¿Qué es la clasificación de datos?

La clasificación de datos es un método para definir y categorizar los archivos y otra información empresarial clave. Se usa principalmente en grandes organizaciones para crear sistemas de seguridad que siguen estrictas normativas de cumplimiento, pero también se puede usar en entornos reducidos. El uso más importante de la clasificación de datos es comprender la sensibilidad de la información almacenada para crear las herramientas adecuadas de ciberseguridad, controles de acceso y monitorización.

La clasificación es el proceso de categorizar los activos de datos basándose en la sensibilidad de la información. Mediante la clasificación de datos, las organizaciones pueden determinar dos elementos clave:

• Quién debe tener autorización para acceder a esta.
• Qué políticas de protección aplicar al almacenarla y transferirla.

La clasificación también ayuda a determinar los estándares normativos aplicables para proteger los datos. En general, la clasificación ayuda a las organizaciones a gestionar mejor sus datos para propósitos de privacidad, cumplimiento y ciberseguridad.

Todas las organizaciones deben clasificar los datos que crean, gestionan y almacenan. Pero es aún más importante para entornos de grandes empresas. Esto es porque las grandes empresas tienen activos de datos distribuidos entre múltiples ubicaciones, incluyendo en la nube.

Los administradores deben hacer seguimiento y auditar esta información para garantizar que tenga los controles de acceso y autenticación adecuados. La clasificación de datos permite a los administradores identificar las ubicaciones en donde se almacenan datos delicados y determinar cómo se debe acceder y compartir estos datos.

La clasificación es un primer paso fundamental para cumplir con casi cualquier normativa de conformidad de datos. HIPAA, RGPD, FERPA y otros organismos reguladores gubernamentales exigen que los datos se etiqueten para que los controles de seguridad y autenticación puedan limitar el acceso. El etiquetado de datos ayuda a organizar y proteger la información. El ejercicio también reduce la duplicación innecesaria de datos, reduce los costes de almacenamiento, incrementa el rendimiento y hace posible registrarlo cuando se comparte.

La clasificación de datos es la base de unas políticas eficaces para protección de datos y reglas para la prevención de pérdida de datos (DLP). Para tener unas reglas de DLP eficaces, primero se deben clasificar sus datos para asegurarse de conocer bien los datos almacenados en cada archivo.

Cualquier dato almacenado se puede clasificar en categorías. Para clasificar sus datos, es necesario formular diversas preguntas a medida que se va descubriendo y revisando. Use las siguientes preguntas de ejemplo al revisar cada sección de sus datos:

• ¿Qué información almacena para sus clientes, empleados y proveedores?
• ¿Qué tipos de datos crea la organización al generar un nuevo registro?
• ¿Qué tan sensibles son los datos en una escala numérica (¿p. ej. 1-10, donde 1 indica la mayor sensibilidad?)
• ¿Quién debe acceder a estos datos para seguir operando con productividad?

Usando estas preguntas, es posible definir categorías generales para sus datos, por ejemplo:

• Alta sensibilidad: Estos datos deben ser protegidos y monitorizados para protegerlos contra agentes de amenaza. Con frecuencia quedan sujetos a las normativas de cumplimiento como información que requiere de estrictos controles de acceso y que también minimice la cantidad de usuarios que pueden acceder a los datos.
• Sensibilidad intermedia: Los archivos y datos que no se pueden revelar al público, pero que si sufriesen de una filtración no implicarían un nivel de riesgo significativo, se podrían considerar de riesgo intermedio. Requieren de controles de acceso, al igual que los datos altamente sensibles, pero una gama más amplia de usuarios puede acceder a estos.
• Baja sensibilidad: Estos datos típicamente constan de información pública que no requiere de mucha seguridad para protegerla de una filtración de datos.

La clasificación de datos colabora estrechamente con otras tecnologías para proteger y gobernar mejor los datos. Si la organización sufre una vulneración de datos, la clasificación de datos ayuda a los administradores a identificar datos perdidos y potencialmente ayuda a rastrear al cibercriminal.

Aquí mencionamos algunas técnicas de clasificación de datos:

• Gestión de acceso a la identidad (IAM): Las herramientas de IAM permiten a los administradores determinan quién y qué puede acceder a los datos. Los usuarios con permisos similares se pueden agrupar. Los grupos reciben niveles de autorización y se gestionan como una unidad individual. Cuando un usuario se va, al usuario se le puede eliminar del grupo, lo que elimina todos los permisos de dicho usuario. Este tipo de reagrupación y organización optimiza la gestión de permisos en toda la red.
• Cifrado de datos: Ciertos activos de datos deben estar cifrados tanto en reposo como en movimiento. Los datos “en reposo” se almacenan en cualquier dispositivo de almacenamiento, típicamente en un disco duro. Los datos “en movimiento” son aquellos que se transfieren a través de una red. El cifrado de datos los vuelve ilegibles para cualquier atacante que logre interceptarlos.
• Automatización: La automatización funciona mano a mano con herramientas de monitorización para hallar, clasificar y etiquetar datos para su revisión administrativa. Algunas herramientas integran la inteligencia artificial (IA) y el aprendizaje automático (ML) para detectar, etiquetar y clasificar datos automáticamente. Las tecnologías también pueden ayudar a identificar amenazas que podrían usarse para robarla. Con los datos etiquetados, los administradores pueden usar la IAM para aplicar permisos y evitar que ciertas amenazas específicas obtengan acceso a datos almacenados.
• Análisis forense de datos: El análisis forense es el proceso de identificar qué fue lo que salió mal y quién vulneró a la red. Después de una filtración de datos, el análisis forense de datos se encarga de recopilar y preservar evidencia para continuar con las investigaciones. El análisis forense de datos generalmente es un proceso de dos partes. Primero, las herramientas de automatización recopilan los datos; después, un analista humano identifica las anomalías y las investiga.

Mediante estos niveles, podrá clasificar mejor sus datos. La clasificación de datos se suele dividir en cuatro categorías:

Datos públicos

Los datos están disponibles al público, ya sea localmente o por internet. Los datos públicos requieren un nivel bajo de seguridad, porque su revelación no vulneraría los requisitos de cumplimiento.

Datos de uso interno únicamente

Memorandos, propiedad intelectual y mensajes de correo electrónico son algunos ejemplos de datos que deben estar restringidos a empleados internos.

Datos confidenciales

La diferencia entre los datos de uso interno únicamente y los confidenciales es que los confidenciales requieren de autorización para su acceso. Usted puede asignarle autorización a empleados específicos o a proveedores externos autorizados.

Datos restringidos

Los datos restringidos suelen estar relacionados con información gubernamental a la que solo pueden acceder individuos autorizados. La revelación de datos restringidos puede causar daños irreparables a la reputación e ingresos corporativos.

Antes de comenzar con una revisión de clasificación de datos, Proofpoint y su organización deben estar en la misma página. Al comienzo de la revisión, Proofpoint y su organización crean una lista de activos para definir sus categorías de negocio. Por ejemplo, a lo mejor tiene archivos en los que almacena datos de tecnología, financieros y de los clientes. La definición de categorías alinea sus requerimientos de seguridad con sus datos.

Este paso también implica el aplicar los niveles de clasificación de datos definidos en la sección anterior. Para cada categoría, es probable que tenga diferentes niveles de datos para cada grupo de archivos. Este primer paso crea una base para todo el proceso de clasificación de datos.

Cuando decida que es momento de clasificar datos para cumplir con los estándares de conformidad, el primer paso es implementar procedimientos para asistir con la ubicación y clasificación de datos, así como para determinar las medidas de ciberseguridad adecuadas. La ejecución de cada procedimiento depende de los estándares de conformidad de su organización y de la infraestructura que mejor proteja a los datos. Los pasos generales para clasificar datos son:

• Ejecutar una evaluación de riesgos: Una evaluación de riesgos determina la sensibilidad de los datos e identifica cómo un atacante podría vulnerar las defensas de la red.
• Desarrollar políticas y estándares de clasificación: Si se generan datos adicionales en el futuro, una política de clasificación permite optimizar y volver repetible al proceso, facilitando así el trabajo al personal y a la vez minimizando los errores en el proceso.
• Categorización de datos: Ya con políticas establecidas y con una evaluación de riesgo realizada, categorice sus datos basándose en su sensibilidad, quién debe tener acceso y si las penalizaciones de conformidad deben ser hechas públicas.
• Hallar la ubicación de almacenamiento de sus datos: Antes de implementar las defensas de ciberseguridad adecuadas, usted debe saber en dónde se almacenan los datos. Identificar las ubicaciones de almacenamiento de datos indica el tipo de ciberseguridad necesario para proteger los datos.
• Identificar y clasificar sus datos: Con los datos identificados, ya puede clasificarlos. El software externo le ayuda con este paso para facilitarle la clasificación y rastreo de los datos.
• Implementar controles: Los controles empleados deberían solicitar autenticación y autorización a cada usuario y recurso que necesite acceso a los datos. Ese acceso debe otorgarse “solo si es necesario”, lo que significa que los usuarios solamente reciben acceso si necesitan ver los datos para ejecutar una función laboral.
• Monitorización de acceso y datos: La monitorización de datos es un requisito de cumplimiento y para la privacidad de sus datos. Sin la monitorización, un atacante podría disponer de meses enteros para exfiltrar datos de la red. Los controles de monitorización adecuados detectan anomalías y reducen el tiempo necesario para detectar, mitigar y erradicar una amenaza de la red.

Si bien es posible optimizar el proceso de clasificación de datos y hasta automatizarlo parcialmente, el proceso requiere de elementos de revisión humana y procedimientos manuales.

Los sistemas automatizados sugieren etiquetas y clasificaciones, pero es mediante una revisión humana que se determina si estas etiquetas son correctas. Los objetivos y estándares deben ser esbozados y definidos, cosa que precisa de revisores humanos y personal de TI.

Las herramientas automatizadas señalan activos para que los revisen seres humanos. La lista muestra los objetos (tales como los datos de un cierto cliente) y las reglas (como HIPAA o PCI-DSS) que se aplican a cada uno. Algunas herramientas de automatización pueden indexar objetos. (La indexación es el proceso de clasificar y organizar datos para permitir búsquedas rápidas y eficientes en la red).

Otras políticas también se aplican durante el proceso de clasificación de datos. El reglamento general de protección de datos (RGPD) es una normativa de la UE que les da a los consumidores el derecho a que sus datos sean eliminados. Las organizaciones deben cumplir con esto al almacenar datos de los consumidores en la UE. Algunas herramientas de clasificación de datos indexan objetos de manera tal que puedan eliminarse rápidamente cuando los clientes así lo soliciten.

Uno de los pasos más complejos de la clasificación de datos es comprender los riesgos. Si bien los estándares de conformidad supervisan la mayor parte de los datos privados delicados, las organizaciones deben adherirse a las normativas de conformidad aplicables a diferentes datos almacenados en archivos y bases de datos. La clasificación de datos ayuda a proteger datos y a garantizar la conformidad. Es fundamental para cumplir con los requisitos del RGPD. (De hecho, las organizaciones deben indexar los datos de los consumidores en la UE, para que estos puedan borrarse si así se solicita).

El RGPD también exige la protección de información personal secundaria de los clientes, como el origen étnico, las opiniones políticas, su raza y sus creencias religiosas. Para ello, las organizaciones deben clasificar estos datos y determinar los permisos adecuados entre los diversos activos digitales. La clasificación es la que determina quiénes pueden acceder a estos datos para que no se les dé un uso indebido. Solo entonces pueden evitar el revelar información privada de los consumidores, así como costosas filtraciones de datos.

Tres pasos para clasificar para el RGPD serían:

• Localizar y auditar los datos. Antes de la clasificación, los administradores deben identificar dónde se almacenan los datos y qué reglas los afectan.
• Crear una política de clasificación. Para garantizar el cumplimiento, es necesario crear estándares y procedimientos de clasificación de datos para definir cómo su organización almacena y transfiere datos delicados.
• Organizar y asignar prioridades a los datos. Con la priorización, su organización puede determinar la clasificación de datos y los permisos necesarios para acceder a esta.

Aquí indicamos algunos ejemplos de sensibilidad de datos que podrían categorizarse como alta, media y baja.

• Alta sensibilidad: Imagínese que su empresa registra números de tarjetas de crédito como método de pago de los clientes que le compran. Estos datos deben tener controles de autorización estrictos, auditorías para detectar solicitudes de acceso y cifrado aplicado a los datos almacenados y transmitidos. Una filtración de datos probablemente causaría daños tanto al cliente como a la organización, así que deben clasificarse como altamente sensible con estrictos controles de ciberseguridad.
• Sensibilidad intermedia: Para cada proveedor externo, usted tiene un contrato con firmas que ejecutan un acuerdo. Estos datos no causarían daño a los clientes, pero aun así son información delicada que describe detalles del negocio. Estos archivos se considerarían de sensibilidad intermedia.
• Sensibilidad baja: Los datos para consumo del público pueden considerarse de baja sensibilidad. Por ejemplo, el material de marketing publicado en su web no necesitaría de controles estrictos, dado que está disponible al público y ha sido creado para una audiencia general.

La clasificación de datos precisa de interacción humana, pero buena parte del proceso se puede automatizar. Para añadir la automatización a las capacidades de toma de decisiones, Proofpoint ha creado un motor de clasificación de datos que ofrece un 99% de precisión en sus predicciones. La automatización por IA garantiza que las organizaciones puedan identificar, clasificar y proteger sus documentos continuamente, lo que implica que el motor continuamente escanea y revisa nuevos documentos a medida que se agregan al entorno.

Proofpoint compagina las revisiones humanas con clasificación basada en inteligencia artificial. El módulo de Aprendizaje Activo ingiere alrededor de 20 documentos por categoría para comenzar el proceso y mejorar su precisión. El motor de clasificación de datos emplea modelos de aprendizaje automático para identificar patrones. Cada grupo de archivos debe ser lo suficientemente diverso como para que los algoritmos de aprendizaje automático puedan volverse más precisos.

Los modelos de aprendizaje automático predicen las etiquetas para los documentos y determinan la exactitud de las predicciones. Al revisor se le muestra un “nivel de confianza” para reevaluar los datos del modelo para otra ronda de clasificación de información. Si el modelo indica que la exactitud es baja, los examinadores humanos pueden actualizar los modelos para tener conjuntos de archivos más diversos que permitan incrementar la exactitud. El motor se “entrena” a sí mismo aprovechando la nueva información para producir resultados mejores y óptimos. Proofpoint ha creado su motor para la asignación de documentos basada en acceso, así que asigna permisos de acceso a usuarios solamente en los archivos necesarios para realizar sus funciones laborales.

El software de clasificación de datos basada en IA de Proofpoint reduce buena parte de los gastos generales de un proceso que podría llevar meses. Escanea todos sus archivos de forma automática, identifica su contenido, asigna las categorías y niveles de datos correctos y después le permite determinar la seguridad de salvaguarda adecuada.

El “nivel de sensibilidad” de los datos determina cómo los procesa y los protege. Incluso si usted sabe que los datos son importantes, es necesario evaluar sus riesgos. El proceso de clasificación de datos le ayuda a descubrir potenciales amenazas e implementar las soluciones de ciberseguridad más beneficiosas para su empresa.

Al asignar niveles de sensibilidad y categorizar los datos, usted comprende las reglas de acceso para los datos clave. Usted puede monitorizar mejor los datos para hallar potenciales filtraciones de datos y, más importante aún, mantener un alto nivel de conformidad. Las normativas de conformidad le ayudan a determinar cuáles son los controles de ciberseguridad adecuados, pero antes debe ejecutar una evaluación de riesgos y clasificar los datos. Las organizaciones suelen requerir de ayuda externa para la clasificación de datos, de modo que la implementación de la ciberseguridad se pueda ejecutar más eficientemente.

La exactitud de la clasificación de datos es fundamental para futuras estrategias de DLP; por tanto, muchas organizaciones, grandes y pequeñas, han optado por usar automatización basada en IA. La inteligencia artificial aprovecha los modelos de aprendizaje automático para determinar el nivel de clasificación y categoría adecuados.