La Clasificación de Datos implica categorizar o estructurar datos en orden de importancia o relevancia. Generalmente la clasificación se realiza según la criticidad de los documentos o según su sensibilidad (confidencial, restringido, uso general y público). Clasificar la información es el primer paso para después poder protegerla.
La Clasificación de Datos es la piedra angular en la gestión de la información que permite minimizar el riesgo de fuga de datos.
El proceso de clasificación de datos no es un proceso sencillo ya que requiere atención a los detalles y un control adecuado. Existen distintos métodos de clasificación de datos disponibles, así como diferentes criterios en la disposición de los datos de un repositorio. En su mayoría, estos métodos son utilizados para ordenar datos no estructurados, los mismos que componen la mayor parte de la información en una organización. Las grandes cantidades de datos no estructurados significa grandes retos para quien quiere clasificar.
Guía y proceso de Clasificación de Datos
Idealmente, cualquier proceso de clasificación de datos debería tomar en cuenta los siguientes puntos:
- Definición del propósito: ¿Por qué quiere clasificar los datos? No solo es vital comprender la importancia y objetivo de categorizar la información si no también es necesario definir cómo identificará áreas, usuarios y documentos de riesgo dentro de la organización. Los objetivos por los cuales se decide clasificar la información pueden ser diversos; quizá el proceso de clasificación facilitará el cumplimiento con la normativa del país, quizá ayudará a optimizar la estrategia y el uso de herramientas de ciberseguridad o incluso quizá, puede ayudar como punto de partida para desarrollar planes de contingencia. Sea cual fuere la razón que impulsa la clasificación es importante responder las siguientes preguntas antes de plantearse un proyecto de clasificación:
¿Cuáles son los riesgos asociados a no clasificar la información?
¿Está contemplado el uso de algún mecanismo o herramienta para proteger la información una vez clasificada?
¿Qué dice la política de seguridad de la información de la organización?
¿Tiene un plan de formación centrado en usuarios críticos?
¿Tiene definido el ciclo de vida de la información?
- Creación de la Metodología: Se debe definir una metodología que permita que la clasificación de datos funcione de manera efectiva. Es importante definir quién realizará el trabajo de analizar datos antiguos, nuevos datos y datos modificados. ¿Serán los empleados quienes realicen este análisis? ¿Serán ciertos jefes? ¿Será el encargado de la seguridad de la información? ¿Será una consultora especializada? ¿Será un software con inteligencia artificial? Para poder responder estas preguntas es muy importante calcular las horas hombres que cada opción representa y el costo de adaptar el servicio a la organización.
- Definición de Categorías y Criterios de Clasificación: Si se basa en la estructura común de clasificación de datos; es decir en base a la ISO 27001, las categorías y criterios deben encajar y ser adaptados a su política.
- Definición de Resultados: ¿Qué hacemos luego de la clasificación de datos? ¿Cómo pretendemos utilizar los resultados del proceso? Ahora que hemos puesto todo en su lugar, ¿en quién recaerá la responsabilidad de mantener todo en orden? ¿Qué acciones deben derivar de este ejercicio? ¿Quién hará el seguimiento correspondiente? La persona o equipo que sea designado tiene que ser altamente calificado y de confianza para evitar problemas de carácter económico, legal o reputacional.
Prevención de fuga y pérdida de datos
Una fuga de datos suele ocurrir cuando toda la información de la organización se almacena en un mismo lugar. Cuando no está definido el ciclo de vida que cada tipo de documento según su nivel de confidencialidad, la organización es vulnerable. El ciclo de vida permite saber cómo y cuando se crea un documento (confidencial, restringido, de uso interno o público), dónde almacenarlo, qué tratamiento darle y finalmente cuando dispensar de él.
Tipos de Clasificación de Información
Existen diferentes tipos de clasificación y cada uno cumple una distinta función. Vale la pena enumerarlos:
- -Ordenar los archivos para la seguridad de los datos, clasificándolos en: Confidencial, Restringido, Uso Interno o Público.
- -Clasificar los datos según el acceso de los usuarios.
- -Clasificar los datos en categorías por su frecuencia de uso o criticidad.
Desafíos de la Clasificación de Datos
El proceso de clasificación de datos puede verse afectado por algunos desafíos. Cada tipo de clasificación viene con desafíos diferentes:
Consultoría:
Realizar un proceso de clasificación utilizando una consultora especializada es una opción. El problema de clasificar utilizando este tipo de servicios es que usualmente el proceso abarca solo una pequeña muestra de la organización.
Clasificación Manual:
El desafío principal de la clasificación manual consiste en lograr que el personal cumpla con la tarea de categorización (misma que es aburrida, tediosa y repetitiva). En vista de la naturaleza tediosa de una clasificación manual el personal no suele priorizar esta actividad sobre otras tareas diarias lo cual resulta en un proceso lento.
Clasificación a través de tecnología (inteligencia artificial):
Aquí, el desafío consiste en que la tecnología se adapte a la realidad y vocabulario de la empresa. Es importante que la tecnología que se decida usar no afecte el desempeño de las estaciones de trabajo. De igual manera es necesario que la herramienta que se escoja pueda aprender de la reclasificación de falsos positivos.