agilizar la búsqueda y recuperación de datos

Hacer esto puede ayudar a su organización a reducir el acceso de los usuarios a datos sensibles, instalar las tecnologías de protección de datos adecuadas y optimizar la utilización de recursos para datos menos críticos.

Eliminación de duplicados de datos

La clasificación de datos no solo puede ayudar a que los datos sean más fáciles de buscar y rastrear, sino que también puede ayudar a eliminar datos duplicados. Esto puede ayudar a sus empleados a acelerar su proceso de búsqueda y también a reducir los costos de almacenamiento y respaldo para su organización en su conjunto.

Eficiencia organizacional

Las políticas de clasificación de datos también pueden ayudar a mejorar la eficiencia organizacional. Por ejemplo, puede encontrar y eliminar datos duplicados para reducir los costos de almacenamiento y respaldo.

Cumplimiento normativo

La clasificación de datos también puede ayudar a su organización a cumplir con los requisitos de privacidad de los datos y otras reglas y regulaciones al implementar controles de seguridad apropiados y hacer que los datos sean buscables y recuperables dentro de los plazos especificados.

Ahora que sabe por qué vale la pena el esfuerzo de clasificar los datos, le explicaremos cómo se lleva a cabo.

Clasificación de sensibilidad de datos

La clasificación de datos requiere que evalúe el nivel de sensibilidad de los datos en toda su organización. Estos niveles generalmente varían de alto a medio a bajo y se correlacionan con lo dañino que sería si esos datos se perdieran, robaran o comprometeran.

Clasificar los datos de esta manera ayuda a las organizaciones a entender dónde enfocar sus esfuerzos de mitigación de riesgos. Cuanto más sensibles sean los datos, más necesita su organización centrarse en protegerlos.

Datos de baja sensibilidad

Los datos de baja sensibilidad son datos que tendrían poco o ningún impacto si se vieran comprometidos, perdidos o destruidos (aunque una organización aún puede implementar controles de seguridad para protegerse contra daños). Los datos de baja sensibilidad son para uso público y no requieren ninguna protección de confidencialidad. Generalmente se etiquetan como datos no restringidos o públicos, dependiendo de su modelo de clasificación.

Ejemplos de datos de baja sensibilidad incluyen:

• Información pública y páginas web, como ofertas de trabajo, publicaciones de blog, etc.
• Comunicados de prensa
• Directorio de empleados

Datos de sensibilidad media

Los datos de sensibilidad media son datos que no tendrían un impacto catastrófico si fueran comprometidos, perdidos o destruidos, pero resultarían en algún riesgo para una organización. Por lo tanto, estos datos solo deben ser accesibles para el personal interno al que se le haya concedido acceso y comúnmente se etiquetan como internos o privados.

Ejemplos de datos de sensibilidad media incluyen:

• Correos electrónicos o documentos internos que no contienen datos confidenciales
• Contratos con proveedores
• Información de gestión de servicios de TI o telecomunicaciones

Datos de alta sensibilidad

Los datos de alta sensibilidad son datos que, si se comprometen, pierden o destruyen, tendrían un impacto catastrófico en una organización. Por lo tanto, las organizaciones deben implementar los controles de acceso más estrictos para los datos de alta sensibilidad. Dado que el acceso está limitado según la necesidad de saber, los datos de alta sensibilidad usualmente se etiquetan como datos confidenciales o restringidos.

Ejemplos de datos de alta sensibilidad incluyen:

• Registros financieros, como números de tarjetas de crédito
• Datos médicos y biométricos, incluida la información de salud protegida (PHI)
• Registros de empleados, incluida la información de identificación personal (PII) como números de Seguridad Social
• Datos de autenticación, como credenciales de inicio de sesión

Modelos y esquemas de clasificación de datos

Un modelo y esquema de clasificación de datos define cómo una organización identifica y categoriza sus activos de datos. Típicamente, éstos definen de tres a cinco niveles basados en la criticidad y sensibilidad de los datos para ayudar a determinar los controles de seguridad apropiados.

Las organizaciones deben diseñar sus propios modelos y esquemas de clasificación de datos según su necesidad de proteger datos propietarios, empresariales y/o de usuarios con diferentes niveles de sensibilidad y para cumplir con los requisitos de cumplimiento y regulación. Sin embargo, pueden comenzar con o basar sus modelos en diferentes modelos y esquemas de clasificación desarrollados por gobiernos y organizaciones comerciales.

Por ejemplo, el gobierno de los EE.UU. utiliza un esquema de clasificación de tres niveles para datos basado en el impacto potencial en la seguridad nacional si se divulga:

• Confidencial: La divulgación no autorizada de esta información probablemente causaría daño a la seguridad nacional.
• Secreto: La divulgación no autorizada de esta información probablemente causaría un daño grave a la seguridad nacional.
• Altamente secreto: La divulgación no autorizada de esta información probablemente causaría un daño excepcionalmente grave a la seguridad nacional.

NIST desarrolló un esquema de categorización de tres niveles basado en el impacto potencial no solo en la confidencialidad, sino también en la integridad y disponibilidad de la información y los sistemas de información aplicables a la misión de una organización:

• Bajo: La divulgación no autorizada de esta información tendría un efecto adverso limitado en las operaciones de la organización, los activos de la organización o los individuos.
• Moderar: La divulgación no autorizada de esta información tendría un efecto adverso serio en las operaciones de la organización, los activos de la organización o los individuos.
• Alto: La divulgación no autorizada de esta información tendría un efecto adverso severo o catastrófico en las operaciones de la organización, los activos de la organización o los individuos.

Las organizaciones pueden usar etiquetas secundarias dentro de estos niveles para especificar diferentes activos de datos y procedimientos de manejo o requisitos de cumplimiento y regulación. Por ejemplo, una organización que solo recopila registros financieros puede clasificarlos como “datos confidenciales”, pero una organización que recopila registros médicos puede clasificarlos de manera más específica como “información de salud protegida” para indicar que los requisitos de HIPAA se aplican a esos datos.

Ejemplos de clasificación de datos

Aunque el esquema de clasificación de datos del NIST es ampliamente reconocido como un esquema de clasificación adecuado en certificaciones sectoriales, nacionales e internacionales, las organizaciones deben desarrollar sus propios esquemas de clasificación según sus necesidades únicas de gestión organizacional y de riesgos.

Para inspirarnos, veremos algunos ejemplos de organizaciones y el modelo de clasificación y esquema que han implementado.

UW-Madison

UW-Madison clasifica los datos en cuatro categorías, que se utilizan para determinar cómo proporcionar acceso a los datos a las personas. Las categorías son:

• Público: La divulgación, alteración o destrucción no autorizada de estos datos resultaría en poco o ningún riesgo para la Universidad y sus afiliados. Cualquier dato mostrado en sitios web o publicado sin restricciones de acceso debe clasificarse como público.
• Interno: La divulgación, alteración o destrucción no autorizada de estos datos podría resultar en algún riesgo para la Universidad y sus afiliados. Por defecto, cualquier dato que no esté clasificado explícitamente en las otras tres categorías debe ser clasificado como interno.
• Sensible: La divulgación, alteración, pérdida o destrucción no autorizada de estos datos podría causar un nivel moderado de riesgo para la Universidad, sus afiliados o proyectos de investigación.
• Restringido: La divulgación, alteración, pérdida o destrucción no autorizada de esos datos podría causar un nivel significativo de riesgo para la Universidad, sus afiliados o proyectos de investigación. Si la protección de los datos es requerida por ley o regulación o si UW-Madison está obligada a informar al gobierno y/o notificar al individuo en caso de acceso inapropiado a los datos, entonces deben clasificarse como restringidos.

Harvard

Harvard clasifica los datos en cinco niveles:

• N1: N1 se refiere a información pública. La Universidad proporciona intencionadamente esta información al público. Investigaciones publicadas, catálogos de cursos, hallazgos regulatorios y legales, informes anuales publicados, patentes liberadas y políticas universitarias son todos ejemplos.
• N2: N2 se refiere a información confidencial de bajo riesgo. La Universidad elige mantener esta información privada dentro de la comunidad de Harvard, pero su divulgación fuera de la comunidad no causaría daño material. Políticas y procedimientos del departamento, materiales de formación de Harvard, borradores de trabajos de investigación y solicitudes de patentes y subvenciones son todos ejemplos.
• N3: N3 se refiere a información confidencial de riesgo medio. La Universidad intenta compartir esta información solo con aquellos que tienen una “necesidad comercial de saber” y la divulgación más allá de los destinatarios previstos podría causar un daño material a las personas o a la Universidad. Información no directorio de estudiantes, información no publicada de profesores y personal, información de transacciones presupuestarias/financieras y la información especificada como confidencial por contratos de proveedores y acuerdos de confidencialidad son todos ejemplos.
• N4: N4 se refiere a información confidencial de alto riesgo. La Universidad tiene estrictos controles para esta información y la divulgación más allá de los destinatarios especificados probablemente causaría un daño grave a las personas o a la Universidad. Contraseñas y PINs, credenciales del sistema y claves de cifrado privadas son todos ejemplos.
• N5: N5 está reservado solo para datos de investigación, según lo determinado por el IRB o el Acuerdo de Uso de Datos. Los datos que, si se divulgaran, podrían poner al sujeto en un grave riesgo de daño o los datos con requisitos contractuales para medidas de seguridad excepcionales deben clasificarse como N5.

AWS

AWS recomienda comenzar con un enfoque de clasificación de datos de tres niveles. Tanto las organizaciones públicas como comerciales que han adoptado la nube de AWS han podido satisfacer adecuadamente sus necesidades y requisitos de clasificación de datos utilizando el enfoque a continuación.

Métodos de clasificación de datos

Existen tres formas principales en las que su organización puede realizar la clasificación de datos. Muchas organizaciones utilizan una combinación de las tres.

Echemos un breve vistazo a cómo funciona cada método en la práctica.

Clasificación basada en el usuario

Bajo la clasificación basada en el usuario, usted decide manualmente cómo clasificar los archivos. Puede marcar documentos sensibles cuando se crean, después de una edición o antes de que se publique un documento.

Clasificación basada en el contenido

La clasificación basada en el contenido implica revisar archivos y documentos en busca de información sensible antes de clasificarlos. Se asigna una categoría de riesgo basada en el contenido de cada archivo o documento.

Clasificación basada en el contexto

La clasificación basada en el contexto usa metadatos en lugar de contenido para encontrar indicadores de información sensible.

Ejemplos de metadatos incluyen:

• La aplicación que creó el archivo (software de contabilidad, financiero o de atención médica)
• El usuario que creó el documento (por ejemplo, un miembro del departamento de contabilidad)
• La ubicación donde se creó un archivo (por ejemplo, el edificio del departamento de contabilidad)

Tanto la clasificación basada en el contenido como en el contexto son tipos de clasificación automatizada. Aunque la clasificación automatizada tiende a ser más eficiente que la clasificación basada en el usuario, igualmente debe verificar los resultados manualmente. Por eso las organizaciones suelen emplear dos o tres de estos métodos.

Una vez que determine qué sistema de clasificación es el adecuado para su organización, puede comenzar su proceso de clasificación de datos.

Proceso de clasificación de datos

Hay algunos pasos clave que su organización debe seguir durante el proceso de clasificación de datos.

1. Realizar una evaluación de riesgos

Para empezar, debe pensar estratégicamente sobre sus datos. ¿Dónde es usted vulnerable? ¿Cómo puede optimizar su protección?

Aquí hay algunas preguntas que pueden ayudarle a comprender sus datos y qué requisitos de privacidad y confidencialidad corporativos, regulatorios y contractuales se aplican a su organización:

• ¿Quién crea o posee la información?
• ¿Quién es responsable de la integridad y precisión de los datos?
• ¿Dónde se almacena la información?
• ¿Qué datos sensibles tenemos?
• ¿Quién tiene permiso para acceder, cambiar, archivar o eliminar la información?
• ¿Cómo afectará a nuestro negocio si los datos son robados, destruidos o alterados?
• ¿La información está sujeta a alguna regulación o estándares de cumplimiento/industria? Si es así, ¿cuáles son las sanciones por incumplimiento?

Después de seguir estas prácticas, debería comprender mejor los datos de su negocio. Esto le ayudará a desarrollar la mejor estrategia para su gestión y protección.

2. Definir sus objetivos y lo que le gustaría que lograra la categorización de datos.

A continuación, defina claramente sus objetivos principales para la categorización de datos. ¿Desea informar los procesos de cumplimiento normativo, aumentar la productividad de los empleados o reducir los costos de gestión y almacenamiento de datos? ¿Todo lo anterior? Este paso debe involucrar a las partes interesadas de seguridad, cumplimiento y legal.

3. Determinar las categorías y criterios que utilizará para clasificar los datos.

Una vez que entienda por qué está clasificando sus datos, puede determinar mejor cómo hacerlo. Hay múltiples formas de organizar los datos: utilizando metadatos, etiquetas, tipo de archivo, unidades de caracteres y tamaño de paquetes de datos son solo algunos ejemplos.

También debe establecer niveles de clasificación en esta etapa.

4. Formalizar una política de clasificación de datos.

Una política de clasificación de datos debe describir claramente los objetivos de su organización al implementar un proceso de clasificación de datos, la taxonomía que se utilizará para clasificar los datos y los roles y responsabilidades de los propietarios de datos, incluyendo cómo clasifican los datos y otorgan acceso a ellos.

Una política de clasificación de datos debe describir claramente el esquema de clasificación de datos de su organización y la descripción formal de todos los tipos de datos dentro de una organización. El propósito es permitir que todas las partes afectadas, incluidas las partes externas que comparten o reciben datos, tengan un entendimiento común e identifiquen diferentes tipos de datos.

5. Describir los roles y responsabilidades de los empleados en el cumplimiento de los protocolos de clasificación de datos.

Los empleados deben entender claramente que son responsables y rendir cuentas por su uso de datos sensibles y de baja prioridad. Se deben documentar los pasos de mitigación de riesgos y las políticas automatizadas. Esto permitirá a los empleados saber trasladar o archivar PHI si no se usa durante 180 días, por ejemplo, o cómo detectar y reportar fallos de control o violaciones.

6. Desarrollar estándares de seguridad que se alineen con las categorías de datos, etiquetas y regulaciones de cumplimiento.

Una vez que los datos se han clasificado por categoría, etiqueta y/o regulaciones de cumplimiento, puedes determinar los controles de seguridad adecuados para protegerlos. Por ejemplo, la información médica, de tarjetas de crédito y la información de identificación personal (PII) deben manejarse adecuadamente para diferentes reglamentaciones y, por lo tanto, pueden requerir estándares de seguridad únicos.

7. Reevaluar periódicamente tus criterios y procesos de clasificación.

La clasificación de datos no es un proceso único. Debes revisar periódicamente tus criterios y procesos de clasificación en su totalidad para mantenerte al día con las cambiantes regulaciones y objetivos comerciales. Esto puede hacerse anualmente o con la frecuencia posible según los recursos disponibles.

Ejemplos de políticas de clasificación de datos

Para ayudar en el desarrollo de la política de clasificación de datos de tu organización, consulta los ejemplos de políticas de clasificación de datos implementadas en universidades a continuación.

1. Política de Clasificación y Manejo de Datos de la Universidad de Kansas

Esta política detalla cómo los datos en la Universidad de Kansas se clasifican y manejan para garantizar su confidencialidad. Describe su propósito, a quién se aplica y define tres niveles de clasificación de datos según su sensibilidad (confidencial, sensible y público).

2. Política de Clasificación de Datos de la Universidad de Boston

La Política de Clasificación de Datos de la Universidad de Boston proporciona un vocabulario común que las personas pueden utilizar para describir los datos de la Universidad y cuantificar el nivel de protección requerido. Esta política define cuatro categorías en las que se pueden dividir todos los datos de la Universidad:

• Público
• Interno
• Confidencial
• Uso Restringido

3. Política de Clasificación y Protección de Datos de la Universidad de Fordham

La Política de Clasificación y Protección de Datos de la Universidad de Fordham establece un marco para clasificar los datos institucionales según su nivel de sensibilidad, valor y criticidad para la Universidad. Define tres categorías: Datos Protegidos de Fordham, Datos Sensibles de Fordham o Datos Públicos.

¿Aún no estás seguro de qué incluir en tu política de clasificación de datos? Usa nuestra plantilla como base para crear la tuya rápidamente.

Mejores prácticas de clasificación de datos

Utiliza estas mejores prácticas para construir una política de clasificación de datos efectiva:

• Entiende tus datos: Necesitas saber qué tipo de datos tienes. Analiza tus datos y todas las regulaciones que tu organización debe seguir. Examinaremos estas regulaciones más de cerca en la siguiente sección.
• Crea un modelo de clasificación de datos: A continuación, debes construir un modelo de clasificación de datos. Comienza con algunos niveles básicos de clasificación. Puedes agregar niveles más complejos según sea necesario.
• Organiza tus datos: Decide cómo etiquetar tus datos según su nivel de sensibilidad e impacto potencial. A medida que la sensibilidad aumenta de baja a alta, el nivel de clasificación también debe aumentar. Añade más restricciones en cada nivel.
• Valida tus resultados: Todos los resultados, clasificados manual o automáticamente, deben ser revisados y validados para garantizar su precisión. Crea un proceso que identifique claramente quién está involucrado y qué pasos se requieren para revisar y validar estos resultados.
• Descubre cómo tus resultados pueden beneficiar a tu organización: Una vez que hayas validado tus resultados, puedes analizarlos para determinar su mejor uso. Tal vez puedan usarse para optimizar flujos de trabajo o mejorar una política de seguridad de datos que beneficie a tu organización.
• Cambia los criterios de clasificación según sea necesario: Tus criterios de clasificación pueden necesitar ser actualizados debido a cambios en el negocio o nuevas regulaciones. Así que debes establecer un proceso no solo para descubrir y clasificar nuevos datos, sino también para revisar periódicamente tus criterios.

Marcos de cumplimiento para la clasificación de datos

Los marcos de cumplimiento pueden ser útiles para construir tus políticas de clasificación de datos. Hay varios marcos de seguridad regulatorios que debes tener en cuenta al clasificar datos.

SOC 2

Control de Sistemas y Organización (SOC) 2 evalúa cómo la seguridad de una empresa se alinea con los Criterios de Servicios de Confianza. Estos criterios incluyen seguridad, disponibilidad, confidencialidad, integridad de procesos y privacidad.

Este marco ayuda a tu organización a gestionar datos de clientes y la gestión de riesgos con terceros.

Aunque valioso, implementar SOC 2 puede ser complicado. Secureframe puede ayudar a simplificar tu cumplimiento SOC 2.

HIPAA

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) creó estándares para proteger la información de salud del paciente (PHI).

La PHI se considera datos de alto riesgo. Las organizaciones de atención médica deben seguir prácticas estrictas de ciberseguridad para cumplir con HIPAA. Necesitas procedimientos para clasificar los datos que recopilas, usas, almacenas o transmites.

Puedes aprender más sobre simplificar tu cumplimiento de HIPAA aquí.

PCI DSS

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) requiere que las empresas que manejan datos de tarjetas de crédito protejan la información de los titulares de tarjetas.

A diferencia de los marcos gubernamentales, las empresas privadas de pagos (MasterCard, Visa, etc.) imponen el cumplimiento de PCI DSS.

Aprende cómo puedes acelerar tu cumplimiento de PCI DSS con Secureframe.

GDPR

El Reglamento General de Protección de Datos (GDPR) protege los datos de los ciudadanos de la Unión Europea.

Según el GDPR, cualquier organización que maneje datos personales de un ciudadano de la UE debe tener un sistema de clasificación de datos. Las organizaciones también necesitan un sistema para etiquetar datos como públicos, propietarios o confidenciales.

Puedes obtener y mantener el cumplimiento de GDPR de manera segura con Secureframe — aprende cómo.

Cómo Secureframe puede ayudar a simplificar la clasificación de datos

Secureframe puede ayudarle a establecer rápidamente una política de clasificación de datos que cumpla con los requisitos de seguridad y cumplimiento aplicables a su organización y mantenerla actualizada. Usando la plataforma Secureframe, usted puede:

• Comenzar con una plantilla de política de clasificación de datos que ha sido aprobada por exauditores o traer su política existente a la plataforma
• Definir niveles de clasificación de datos dentro de esta política
• Adaptar fácilmente esta política utilizando el editor de políticas integral de Secureframe con revisiones de texto impulsadas por IA
• Una vez finalizada, distribuir esta política a los empleados y rastrear su aceptación
• Utilizar la implementación y aceptación de la política por parte de los empleados como evidencia de adherencia a los controles corporativos y requisitos del marco
• Asignar un propietario de la política y usar el control de versiones para rastrear fácilmente los cambios y mejorar la visibilidad

Para obtener más información sobre cómo Secureframe puede simplificar la gestión de políticas de clasificación de datos y otros aspectos de cumplimiento, solicite una demostración.