Clasificación de datos & taxonomía de etiquetas de confidencialidad

Los datos confidenciales suponen un riesgo significativo para una empresa si son robados, compartidos involuntariamente o expuestos a través de una infracción. Los factores de riesgo incluyen daños reputacionales, impacto financiero y pérdida de ventaja competitiva. La protección de los datos y la información que administra su empresa es una prioridad máxima para su organización, pero es posible que le resulte difícil saber si sus esfuerzos son realmente eficaces, dada la cantidad de contenido que tiene la empresa.

Además del volumen, el contenido puede tener una importancia desde alta sensibilidad e impacto hasta trivial y transitorio. También puede estar bajo el control de varios requisitos de cumplimiento normativo. Saber qué priorizar y dónde aplicar controles puede ser un desafío. Siga leyendo para obtener información sobre la clasificación de datos, una herramienta importante para proteger su contenido frente a robos, sabotajes o destrucción involuntaria, y cómo Microsoft 365 puede ayudarle a cumplir sus objetivos de seguridad de la información.

¿Qué es la clasificación de datos?

La clasificación de datos es un término especializado que se usa en los campos de ciberseguridad y gobernanza de la información para describir el proceso de identificación, categorización y protección del contenido según su nivel de sensibilidad o impacto. En su forma más básica, la clasificación de datos es un medio para proteger sus datos de la divulgación, alteración o destrucción no autorizadas en función de su sensibilidad o impacto.

¿Qué es un marco de clasificación de datos?

A menudo codificado en una directiva formal de toda la empresa, un marco de clasificación de datos (a veces denominado "directiva de clasificación de datos") normalmente se compone de entre 3 y 5 niveles de clasificación. Normalmente, incluyen tres elementos: un nombre, una descripción y ejemplos del mundo real. Microsoft recomienda no más de cinco etiquetas primarias de nivel superior, cada una con cinco subetiquetas (25 en total) para mantener la interfaz de usuario (UI) manejable. Los niveles suelen organizarse de menos a más confidenciales, como Public, Internal, Confidential y HighlyConfidential. Otras variaciones de nombre de nivel que puede encontrar incluyen Restricted, Unrestricted y Consumer Protected. Microsoft recomienda nombres de etiqueta que sean autodescriptivas y que resalten su sensibilidad relativa claramente. Por ejemplo, Confidencial y Restringido pueden dejar que los usuarios adivinen qué etiqueta es adecuada, mientras que Confidencial y Altamente confidencial son más claras en las que es más confidencial.

En la tabla siguiente se muestra un ejemplo de un nivel de marco de trabajo de clasificación de datos altamente confidencial :

Nivel de clasificación Descripción Ejemplos
Extremadamente confidencial Los datos altamente confidenciales son el tipo de datos más confidenciales almacenados o administrados por la empresa y pueden requerir notificaciones legales si se vulneran o se divulgan de otro modo.

Los datos restringidos requieren el mayor nivel de control y seguridad, y el acceso debe limitarse a la "necesidad de conocer".
Información confidencial de identificación personal (PII confidencial)
Datos de titulares de tarjetas
Información de salud protegida (PHI)
Datos de cuentas bancarias

Sugerencia

El marco de clasificación de datos corporativos de Microsoft usó originalmente una categoría y una etiqueta denominadas "Interno" durante la fase piloto, pero encontró que había razones legítimas para que un documento se compartiese externamente y pasara a usar "General".

Otro componente importante de un marco de clasificación de datos son los controles asociados a cada nivel. Los niveles de clasificación de datos por sí mismos son simplemente etiquetas (o etiquetas) que indican el valor o la confidencialidad del contenido. Para proteger ese contenido, los marcos de clasificación de datos definen los controles que deben existir para cada uno de los niveles de clasificación de datos. Estos controles pueden incluir requisitos relacionados con:

  • Tipo de almacenamiento y ubicación
  • Cifrado
  • Control de acceso
  • Destrucción de datos
  • Prevención de pérdida de datos
  • Divulgación pública
  • Registro y seguimiento del acceso
  • Otros objetivos de control, según sea necesario

Los controles de seguridad variarán según el nivel de clasificación de datos, de modo que las medidas de protección definidas en el marco aumenten en consonancia con la confidencialidad del contenido. Por ejemplo, los requisitos de control de almacenamiento de datos variarán en función de los medios que se usen, así como del nivel de clasificación aplicado a un determinado fragmento de contenido. En la tabla siguiente se muestra un ejemplo de controles de clasificación de datos para un tipo de almacenamiento específico:

Tipo de almacenamiento Confidencial Interna Irrestricto
Almacenamiento extraíble Prohibido Prohibido a menos que se cifre No se requiere ningún control

Aplicar correctamente el nivel correcto de clasificación de datos puede ser complejo en situaciones de la vida real y, a veces, puede sobrecargar a los usuarios finales. Una vez creada una directiva o estándar que define los niveles necesarios de clasificación de datos, es importante guiar a los usuarios finales sobre cómo dar vida a este marco en su trabajo diario. En esta área se incluyen las reglas o directrices de control de clasificación de datos.

Las directrices de control de clasificación de datos ayudarán a los usuarios finales con instrucciones específicas sobre cómo controlar cada nivel de datos de forma adecuada para los distintos medios de almacenamiento a lo largo de su ciclo de vida. Estas directrices ayudan a los usuarios finales a aplicar correctamente las reglas en la práctica, por ejemplo, al compartir documentos, enviar correos electrónicos o colaborar en distintas plataformas y organizaciones.

Los clientes de Microsoft indican que aproximadamente el 50 % de un proyecto de Information Protection está centrado en la empresa en lugar de en lo técnico, por lo que la formación y la comunicación del usuario final son fundamentales para el éxito.