Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A medida que desarrolle, actualice o refine el marco de clasificación de datos, tenga en cuenta las siguientes prácticas principales:
No esperes pasar de 0 a 100 el día 1: Microsoft recomienda un enfoque de rastreo y ejecución, priorizando las características críticas para la organización y mapeándolas con una escala de tiempo. Complete el primer paso, asegúrese de que se ha realizado correctamente y, a continuación, pase a la siguiente fase aplicando las lecciones aprendidas. Recuerde que es posible que su organización todavía esté expuesta a riesgos mientras diseña el marco de clasificación de datos, por lo que está bien empezar con unos pocos niveles de clasificación y expandirlo más adelante según sea necesario.
No solo está escribiendo para profesionales de ciberseguridad: los marcos de clasificación de datos están diseñados para un público amplio, incluidos el miembro medio del personal, los equipos legales y de cumplimiento, y el equipo de TI. Escriba definiciones claras y fáciles de entender para los niveles de clasificación de datos, lo que proporciona ejemplos del mundo real siempre que sea posible. Intente evitar la jerga y considere la posibilidad de elaborar un glosario de acrónimos y términos muy técnicos. Por ejemplo, use "Información de identificación personal" y proporcione una definición en lugar de simplemente decir "PII".
Los marcos de clasificación de datos están diseñados para implementarse: para que los marcos de clasificación de datos sean correctos, deben implementarse. Este punto es especialmente relevante al diseñar los requisitos de control para cada nivel de clasificación de datos. Asegúrese de que los requisitos están claramente definidos y que anticipan y abordan cualquier ambigüedad que pueda surgir durante la implementación. Por ejemplo, si tiene un control sobre la información de identificación personal, asegúrese de escribir exactamente lo que significa ese control, como el seguro social o el número de pasaporte.
Solo se granular si es necesario: los marcos de clasificación de datos suelen contener entre tres y cinco niveles de clasificación de datos. Pero que pueda incluir cinco niveles no significa que deba hacerlo. Tenga en cuenta los siguientes criterios al decidir el número de niveles de clasificación que necesita:
- Su sector y sus obligaciones normativas asociadas (los sectores altamente regulados tienden a necesitar más niveles de clasificación)
- Sobrecarga operativa necesaria para mantener un marco más complejo
- Los usuarios y su capacidad de cumplir con el aumento de complejidad y matices asociados con más niveles de clasificación
- Experiencia del usuario y accesibilidad al intentar aplicar la clasificación manual en varios tipos de dispositivos
Involucrar a las personas adecuadas: tener una parte interesada de alto nivel es fundamental para el éxito, ya que muchos proyectos tienen dificultades para iniciarse o tardar más tiempo sin el respaldo de la administración sénior. Los equipos de tecnología de la información suelen poseer marcos de clasificación de datos, pero estos marcos pueden tener implicaciones legales, de cumplimiento, de privacidad y de administración de cambios. Para asegurarse de que está creando un marco que ayude a proteger su negocio, incluya la privacidad y las partes interesadas legales, como el Director de Privacidad y la Oficina de Asesoramiento General en el desarrollo de su política. Si su organización tiene una división de cumplimiento, profesionales de gobernanza de la información o un equipo de administración de registros, es posible que también tengan entradas valiosas. A medida que el marco se implementa en la empresa, el departamento de comunicaciones también tiene un rol clave que desempeñar para la mensajería interna y la adopción.
Equilibrar la seguridad frente a la comodidad: un error común es redactar un marco de clasificación de datos seguro pero demasiado restrictivo. Este marco podría diseñarse teniendo en cuenta la seguridad, pero a menudo es difícil de implementar en la práctica. Si los usuarios necesitan seguir procedimientos complejos, rígidos y lentos para aplicar el marco en su vida diaria, siempre existe el riesgo de que dejen de seguir los procedimientos porque ya no creen en su valor. Este riesgo existe en todos los niveles de la organización, incluidos los directivos de nivel ejecutivo (C-suite) dentro de la organización. Un buen equilibrio entre seguridad y comodidad junto con herramientas fáciles de usar suele conducir a una mayor adopción y uso por parte de los usuarios. Si hay lagunas en su marco, no espere a que todo esté perfecto para empezar a implementarlo. En su lugar, evalúe el riesgo o la brecha, cree un plan para mitigarlo y continúe avanzando. Recuerde que la protección de la información es un recorrido, no es algo que se activa de la noche a la mañana y luego se realiza. Planificar, implementar algunas capacidades, confirmar el éxito y repetir hasta el siguiente hito a medida que las herramientas evolucionan y los usuarios adquieren madurez y experiencia.
Tenga en cuenta también que un marco de clasificación de datos solo aborda lo que su organización debe hacer para proteger los datos confidenciales. Los marcos de clasificación de datos suelen ir acompañados de reglas o directrices de control de datos que definen cómo aplicar estas directivas desde una perspectiva técnica y tecnológica. En las secciones siguientes, pasamos a algunas instrucciones prácticas sobre cómo llevar el marco de clasificación de datos de un documento de directiva a una iniciativa totalmente implementada y accionable.
Puntos problemáticos en la creación de un marco de clasificación de datos
Los esfuerzos de clasificación de datos tocan casi todas las funciones empresariales dentro de una empresa. Debido a este amplio ámbito y a la complejidad de la administración de contenido en entornos digitales modernos, las empresas a menudo se enfrentan a desafíos para saber dónde empezar, cómo administrar una implementación correcta y cómo medir su progreso. Los puntos de dolor comunes a menudo incluyen:
- Diseño de un marco de clasificación de datos sólido y fácil de entender, incluida la determinación de los niveles de clasificación y los controles de seguridad asociados.
- Desarrollar un plan de implementación que incluya la confirmación de la solución tecnológica adecuada, alinear el plan con los procesos empresariales existentes e identificar el impacto en el personal.
- Configurar un marco de clasificación de datos dentro de la solución tecnológica elegida y abordar las brechas entre las capacidades tecnológicas de la herramienta y el propio marco.
- Establecer una estructura de gobernanza que supervise el mantenimiento y el mantenimiento continuos de los esfuerzos de clasificación de datos.
- Identificación de indicadores clave de rendimiento (KPI) específicos para supervisar y medir el progreso.
- Aumentar el conocimiento y la comprensión de las directivas de clasificación de datos, por qué son importantes y cómo cumplirlas.
- Cumplir con las revisiones de auditoría internas destinadas a los controles de ciberseguridad y pérdida de datos.
- Capacitar y involucrar a los usuarios para que sean conscientes de la necesidad de una clasificación correcta en su trabajo diario y apliquen las medidas de clasificación adecuadas.
Administración y entrenamiento de cambios
Actualmente, las organizaciones usan herramientas como Microsoft 365 para implementar su marco de clasificación de datos. El propósito es intentar automatizar la clasificación de los datos y no aumentar la carga de trabajo. Esta estructura no significa que su organización no tenga la responsabilidad de aumentar el conocimiento de la necesidad de administrar el contenido y proteger a la organización de los riesgos descritos en este documento. La práctica principal sigue siendo llevar a cabo la formación de concienciación en toda la organización como parte de la programación de capacitación anual. Nuestra experiencia demuestra que poner un esfuerzo sólido y completo en la formación de los usuarios, que son el público clave que realiza este trabajo, aumenta su "participación" en el esfuerzo y puede aumentar la adopción y la calidad. Agregar recomendaciones de etiquetas y sugerencias desde la aplicación puede ampliar estos esfuerzos. Este entrenamiento no tiene que ser un curso independiente extenso. Su organización puede incorporarlo a otro entrenamiento normal, como el entrenamiento anual de seguridad de la información, e incluir una introducción a los niveles y definiciones de clasificación de datos. El punto principal es que los empleados entienden que, aunque la herramienta automatiza la clasificación de datos, esto no elimina la responsabilidad general de cada usuario de proteger los datos de acuerdo con la directiva de su empresa.
Además, debe tener en cuenta una formación más detallada para los equipos de TI y seguridad de la información para reforzar la preparación operativa. Los equipos que administran la herramienta y el marco de clasificación de datos deben estar en la misma página. Esta coordinación podría requerir que invierta en un programa de entrenamiento más sólido que podría ser más frecuente que anualmente. La inversión en formación más frecuente representa otra vía para reducir el riesgo para su organización. Este equipo es responsable de la implementación y, por lo tanto, podría ser un punto de error si no se entrena en la herramienta y la directiva.
Si necesita etiquetar manualmente el contenido de la herramienta, es adecuado desarrollar un grupo de superusuarios que reciban entrenamiento más avanzado. Estos superusuarios se involucran en situaciones en las que los usuarios tienen que etiquetar manualmente documentos con etiquetas de confidencialidad de datos y comprender en profundidad el marco de clasificación de datos y los requisitos normativos de su organización.
Por último, su liderazgo debe priorizar la defensa de los comportamientos de seguridad de la información para reforzar a los trabajadores la importancia de las iniciativas de gestión de riesgos. Estos comportamientos incluyen el desarrollo e implementación de un marco de clasificación de datos sólido y la asignación de líderes clave para promover la iniciativa, a veces conocida como embajadores o defensores del cambio.
Gobernanza y mantenimiento
Después de desarrollar e implementar el marco de clasificación de datos, la gobernanza y el mantenimiento continuos son fundamentales para el éxito. Además de realizar un seguimiento de cómo se usan las etiquetas de confidencialidad en la práctica, debe actualizar los requisitos de control en función de los cambios en las regulaciones, las prácticas líderes en ciberseguridad y la naturaleza del contenido que administra. Los esfuerzos de gobernanza y mantenimiento pueden incluir:
- Establecer un órgano de gobierno dedicado a la clasificación de datos o añadir una responsabilidad de clasificación de datos a los estatutos de un organismo de seguridad de la información ya existente.
- Definir roles y responsabilidades de los usuarios que supervisan la clasificación de datos.
- Establecer KPI para supervisar y medir el progreso.
- Realizar un seguimiento de las principales prácticas de ciberseguridad y de los cambios normativos.
- Desarrollo de procedimientos operativos estándar que admiten y aplican un marco de clasificación de datos.
Consideraciones del sector
Aunque los principios básicos para desarrollar un marco de clasificación de datos sólido son universales, los detalles de su marco dependen de la naturaleza de su sector y de los factores de cumplimiento y seguridad únicos que sus datos demandan.
Por ejemplo, es posible que las empresas de servicios financieros deban considerar el cumplimiento de varios marcos normativos en función del ámbito de su negocio y de las regiones en las que operan. Las empresas de valores de la Estados Unidos deben cumplir con las normas de cuenta, como la Regla 17a-4(f) de la SEC o la Regla 4511 de FINRA, que abordan los requisitos relativos a la seguridad y retención de libros y registros. Del mismo modo, las empresas que operan en el Reino Unido deben considerar el cumplimiento de la FCA.
Los organismos gubernamentales se enfrentan a diversas regulaciones que rigen sus datos, que varían en función del territorio y la naturaleza de su trabajo. En el Estados Unidos, por ejemplo, las agencias gubernamentales y sus agentes que acceden a la información fiscal federal (FTI) están sujetos a IRS 1075, que tiene como objetivo minimizar el riesgo de pérdida, violación o uso indebido de la información fiscal federal.
Aunque las empresas de servicios financieros y las agencias gubernamentales se encuentran entre las organizaciones más reguladas del mundo, la mayoría de las empresas tienen consideraciones específicas del sector que debe tener en cuenta. Algunos ejemplos incluyen:
- Organizaciones del sector sanitario que garantizan el cumplimiento con HIPAA.
- Instituciones educativas, desde escuelas K-12 hasta universidades, gestionando el cumplimiento de FERPA.
- Fabricantes de medicamentos que trabajan para cumplir con las directrices de GxP en su país o región en torno a la seguridad de la información.
- Medios, minoristas y muchas otras empresas que se ocupan del cumplimiento del RGPD.
- Entrega y almacenamiento de contenido de entretenimiento, software e información que trata con CDSA.
- Seguridad de la información de la industria energética que cumple con el estándar NERC CIP.
Implementación del marco de clasificación de datos en Microsoft 365
Después de desarrollar el marco de clasificación de datos, impórelo. El portal de Microsoft Purview permite a los administradores detectar, clasificar, revisar y supervisar sus datos según su marco de clasificación de datos. Use etiquetas de confidencialidad para proteger los datos mediante la aplicación de protecciones como el cifrado y el marcado de contenido. Puede aplicar etiquetas de confidencialidad a los datos manualmente, de forma predeterminada en función de la configuración de directiva o automáticamente cuando se cumpla una condición como pii identificada.
Para organizaciones más pequeñas o organizaciones con un marco de clasificación de datos optimizado, puede ser suficiente crear una sola etiqueta de confidencialidad para cada nivel de clasificación de datos. En el ejemplo siguiente se muestra un nivel de clasificación de datos uno a uno para la asignación de etiquetas de confidencialidad:
| Etiqueta de clasificación | Etiqueta de confidencialidad | Configuración de la etiqueta | Publicado para |
|---|---|---|---|
| Sin restricciones | Sin restricciones | Aplicar el pie de página "Sin restricciones" | Todos los usuarios |
| General | General | Aplicar el pie de página "General" | Todos los usuarios |
Sugerencia
Durante un piloto de protección de información interna de Microsoft, los usuarios tenían dificultades para entender y usar la etiqueta "Personal". Se confundieron sobre si esta etiqueta hacía referencia a pii o a un asunto personal. Para que la etiqueta sea más clara, cámbiela a "no empresarial". En este ejemplo se muestra que la taxonomía no tiene que ser perfecta desde el principio. Comience con lo que cree que es correcto, pilote la etiqueta y ajuste la etiqueta en función de los comentarios si es necesario.
En el caso de las organizaciones más grandes con un alcance global o necesidades de seguridad de la información más complejas, es posible que esta relación uno a uno entre el número de niveles de clasificación de la directiva y el número de etiquetas de confidencialidad en el entorno de Microsoft 365 sea un desafío. Este desafío es especialmente cierto en organizaciones globales en las que un nivel de clasificación de datos determinado, como "Restringido", podría tener una definición diferente o un conjunto diferente de controles en función de la región.
Para obtener más información sobre la implementación, consulte Descripción de la clasificación de datos y Información sobre las etiquetas de confidencialidad.