Creación de un marco de clasificación de datos bien diseñado
A medida que desarrolle, actualice o refine el marco de clasificación de datos, tenga en cuenta las siguientes prácticas principales:
No espere pasar de 0 a 100 el día 1: Microsoft recomienda un enfoque de rastreo y ejecución, priorizando las características críticas para la organización y mapeándolas con una escala de tiempo. Complete el primer paso, asegúrese de que se ha realizado correctamente y, a continuación, pase a la siguiente fase aplicando las lecciones aprendidas. Recuerde que es posible que su organización todavía esté expuesta a riesgos mientras diseña el marco de clasificación de datos, por lo que es recomendable empezar a trabajar con pocos niveles de clasificación y expandirlo más adelante según sea necesario.
No solo está escribiendo para profesionales de ciberseguridad: los marcos de clasificación de datos están diseñados para un público amplio, incluidos el miembro medio del personal, los equipos legales y de cumplimiento, y el equipo de TI. Es importante escribir definiciones claras y fáciles de entender para los niveles de clasificación de datos, proporcionando ejemplos del mundo real siempre que sea posible. Intente evitar la jerga y considere un glosario para acrónimos y términos altamente técnicos. Por ejemplo, use "Información de identificación personal" y proporcione una definición en lugar de simplemente decir "PII".
Los marcos de clasificación de datos están diseñados para implementarse: para que los marcos de clasificación de datos sean correctos, deben implementarse. Es especialmente relevante al diseñar los requisitos de control para cada nivel de clasificación de datos. Asegúrese de que los requisitos están claramente definidos y que anticipan y abordan cualquier ambigüedad que pueda surgir durante la implementación. Por ejemplo, si tiene un control sobre la información de identificación personal, asegúrese de escribir exactamente lo que significa ese control, como el seguro social o el número de pasaporte.
Solo se granular si es necesario: los marcos de clasificación de datos suelen contener entre 3 y 5 niveles de clasificación de datos. Pero el hecho de que pueda incluir cinco niveles no significa que deba. Tenga en cuenta los siguientes criterios al decidir el número de niveles de clasificación que necesita:
- Su sector y sus obligaciones normativas asociadas (los sectores altamente regulados tienden a necesitar más niveles de clasificación)
- Sobrecarga operativa necesaria para mantener un marco más complejo
- Los usuarios y su capacidad de cumplir con el aumento de complejidad y matices asociados con más niveles de clasificación
- Experiencia del usuario y accesibilidad al intentar aplicar la clasificación manual en varios tipos de dispositivos
Involucrar a las personas adecuadas: tener una parte interesada de alto nivel es fundamental para el éxito, ya que muchos proyectos tienen dificultades para iniciarse o tardar más tiempo sin el respaldo de la administración sénior. Los marcos de clasificación de datos suelen pertenecer a los equipos de tecnología de la información, pero pueden tener implicaciones legales, de cumplimiento, de privacidad y de administración de cambios. Para asegurarse de que está creando un marco que ayude a proteger su negocio, asegúrese de incluir la privacidad y las partes interesadas legales, como su Director de Privacidad y la Oficina de Asesoramiento General en el desarrollo de su política. Si su organización tiene una división de cumplimiento, profesionales de gobernanza de la información o un equipo de administración de registros, es posible que también tengan entradas valiosas. A medida que el marco se implementa en la empresa, el departamento de comunicaciones también tiene un rol clave que desempeñar para la mensajería interna y la adopción.
Equilibrar la seguridad frente a la comodidad: un error común es redactar un marco de clasificación de datos seguro pero demasiado restrictivo. Este marco puede haberse diseñado teniendo en cuenta la seguridad, pero a menudo es difícil de implementar en la práctica. Si los usuarios necesitan seguir procedimientos complejos, rígidos y lentos para aplicar el marco en su vida diaria, siempre existe el riesgo de que ya no crean en su valor y, finalmente, dejen de seguir los procedimientos. Este riesgo existe en todos los niveles de la organización, incluidos los administradores de nivel ejecutivo (C-suite) dentro de la organización. Un buen equilibrio de seguridad frente a la comodidad junto con las herramientas fáciles de usar suelen dar lugar a una adopción y uso más amplios del usuario. Si hay brechas en el marco, no espere hasta que todo sea perfecto para iniciar la implementación. En su lugar, evalúe el riesgo o la brecha, cree un plan para mitigarlo y continúe avanzando. Recuerde que la protección de la información es un recorrido, no es algo que se activa de la noche a la mañana y luego se realiza. Planee, implemente algunas funcionalidades, confirme el éxito e itera al siguiente hito a medida que las herramientas evolucionan y los usuarios adquieren madurez y experiencia.
Tenga en cuenta también que un marco de clasificación de datos solo aborda lo que su organización debe hacer para proteger los datos confidenciales. Los marcos de clasificación de datos suelen ir acompañados de reglas o directrices de control de datos que definen cómo aplicar estas directivas desde una perspectiva técnica y tecnológica. En las secciones siguientes, pasamos a algunas instrucciones prácticas sobre cómo llevar el marco de clasificación de datos de un documento de directiva a una iniciativa totalmente implementada y accionable.
Puntos difíciles en la creación de un marco de clasificación de datos
Los esfuerzos de clasificación de datos son, por naturaleza, de gran alcance, que afectan a casi todas las funciones empresariales dentro de una empresa. Debido a este amplio ámbito y a la complejidad de la administración de contenido en entornos digitales modernos, las empresas a menudo se enfrentan a desafíos al saber dónde empezar, cómo administrar una implementación correcta y cómo medir su progreso. Los puntos de dolor comunes a menudo incluyen:
- Diseño de un marco de clasificación de datos sólido y fácil de entender, incluida la determinación de los niveles de clasificación y los controles de seguridad asociados.
- Desarrollar un plan de implementación que incluya la confirmación de la solución tecnológica adecuada, alinear el plan con los procesos empresariales existentes e identificar el impacto en el personal.
- Configurar un marco de clasificación de datos dentro de la solución tecnológica elegida y solucionar las brechas entre las capacidades tecnológicas de la herramienta y el propio marco.
- Establecimiento de una estructura de gobernanza que supervise el mantenimiento y el mantenimiento en curso de los esfuerzos de clasificación de datos.
- Identificación de indicadores clave de rendimiento (KPI) específicos para supervisar y medir el progreso.
- Aumentar el conocimiento y la comprensión de las directivas de clasificación de datos, por qué son importantes y cómo cumplirlas.
- Cumplir con las revisiones de auditoría internas destinadas a los controles de ciberseguridad y pérdida de datos.
- Capacitar y involucrar a los usuarios para que sean conscientes de la necesidad de una clasificación correcta en su trabajo diario y apliquen las medidas de clasificación adecuadas.
Administración y entrenamiento de cambios
Actualmente, las organizaciones usan herramientas como Microsoft 365 para implementar su marco de clasificación de datos. El propósito es intentar automatizar la clasificación de los datos y no aumentar la carga de trabajo. Esta estructura no significa que su organización no tenga la responsabilidad de aumentar el conocimiento de la necesidad de administrar el contenido y proteger a la organización de los riesgos descritos en este documento. La práctica principal sigue siendo llevar a cabo la formación de concienciación en toda la organización como parte de la programación de capacitación anual. Nuestra experiencia demuestra que poner un esfuerzo sólido y completo en la formación de los usuarios, que son el público clave que realiza este trabajo, aumenta su "participación" en el esfuerzo y puede aumentar la adopción y la calidad. Agregar recomendaciones de etiquetas y sugerencias desde la aplicación puede ampliar estos esfuerzos. Esta formación no tiene que ser un curso independiente extenso. Su organización puede incorporarlo a otro entrenamiento normal, como el entrenamiento anual de seguridad de la información, e incluir una introducción a los niveles y definiciones de clasificación de datos. El punto principal es que los empleados entienden que, aunque la herramienta está automatizando la clasificación de datos, eso no elimina la responsabilidad general de cada usuario de proteger los datos de acuerdo con la directiva de su empresa.
Además, debe considerar una formación más detallada para los equipos de TI y seguridad de la información para reforzar la preparación operativa. Los equipos que administran la herramienta y el marco de clasificación de datos deben estar en la misma página. Esta coordinación puede requerir que invierta en un programa de entrenamiento más sólido que pueda ser más frecuente que anualmente. La inversión en formación más frecuente representa otra vía para reducir el riesgo para su organización. Este equipo es responsable de la implementación y, por lo tanto, podría ser un punto de error si no se entrena en la herramienta y la directiva.
Si necesita etiquetar manualmente el contenido de la herramienta, es adecuado desarrollar un grupo de superusuarios que han recibido entrenamiento más avanzado. Estos superusuarios estarían involucrados en situaciones en las que los usuarios deben etiquetar manualmente documentos con etiquetas de confidencialidad de datos y tendrían un conocimiento profundo del marco de clasificación de datos y los requisitos normativos de su organización.
Por último, su liderazgo debe priorizar la defensa de los comportamientos de seguridad de la información para reforzar a los trabajadores la importancia de las iniciativas de gestión de riesgos. Estos incluyen el desarrollo e implementación de un marco de clasificación de datos sólido y la asignación de líderes clave para promover la iniciativa, a veces denominada embajadores o defensores del cambio.
Gobernanza y mantenimiento
Después de desarrollar e implementar el marco de clasificación de datos, la gobernanza y el mantenimiento continuos serán fundamentales para el éxito. Además de realizar un seguimiento de cómo se usan las etiquetas de confidencialidad en la práctica, deberá actualizar los requisitos de control en función de los cambios en las regulaciones, las prácticas líderes en ciberseguridad y la naturaleza del contenido que administre. Los esfuerzos de gobernanza y mantenimiento pueden incluir:
- Establecer un cuerpo de gobernanza dedicado a la clasificación de datos o agregar una responsabilidad de clasificación de datos a la carta de un cuerpo de seguridad de la información existente.
- Definición de roles y responsabilidades para los usuarios que supervisan la clasificación de datos.
- Establecer KPI para supervisar y medir el progreso.
- Seguimiento de las prácticas líderes en ciberseguridad y los cambios normativos.
- Desarrollo de procedimientos operativos estándar que admiten y aplican un marco de clasificación de datos.
Consideraciones del sector
Aunque los principios básicos para desarrollar un marco de clasificación de datos sólido son universales, los detalles de su marco dependerán de la naturaleza de su sector y de los factores de cumplimiento y seguridad únicos que sus datos demandan.
Por ejemplo, es posible que las empresas de servicios financieros deban considerar el cumplimiento de varios marcos normativos en función del ámbito de su negocio y de las regiones en las que operan. Las empresas de valores de la Estados Unidos deben cumplir con las normas de cuenta, como la Regla 17a-4(f) de la SEC o la Regla 4511 de FINRA, que abordan los requisitos relativos a la seguridad y retención de libros y registros. Del mismo modo, las empresas que operan en el Reino Unido deben considerar el cumplimiento de la FCA.
Los organismos gubernamentales se enfrentan a diversas regulaciones que rigen sus datos, que varían en función del territorio y la naturaleza de su trabajo. En el Estados Unidos, por ejemplo, las agencias gubernamentales y sus agentes que acceden a la información fiscal federal (FTI) están sujetos a IRS 1075, que tiene como objetivo minimizar el riesgo de pérdida, violación o uso indebido de la información fiscal federal.
Aunque las empresas de servicios financieros y las agencias gubernamentales se encuentran entre las organizaciones más reguladas del mundo, la mayoría de las empresas tienen consideraciones específicas del sector que deben tenerse en cuenta. Algunos ejemplos incluyen:
- Organizaciones del sector sanitario que garantizan el cumplimiento con HIPAA.
- Instituciones educativas, desde escuelas K-12 hasta universidades, gestionando el cumplimiento de FERPA.
- Fabricantes de medicamentos que trabajan para cumplir con las directrices de GxP en su país o región en torno a la seguridad de la información.
- Medios, minoristas y muchas otras empresas que se ocupan del cumplimiento del RGPD.
- Entrega y almacenamiento de contenido de entretenimiento, software e información que trata con CDSA.
- Seguridad de la información de la industria energética que cumple con el estándar NERC CIP.
Implementación del marco de clasificación de datos en Microsoft 365
Una vez que haya desarrollado el marco de clasificación de datos, el siguiente paso es la implementación. El portal de cumplimiento Microsoft Purview permite a los administradores detectar, clasificar, revisar y supervisar sus datos de acuerdo con su marco de clasificación de datos. Las etiquetas de confidencialidad se pueden usar para ayudar a proteger los datos mediante la aplicación de varias protecciones, como el cifrado y el marcado de contenido. Se pueden aplicar manualmente a los datos; de forma predeterminada, en función de la configuración de la directiva; o automáticamente, como resultado de una condición como la PII identificada.
Para organizaciones o organizaciones más pequeñas con un marco de clasificación de datos relativamente simplificado, puede ser suficiente crear una sola etiqueta de confidencialidad para cada uno de los niveles de clasificación de datos. En el ejemplo siguiente se muestra un nivel de clasificación de datos uno a uno para la asignación de etiquetas de confidencialidad:
| Etiqueta de clasificación | Etiqueta de confidencialidad | Configuración de la etiqueta | Publicado en |
|---|---|---|---|
| Irrestricto | Irrestricto | Aplicar pie de página "Sin restricciones" | Todos los usuarios |
| General | General | Aplicar pie de página "General" | Todos los usuarios |
Propina
Durante un piloto de protección de la información interna de Microsoft, hubo dificultades con la comprensión y el uso de la etiqueta "Personal". Los usuarios se confundieron en cuanto a si esto significaba PII o simplemente relacionado con un asunto personal. La etiqueta se ha cambiado a "non-business" para que sea más clara. En este ejemplo se muestra que la taxonomía no necesita ser perfecta desde el principio. Comience con lo que cree que es correcto, pilotéelo y ajuste la etiqueta en función de los comentarios si es necesario.
En el caso de las organizaciones más grandes con un alcance global o necesidades de seguridad de la información más complejas, es posible que esta relación uno a uno entre el número de niveles de clasificación de la directiva y el número de etiquetas de confidencialidad en el entorno de Microsoft 365 sea un desafío. Este desafío es especialmente cierto en organizaciones globales donde un nivel de clasificación de datos determinado, como "Restringido", puede tener una definición diferente o un conjunto diferente de controles en función de la región.
Para obtener más información sobre la implementación, consulte Descripción de la clasificación de datos y Información sobre las etiquetas de confidencialidad.
Referencias
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de