Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Transferencia Segura de Archivos > ¿Qué es la Clasificación de Datos? [4 Tipos Comunes]

¿Qué es la Clasificación de Datos? [4 Tipos Comunes]

by Bob Ertl updated diciembre 13, 2024 Transferencia Segura de Archivos
Reading Time: 7 minutes

¿Qué es la clasificación de datos? La clasificación de datos es organizar los datos en diferentes categorías para facilitar su gestión, protección y uso.

¿Qué es la Clasificación de Datos?

La clasificación de datos hace que los datos sean inaccesibles para los espectadores o lectores no autorizados para minimizar el intercambio de esos datos con fines personales, comerciales o gubernamentales. Estos datos suelen incluir secretos empresariales, secretos nacionales o información identificable que podría perjudicar a las personas que trabajan con una organización o que sirven como clientes o miembros de esa organización.

En términos de clasificación (y en muchas formas de privacidad de datos), el énfasis está en la “tríada CIA” de protección de datos:

  • Confidencialidad: Mantener la privacidad de la información evitando la visualización no autorizada de esa información.
  • Integridad: Mantener la integridad de los datos proporcionando controles que aseguren que los datos no estén alterados ni corrompidos.
  • Disponibilidad: Mantener la accesibilidad de los datos para los usuarios autorizados de manera que otros controles no interfieran con la capacidad de esos usuarios para utilizar esa información.

Derivado de estos elementos de la tríada, la clasificación solo existe dentro de un conjunto específico de controles, prácticas y procesos que aseguran que solo las personas autorizadas vean esa información clasificada.

Estos controles a menudo se dividen en categorías específicas:

  • Seguridad y Cumplimiento: Cualquier organización que trabaje con datos sensibles probablemente esté bajo regulaciones específicas que cubren marcos de seguridad técnica. Incluso las industrias privadas incluyen marcos que cubren los requisitos de seguridad y manejo para datos clasificados.
  • Gobernanza: Para mantener la confidencialidad, integridad y accesibilidad, las organizaciones deben tener una política de gobernanza que dicte cómo deben gestionarse los datos, en qué sistemas, y las políticas y procedimientos que protegen esos datos y esos sistemas en el día a día.
  • Usabilidad: La accesibilidad requiere que las personas autorizadas vean y usen los datos como parte de su trabajo. En consecuencia, los controles de usabilidad aseguran que estas personas puedan hacerlo sin comprometer esa información.

Por lo tanto, usar la palabra “clasificación” en términos de datos puede referirse tanto a la nomenclatura adecuada para la clasificación gubernamental como al significado más amplio de organización de datos a través de etiquetas para ayudar a protegerlos.

Tipos de Clasificación de Datos

Hablar de clasificación de datos puede abarcar varios contextos que cubren docenas de aplicaciones de control y requisitos.

En términos generales, hay tres tipos generales de clasificación:

  • Basada en Datos: Esta clasificación funciona a través del tipo de información que necesita protección. Se investigan los archivos para determinar si contienen alguna información protegida específica, como información personal identificable (PII) o información financiera relacionada con individuos o una organización.
  • Basada en Contexto: Este enfoque de clasificación considera el uso de la información en cuestión, quién la creó, dónde se creó y metadatos para indicar que algo debe clasificarse como sensible.
  • Basada en Usuario: Los individuos hacen determinaciones específicas sobre la clasificación en base a cada documento.

Estos diferentes enfoques se desarrollan en muchos contextos, superponiéndose incluso en la misma industria.

Clasificación Pública

La clasificación pública es generalmente la más permisiva. Puede incluir información sensible, siempre que esté ampliamente disponible para el público a través de algún otro mecanismo. Como tal, este tipo de datos generalmente no tiene los mismos controles de seguridad que otras formas.

Estos datos pueden incluir:

  • Organigramas
  • Nombres y Apellidos
  • Comunicados de Prensa
  • Libros Blancos
  • Guías Arquitectónicas

Clasificación Interna

La clasificación interna se asocia principalmente con secretos empresariales y de negocios, representando información comercial que, al ser divulgada, podría obstaculizar la propiedad intelectual o la competitividad de esa empresa.

Ejemplos de tales datos incluyen:

  • Esquemas de Productos
  • Correos Electrónicos Internos
  • Plataformas de Intranet
  • Presupuestos y Proyecciones Financieras

Clasificación Gubernamental

La clasificación gubernamental es lo que a menudo pensamos cuando pensamos en “información clasificada”. Con el creciente aumento de la cadena de suministro digital para agencias federales (plataformas en la nube, aplicaciones, etc.), la clasificación de los proveedores de tecnología es una cuestión crítica.

Esta categoría puede cubrir varios tipos diferentes de protecciones de datos, incluyendo:

  • Clasificación Secreta: El gobierno clasifica secretos nacionales sensibles como “Confidencial”, “Secreto” o “Secreto Máximo”, denotando niveles crecientes de protección y restricciones. Los documentos de secreto máximo solo son visibles para unos pocos seleccionados.

    Junto a estos niveles, a menudo verás denominaciones de clasificación más flexibles. Por ejemplo, un documento etiquetado como “Secreto Máximo” puede tener también protecciones de accesibilidad más específicas para información en base a la necesidad de saber. Este enfoque previene la exposición accidental de los secretos más sensibles.

    El acceso a material clasificado en esta categoría generalmente depende de una autorización muy específica, y dicha información se encuentra en redes altamente privadas como la Red de Enrutadores IP Secretos (SIPRNET).

  • Información No Clasificada Controlada (CUI): Cuando los contratistas trabajan con agencias de defensa, pueden generar información que, aunque no clasificada, debe permanecer privada para la protección de las agencias y empresas participantes. CUI es una forma especial de estos datos, datos que son lo suficientemente importantes como para tener un marco de cumplimiento completo dedicado a ellos (Modelo de Certificación de Madurez de Ciberseguridad [CMMC]) gestionado por el Instituto Nacional de Estándares y Tecnología (NIST) y el Departamento de Defensa.

    CUI puede almacenarse en redes más tradicionales, pero esas redes requieren controles de seguridad estrictos.

Clasificación Confidencial

En el sector privado, “clasificar” datos se trata menos de designar secretos importantes y más de identificar información para protección basada en su sensibilidad. Este tipo de sensibilidad puede incluir la protección de secretos empresariales, o más importante aún, la protección de la información de clientes y pacientes a los que sirven. Esto requiere una estrategia de administración de riesgos de ciberseguridad.

Algunas de las clasificaciones sensibles de datos privados incluyen:

  • Información Personal Identificable (PII): PII es una base para la protección de datos en casi todas las regulaciones del mercado. PII incluye números de Seguro Social (SSN), direcciones, números de teléfono, información financiera o cualquier otra cosa que pueda usarse para identificar a un individuo y reunir información sensible (cómo contactarlos, dónde viven, etc.).

    Casi todos los estándares de cumplimiento, públicos y privados, protegen PII en alguna capacidad.

  • Información de Salud Protegida (PHI): PHI es una forma específica de información, descrita en las regulaciones de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), relacionada con la atención al paciente. La información manejada por hospitales, médicos y compañías de seguros, como registros médicos, notas de médicos o cualquier información de pago relacionada con las provisiones de atención médica, se considera PHI. Lo mismo es cierto para cualquier departamento de RRHH de una organización, o cualquier otro departamento, que maneje PHI.
  • Número de Cuenta Principal (PAN): PAN se refiere a la información del titular de la tarjeta, incluidos los números de cuenta, la información del chip o de la banda magnética, o los números CVV relacionados.

En el contexto de los negocios privados, es fundamental clasificar los datos y los sistemas de almacenamiento de datos según el tipo de información y la industria a la que sirves.

¿Cuáles son los Desafíos y Mejores Prácticas para Proteger Datos Clasificados?

Podría parecer extremadamente fácil rastrear datos y diferentes clasificaciones, lo cual es cierto en muchos casos. La tecnología moderna no se presta a un enfoque de jardín amurallado donde simplemente puedes aislar el mundo exterior. Cuando esa información debe ser utilizable y accesible para múltiples personas, y cuando una organización utiliza infraestructura avanzada como aplicaciones en línea y la nube, debe comprender las mejores prácticas de clasificación y protección de datos.

Algunos de estos desafíos y mejores prácticas incluyen:

  • Vulnerabilidad: Los datos sensibles pueden exponerse de innumerables maneras, lo que puede resultar confuso para sistemas complejos. Además, cómo la clasificación impacta tus requisitos de cumplimiento normativo también cambiará.

    Mantener políticas de gobernanza críticas, incluyendo un inventario de sistemas sensibles y flujos de datos, es crucial para mantener la seguridad que corresponde a diferentes tipos de clasificación.

  • Experiencia: Gestionar la clasificación y la seguridad es un trabajo a tiempo completo y uno para el que las personas se entrenan durante años para hacerlo bien. Muchas empresas grandes, especialmente aquellas que manejan datos sensibles regularmente, tienen gerentes de cumplimiento y clasificación dedicados para asegurar que la política de la empresa y la infraestructura cumplan con los requisitos.

    Las organizaciones no deben escatimar en experiencia. Si no tienes el tiempo o los recursos para mantener oficiales de cumplimiento y seguridad internos, trabaja con firmas de seguridad de terceros especializadas en tu industria particular.

  • Aplicación: Una política solo es buena en la medida en que se implementa, y el mejor enfoque de gobernanza es inútil sin personas y tecnología para asegurar que funcione.

    Utiliza tecnologías que apoyen operaciones conformes y almacenamiento y transmisiones de datos seguros. Además, utiliza herramientas con la automatización adecuada y registro de auditorías para asegurar que estás cumpliendo con los requisitos y puedes rastrear problemas hasta su origen.

Mantén la Seguridad de la Información Clasificada con Kiteworks

El cumplimiento y la seguridad son los pilares del manejo de datos clasificados. Eso significa mantener la tecnología adecuada en toda tu organización, desde el almacenamiento hasta el procesamiento y la transmisión, que mantenga los datos de cualquier clasificación seguros y confidenciales.

La Red de Contenido Privado de Kiteworks apoya muchos marcos de cumplimiento, enfocándose en la privacidad de datos sin sacrificar cómo tu organización usa y comparte esa información. La Red de Contenido Privado de Kiteworks integra capacidades de cifrado de extremo a extremo en tus aplicaciones comerciales más comunes, como correo electrónico, transferencia segura de archivos, transferencia de archivos administrada, interfaces de programación de aplicaciones (API) y formularios web.

Kiteworks incluye las siguientes características:

  • Seguridad y Cumplimiento: Kiteworks utiliza cifrado AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito. El dispositivo virtual reforzado de la plataforma, controles granulares, autenticación, otras integraciones de pila de seguridad, y registro y reporte de auditoría integral permiten a las organizaciones demostrar fácilmente y rápidamente el cumplimiento con los estándares de seguridad.

    La plataforma Kiteworks tiene informes de cumplimiento listos para usar para regulaciones y estándares de la industria y el gobierno, como HIPAA, Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), SOC 2, y Reglamento General de Protección de Datos (GDPR).

    Además, Kiteworks presume de certificación y cumplimiento con varios estándares que incluyen, pero no se limitan a, FedRAMP, FIPS (Estándares Federales de Procesamiento de Información), y FISMA (Ley de Gestión de Seguridad de la Información Federal).

    Asimismo, Kiteworks es evaluado para IRAP (Programa de Evaluadores Registrados de Seguridad de la Información) nivel PROTEGIDO. Además, basado en una evaluación reciente, Kiteworks logra el cumplimiento con casi el 89% de las prácticas de CMMC Nivel 2.

  • Registro de Auditoría: Usando los registros de auditoría inmutables de Kiteworks, las organizaciones pueden confiar en que los ataques se detectan más pronto y mantienen la cadena de evidencia correcta para realizar análisis forenses.

    Dado que el sistema fusiona y estandariza las entradas de todos los componentes, el syslog unificado y las alertas de Kiteworks ahorran tiempo crucial a los equipos del centro de operaciones de seguridad mientras ayudan a los equipos de cumplimiento a prepararse para auditorías.

  • Integración SIEM: Kiteworks admite la integración con soluciones principales de gestión de eventos e información de seguridad (SIEM), incluyendo IBM QRadar, ArcSight, FireEye Helix, LogRhythm, y otros. También tiene el Splunk Forwarder e incluye una aplicación Splunk.
  • Visibilidad y Gestión: El Panel de Control del CISO en Kiteworks ofrece a las organizaciones una visión general de su información: dónde está, quién la está accediendo, cómo se está utilizando, y si los datos que se envían, comparten o transfieren cumplen con las regulaciones y estándares. El Panel de Control del CISO permite a los líderes empresariales tomar decisiones informadas mientras proporciona una vista detallada del cumplimiento.
  • Entorno de Nube de Tenencia Única: El uso compartido de archivos, las transferencias automatizadas de archivos, el almacenamiento de archivos y el acceso de usuarios ocurren en una instancia dedicada de Kiteworks, implementada en las instalaciones, en los recursos de Infraestructura como Servicio (IaaS) de una organización, o alojada como una instancia privada de tenencia única por Kiteworks en la nube por el servidor de Kiteworks Cloud. Esto significa que no hay tiempo de ejecución compartido, bases de datos o repositorios compartidos, recursos compartidos, o potencial para brechas o ataques entre nubes.

Echa un vistazo a la Red de Contenido Privado de Kiteworks y cómo permite la privacidad de datos y el cumplimiento para tus comunicaciones de contenido sensible programando una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks