TL;DR: Una política de clasificación de datos categoriza la información de su empresa según el riesgo que su exposición supone para su organización. Este artículo cubre tres categorías esenciales que debe incluir y describe los pasos que puede dar para implementar estas políticas. Una clasificación eficaz de la información mejora las operaciones, ahorra dinero y le prepara para cumplir los requisitos de la normativa. Y es simplemente una buena higiene de seguridad. ¿Quiere saber más? Siga leyendo.
Una política de clasificación de datos categoriza la información de su empresa en función del riesgo que su exposición supone para su organización. A través de esta política, definirá cómo deben clasificarse los datos de la empresa en función de su sensibilidad y, a continuación, creará políticas de seguridad adecuadas a cada clase.
La clasificación de los datos suele incluir tres categorías: Datos confidenciales, internos y públicos. Limitar su política a unos pocos tipos sencillos facilitará la clasificación de toda la información que posee su organización, de modo que pueda centrar los recursos en la protección de su información más crítica.
el Programa de Seguridad de la Información del Cliente informando de los servidores restringidos a la Oficina de Seguridad de la Información de EITS. Las páginas web de la Universidad que se utilicen para recoger datos restringidos deben incluir un enlace
Los sistemas deberán cumplir con los requisitos de seguridad indicados en las Normas Mínimas de Seguridad para Dispositivos Sensibles. No se permite el almacenamiento de datos PAN de tarjetas de crédito/débito. No se permite el almacenamiento de datos restringidos en dispositivos de propiedad personal.
evitar la entrada no autorizada. Los números de la Seguridad Social no se imprimirán en ninguna tarjeta necesaria para acceder a los servicios. No se establecerán nuevos procesos que requieran la impresión del SSN en los materiales enviados por correo
La Publicación Especial 800-122 del Instituto Nacional de Estándares y Tecnología[5] define la información de identificación personal como “cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que pueda utilizarse para distinguir o rastrear la identidad de un individuo, como el nombre, el número de la seguridad social, la fecha y el lugar de nacimiento, el nombre de soltera de la madre o los registros biométricos; y (2) cualquier otra información que esté vinculada o sea vinculable a un individuo, como la información médica, educativa, financiera y laboral”. Por ejemplo, la dirección IP de un usuario no se clasifica como IIP por sí sola, pero sí como IIP vinculada[6].
El GDPR define los datos personales como “cualquier información relacionada con una persona física identificada o identificable”[7][5] La dirección IP de un abonado a Internet puede clasificarse como datos personales[8].
El concepto de IPI se ha convertido en algo habitual, ya que la tecnología de la información e Internet han facilitado la recogida de IPI, lo que ha dado lugar a un mercado rentable de recogida y reventa de IPI. La IPI también puede ser explotada por los delincuentes para acechar o robar la identidad de una persona, o para ayudar en la planificación de actos delictivos. Como respuesta a estas amenazas, las políticas de privacidad de muchos sitios web abordan específicamente la recopilación de IIP,[9] y los legisladores, como el Parlamento Europeo, han promulgado una serie de leyes como el Reglamento General de Protección de Datos (RGPD) para limitar la distribución y la accesibilidad de la IIP[10].
Imagine que es el CISO de una organización de 10.000 personas en la que los usuarios crean millones de archivos y correos electrónicos cada día. Parte de esa información es altamente sensible: si se filtra o es robada, se enfrenta a una brecha en los titulares y a sanciones de siete cifras. Sin embargo, la mayoría de los datos creados cada día podrían publicarse en la primera página del Times sin ningún incidente.
Puede ser prácticamente imposible priorizar la mitigación de riesgos o cumplir con las leyes de privacidad cuando no se sabe qué información requiere una protección de grado militar. Ahí es donde entra en juego la clasificación de datos.
La clasificación de datos ayuda a las organizaciones a responder a preguntas importantes sobre sus datos que informan sobre cómo mitigar el riesgo y gestionar las políticas de gobernanza de datos. Puede indicarle dónde almacena sus datos más importantes o qué tipos de datos sensibles crean sus usuarios con más frecuencia. La clasificación exhaustiva de los datos es necesaria (pero no suficiente) para cumplir con la normativa moderna sobre privacidad de datos.
Para cumplir con las normativas de privacidad de datos, las organizaciones suelen poner en marcha proyectos de clasificación para descubrir cualquier información personal identificable (PII) en sus almacenes de datos, de modo que pueda demostrar a los auditores que están correctamente gobernados.