Ejemplo de política de Data Classification
1. Propósito de la Política de Data Classification
Explique por qué se debe realizar la clasificación de datos y qué beneficios debería aportar.
El propósito de esta política es establecer un marco para clasificar los datos basándose en su sensibilidad, valor y criticidad para la organización, de modo que los datos sensibles corporativos y de clientes puedan ser asegurados adecuadamente.
2. Alcance de la política
Defina los tipos de datos que deben ser clasificados y especifique quién es responsable de la correcta clasificación, protección y manejo de los datos.
Esta política se aplica a cualquier forma de datos, incluyendo documentos en papel y datos digitales almacenados en cualquier tipo de medio. Se aplica a todos los empleados de la organización, así como a los agentes externos autorizados para acceder a los datos.
3. Roles y Responsabilidades
Describa los roles y responsabilidades asociados con el esfuerzo de clasificación de datos. Los departamentos deben designar individuos que serán responsables de llevar a cabo las tareas asociadas con cada uno de los roles.
Responsabilidades del Data Owner
Propietario de los datos — La persona que es última responsable de los datos e información que se recopilan y mantienen por su departamento o división, generalmente un miembro de la alta dirección. El propietario de los datos deberá abordar lo siguiente:
- Revisión y categorización — Revise y categorice los datos e información recopilados por su departamento o división
- Asignación de etiquetas de Netwrix Data Classification — Asigne etiquetas de Netwrix Data Classification basadas en el nivel de impacto potencial de los datos
- Compilación de datos — Asegúrese de que los datos recopilados de múltiples fuentes se clasifiquen al menos con el nivel de clasificación más seguro de cualquier dato clasificado individualmente
- Coordinación de Netwrix Data Classification — Asegúrese de que los datos compartidos entre departamentos estén clasificados y protegidos de manera consistente
- Cumplimiento de la clasificación de datos (en conjunto con los custodios de datos) — Asegúrese de que la información con nivel de impacto alto y moderado esté protegida de acuerdo con las regulaciones y directrices federales o estatales
- Acceso a datos (en conjunto con los custodios de datos) — Desarrollar pautas de acceso a datos para cada etiqueta de clasificación de datos
Responsabilidades del Custodio de Datos
Custodios de datos — Técnicos del departamento de TI o, en organizaciones más grandes, de la oficina de Seguridad de la Información. Los custodios de datos son responsables de mantener y realizar copias de seguridad de los sistemas, bases de datos y servidores que almacenan los datos de la organización. Además, este rol es responsable de la implementación técnica de todas las reglas establecidas por los propietarios de los datos y de asegurar que las reglas aplicadas dentro de los sistemas funcionen. Algunas responsabilidades específicas de los custodios de datos incluyen:
- Control de acceso — Asegúrese de que se implementen, monitoreen y auditen los controles de acceso adecuados de acuerdo con las etiquetas de clasificación de datos asignadas por el propietario de los datos
- Informes de auditoría — Presente un informe anual a los propietarios de los datos que aborde la disponibilidad, integridad y confidencialidad de los datos clasificados
- Copias de seguridad de datos — Realice copias de seguridad regulares de los datos del estado
- Validación de datos — Valide periódicamente la integridad de los datos
- Restauración de datos — Restaure datos desde medios de respaldo
- Cumplimiento — Cumpla con los requisitos de datos especificados en las políticas de seguridad, estándares y directrices de la organización relacionados con la seguridad de la información y la protección de datos
- Monitorear actividad — Monitorear y registrar la actividad de datos, incluyendo información sobre quién accedió a qué datos
- Almacenamiento seguro — Cifre los datos sensibles en reposo mientras están almacenados; audite la actividad del administrador de la red de área de almacenamiento (SAN) y revise los registros de acceso regularmente
- Cumplimiento de la clasificación de datos (en conjunto con los propietarios de los datos) — Asegúrese de que la información con nivel de impacto alto y moderado esté protegida de acuerdo con las regulaciones y directrices federales o estatales
- Acceso a datos (en conjunto con los propietarios de los datos) — Desarrollar pautas de acceso a datos para cada etiqueta de clasificación de datos
Responsabilidades del Usuario de Datos
Usuario de datos — Persona, organización o entidad que interactúa con, accede, utiliza o actualiza datos con el fin de realizar una tarea autorizada por el propietario de los datos. Los usuarios de datos deben utilizar los datos de manera consistente con el propósito previsto y cumplir con esta política y todas las políticas aplicables al uso de datos.
4. Procedimiento de Data Classification
Describa cada procedimiento de Netwrix Data Classification paso a paso. Detalle quién realiza cada paso, cómo se evalúa la sensibilidad de los datos, qué hacer cuando los datos no encajan en una categoría establecida y así sucesivamente.
Ejemplo de un procedimiento detallado:
1. Los propietarios de los datos revisan cada pieza de información de la que son responsables y determinan su nivel de impacto general, de la siguiente manera:
- Si coincide con alguno de los tipos predefinidos de información restringida que se enumeran en el Apéndice A, el propietario de los datos le asigna un nivel de impacto general de “Alto”.
- Si no coincide con ninguno de los tipos predefinidos en el Apéndice A, el propietario de los datos debe determinar su tipo de información y niveles de impacto basándose en la orientación proporcionada en las Secciones 5 y 6 de este documento, y NIST 800-600 Volume 2. El más alto de los tres niveles de impacto es el nivel de impacto general.
- Si aún no se puede determinar el tipo de información y el nivel de impacto general, el propietario de los datos debe trabajar con los custodios de los datos para resolver la pregunta
2. El propietario de los datos asigna a cada pieza de datos una etiqueta de clasificación basada en el nivel de impacto general:
Nivel de impacto general | Etiqueta de clasificación |
|---|---|
|
Alto |
Restringido |
|
Moderado |
Confidencial |
|
Bajo |
Público |
3. El propietario de los datos registra la etiqueta de clasificación y el nivel de impacto general para cada pieza de datos en la tabla oficial de Netwrix Data Classification, ya sea en una base de datos o en papel.
4. Los custodios de datos aplican controles de seguridad apropiados para proteger cada pieza de datos de acuerdo con la etiqueta de clasificación y el nivel de impacto general registrado en la tabla oficial de Netwrix Data Classification.
Ejemplo de un procedimiento básico:
1. Los propietarios de datos revisan y asignan a cada pieza de datos que poseen un tipo de información basado en las categorías de NIST 800-600 Volume 1.
2. Los propietarios de los datos asignan a cada pieza de información un nivel de impacto potencial para cada uno de los objetivos de seguridad (confidencialidad, integridad, disponibilidad), utilizando la guía de la Sección 6 de este documento. El más alto de los tres es el nivel de impacto general.
3. Los propietarios de datos asignan a cada pieza de datos una etiqueta de clasificación basada en el nivel de impacto general:
Nivel de impacto general | Etiqueta de clasificación |
|---|---|
|
Alto |
Restringido |
|
Moderado |
Confidencial |
|
Bajo |
Público |
4. Los propietarios de datos registran el nivel de impacto y la etiqueta de clasificación para cada pieza de datos en la tabla de Netwrix Data Classification.
5. Los custodios de datos aplican controles de seguridad de la información a cada pieza de datos de acuerdo con su etiqueta de clasificación y nivel de impacto general.
5. Guía de Data Classification
Cree una tabla que describa cada tipo de activo de información que almacena la agencia, detalle el impacto de cada uno de los tres objetivos de seguridad y especifique los niveles de impacto y la clasificación que se asignará a cada tipo de activo.
Utilice esta tabla para determinar el nivel de impacto general y la etiqueta de clasificación para muchos activos de información comúnmente utilizados en la organización.
|
Documentos de Planificación del Presupuesto Federal |
|||
|
Los documentos de planificación del presupuesto federal indican los gastos potenciales para el siguiente año. Incluyen datos sobre socios y proveedores, así como información analítica e investigativa. |
|||
|
Tipos de información |
|||
|
Control de fondos |
Los documentos de Control de Fondos incluyen información sobre la gestión del proceso presupuestario federal, incluyendo el desarrollo de planes y programas de uso, presupuestos y resultados de rendimiento, así como información sobre la financiación de programas y operaciones federales a través de la asignación y distribución de autoridad de gasto directo y reembolsable, transferencias de fondos, inversiones y otros mecanismos. |
||
|
Objetivos de seguridad |
Impacto de la confidencialidad |
Impacto de la integridad |
Impacto de la Disponibilidad |
|
Descripción del impacto |
La divulgación no autorizada de información de control de fondos (particularmente asignaciones presupuestarias para programas específicos o elementos de programas) puede ser seriamente perjudicial para los intereses gubernamentales en los procesos de adquisición. En muchas instancias, tal divulgación no autorizada está prohibida por orden ejecutiva o por ley. La liberación prematura de borradores de información de control de fondos puede otorgar ventajas a intereses competidores y poner en grave peligro las operaciones de la agencia o incluso su misión. |
Las actividades de control de fondos generalmente no son críticas en cuanto al tiempo. La acumulación de pequeños cambios en los datos o la eliminación de entradas pequeñas puede resultar en déficits presupuestarios o casos de obligaciones o desembolsos excesivos. |
Los procesos de control de fondos generalmente toleran demoras. Por lo general, se espera que la interrupción del acceso a la información de control de fondos solo tenga un efecto adverso limitado en las operaciones de la agencia, los activos de la agencia o las personas. |
|
Nivel de impacto |
Moderado |
Moderado |
Bajo |
|
Nivel de Impacto General |
Moderado |
||
|
Etiqueta de Data Classification |
Confidencial |
||
6. Determinación del Nivel de Impacto
Proporcione una tabla que ayudará a los propietarios de los datos a determinar el nivel de impacto para cada pieza de datos describiendo los objetivos de seguridad que desea lograr y cómo el no alcanzar cada objetivo afectaría a la organización.
Utilice esta tabla para evaluar el impacto potencial en la empresa de una pérdida de la confidencialidad, integridad o disponibilidad de un activo de datos que no se incluya en ninguno de los tipos de información descritos en la Sección 5 y NIST 800-600 Volume 2.
|
Objetivo de seguridad |
Impacto potencial |
||
|
Bajo |
Moderado |
Alto |
|
|
Confidencialidad. Restrinja el acceso y la divulgación de datos a usuarios autorizados para proteger la privacidad personal y asegurar la información propietaria. |
Se espera que la divulgación no autorizada de la información tenga efectos adversos limitados en las operaciones, los activos organizacionales o las personas. |
Se espera que la divulgación no autorizada de la información tenga un grave efecto adverso en las operaciones, los activos organizacionales o las personas. |
Se espera que la divulgación no autorizada de la información tenga un efecto grave o catastrófico adverso en las operaciones, los activos organizacionales o las personas. |
|
Integridad. Protéjase contra la modificación o destrucción inapropiada de datos, lo que incluye garantizar la no repudiación y autenticidad de la información. |
Se espera que la modificación o destrucción no autorizada de la información tenga un efecto adverso limitado en las operaciones, activos o individuos. |
Se espera que la modificación o destrucción no autorizada de la información tenga un grave efecto adverso en las operaciones, activos o individuos. |
Se espera que la modificación o destrucción no autorizada de la información tenga un efecto adverso severo o catastrófico en las operaciones, activos o individuos. |
|
Disponibilidad. Asegure un acceso y uso de la información oportunos y confiables. |
Se espera que la interrupción del acceso o uso de la información o del sistema de información tenga un efecto adverso limitado en las operaciones, activos o individuos. |
Se espera que la interrupción del acceso o uso de la información o del sistema de información tenga un grave efecto adverso en las operaciones, activos o individuos. |
Se espera que la interrupción del acceso o uso de la información o del sistema de información tenga un efecto adverso severo o catastrófico en las operaciones, activos o individuos. |
7. Apéndice A
Describa los tipos de información que deben clasificarse automáticamente como “Restricted” y asignárseles un nivel de impacto de “High”. Tener esta lista facilitará el proceso de Netwrix Data Classification para los propietarios de los datos.
Tipos de información que deben clasificarse como “Restricted”
Información de autenticación
La información de autenticación es un dato utilizado para probar la identidad de un individuo, sistema o servicio. Ejemplos incluyen:
- Contraseñas
- Secretos compartidos
- Claves privadas criptográficas
- Tablas de hash
Información Electrónica Protegida de Salud (ePHI)
ePHI se define como cualquier información de salud protegida (PHI) que se almacena o transmite por medios electrónicos. Los medios electrónicos incluyen discos duros de computadoras, así como medios removibles o transportables, como una cinta magnética o disco, disco óptico o tarjeta de memoria digital.
La transmisión es el movimiento o intercambio de información en forma electrónica. Los medios de transmisión incluyen internet, una extranet, líneas arrendadas, líneas telefónicas, redes privadas y el movimiento físico de medios de almacenamiento electrónico removibles o transportables.
Información de la Tarjeta de Pago (PCI)
La información de la tarjeta de pago se define como el número de tarjeta de crédito en combinación con uno o más de los siguientes elementos de datos:
- Nombre del titular de la tarjeta
- Código de servicio
- Fecha de caducidad
- Valor de CVC2, CVV2 o CID
- PIN o bloqueo de PIN
- Contenido de la banda magnética de una tarjeta de crédito
Información Personal Identificable (PII)
La información de identificación personal (PII) se define como el nombre o la inicial del nombre y el apellido de una persona en combinación con uno o más de los siguientes elementos de datos:
- Número de seguridad social
- Número de licencia de conducir emitido por el estado
- Número de tarjeta de identificación emitida por el estado
- Número de cuenta financiera en combinación con un código de seguridad, código de acceso o contraseña que permitiría el acceso a la cuenta
- Información de seguros médicos y/o de salud
8. Historial de revisiones
Asegúrese de rastrear todos los cambios en su política de Netwrix Data Classification.
Versión | Publicado | Autor | Descripción |
|---|---|---|---|
|
0.1 |
01/01/2018 |
John Smith |
Original |
Preguntas frecuentes sobre Data Classification
1. ¿Qué es una política de clasificación de datos y por qué es importante?
Una política de clasificación de datos define cómo una organización identifica y categoriza su información basándose en la sensibilidad, el valor y los requisitos regulatorios. Este proceso ayuda a asegurar que los datos sensibles, como los registros de clientes, la información financiera y la propiedad intelectual, estén debidamente protegidos, gestionados y sean accesibles solo para el personal autorizado. También juega un papel crítico en el cumplimiento de obligaciones normativas como el GDPR, HIPAA y otras.
Para comprender mejor los fundamentos y aprender cómo construir una estrategia efectiva, lea nuestra publicación: Data Classification: What It Is and How to Implement It. Esta publicación lo guiará a través del proceso de clasificación, los beneficios clave y consejos prácticos para la implementación.
2. ¿Quién es responsable de la Netwrix Data Classification en una organización?
Por lo general, los propietarios de los datos, los custodios y los usuarios comparten la responsabilidad. Los propietarios de los datos determinan los niveles de clasificación, los custodios hacen cumplir los controles y los usuarios deben seguir los procedimientos de manejo.
3. ¿Cuáles son los niveles de clasificación de datos más comunes?
La mayoría de las organizaciones utilizan de tres a cuatro niveles, tales como:
- Público – Información no sensible
- Confidencial – Datos internos de la empresa
- Restringido – Datos altamente sensibles o regulados
- Top Secret – Información crítica y rara (para algunos sectores)
4. ¿Cómo determino el nivel de impacto de un activo de datos?
Evalúe las posibles consecuencias de una violación de la confidencialidad, integridad o disponibilidad utilizando una escala baja, moderada o alta. La calificación individual más alta generalmente determina el nivel de impacto general.
5. ¿Con qué frecuencia se debe revisar o actualizar una política de clasificación de datos?
Como mínimo, las políticas deben revisarse anualmente o cuando haya un cambio organizativo o regulatorio importante. Un historial de revisiones claro ayuda a rastrear las actualizaciones.
Compartir en