Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Transferencia Segura de Archivos > Clasificación de Datos – Construyendo y Presentando un Programa Sólido como una Roca
Blog Banner - Data Classification – Building and Pitching a Rock Solid Program

Clasificación de Datos – Construyendo y Presentando un Programa Sólido como una Roca

by Darrell Jones updated diciembre 12, 2024 Transferencia Segura de Archivos
Reading Time: 4 minutes

En nuestra entrega final, vamos a discutir cómo integrar todos los conceptos previamente cubiertos en un plan de acción. La diferencia entre el éxito y el fracaso de un programa de clasificación de datos es la falta de acción. He revisado más de 10 programas en mi carrera profesional y la falta de acción es el fallo clave en todos ellos. Las ideas son fáciles de entender y de comunicar, pero difíciles de ejecutar. Por lo tanto, necesitas un plan. El propósito de este artículo del blog es proporcionarte suficiente contexto y comprensión, basada en la experiencia, para desarrollar un plan. Déjame ser claro: Esto no es un plan. Esto es, en cambio, un marco, algo para desarrollar en un plan y presentar inteligentemente a la alta dirección. Lo siguiente te dará las herramientas para persuadir a los líderes empresariales necesarios para implementar un programa exitoso de Clasificación de Datos.

Obstrucciones Corporativas

Primero, debemos abordar el elefante en la habitación. La Clasificación de Datos, en el mejor de los casos, resalta las omisiones en la mayoría de las estrategias de gestión de datos corporativos. El manejo de datos, o gobernanza de la información, es un concepto del siglo XXI. Anteriormente, la estrategia era mantener todo o eliminar todo. El 99% de las empresas mantenían todo para siempre. La pregunta de por qué las corporaciones mantienen tantos datos llegó a un punto crítico en la brecha de Sony Pictures en 2014. La cantidad de datos y los diferentes tipos de datos (películas, correos electrónicos, registros financieros) expuestos fue asombrosa. La brecha hizo que cada junta corporativa se detuviera por un momento y reflexionara sobre su propia exposición de datos.

“La Clasificación de Datos, en el mejor de los casos, resalta las omisiones en la mayoría de las estrategias de gestión de datos corporativos.”

El interludio no duró mucho. Las organizaciones querían abordar este problema de manera holística, pero no lo hicieron. La razón es simple. Es EXTREMADAMENTE caro abordar este problema si una organización no está diseñada de esa manera desde el principio. Cuando se da cuenta de que no pueden solucionar este problema por completo, los equipos pasan a un proceso selectivo y ad hoc que se centra en los datos más sensibles de la corporación.

¿Hay Tipos o Grupos de Datos que Deberías Omitir?

La respuesta corta es sí. Los departamentos legales corporativos suelen tener algún tipo de sistema de gestión de documentos (por ejemplo, eDOCS, NetDocs, Documentum) que se utiliza para organizar y gestionar sus documentos. Estos equipos legales deben seguir estándares y requisitos de retención y clasificación de datos establecidos por los poderes judiciales. Otro grupo que históricamente se excluye de las actividades de clasificación de datos son los equipos de cumplimiento. Nuevamente, están siguiendo los requisitos establecidos por el organismo regulador que gobierna la organización.

Cuatro Niveles de Datos

La siguiente tabla es un ejemplo muy típico de un cronograma de clasificación de datos:

Notarás que la mayoría de los datos utilizados y producidos por la organización se clasifican como “Confidenciales”. Esto es normal.

Resultados Esperados

Cada organización será diferente, pero las reglas generales siguen siendo las mismas:

Reglas Generales

La proporción de datos “Altamente Confidenciales”, sin embargo, es la conclusión más importante. Una vez que te sientes con el liderazgo empresarial, debes identificar los datos más sensibles en tu organización. Esto debería ser fácil. Si el total de datos Altamente Confidenciales comienza a superar el 3%, sin embargo, deberías tener otra serie de conversaciones, ya que el alcance de los datos Altamente Confidenciales probablemente necesita ser actualizado o renovado. Un ejemplo de TI/Ciber ilustra este punto. Por lo general, solo hay un archivo que se considera Altamente Confidencial en TI/Ciber: el Registro de Riesgos. Todo lo demás se clasifica como Confidencial.

¿Qué Herramientas Necesito Comprar?

Hasta ahora, todo lo que hemos discutido sobre la clasificación de datos se ha centrado en las personas y el proceso. Eso es porque las herramientas para la Clasificación de Datos no son solo una herramienta; es una capacidad que requiere muchas herramientas diferentes. Esto no es diferente de otras capacidades. Tu plataforma de DLP de correo electrónico, por ejemplo, será diferente de tu CASB o firewall de contenido web. Varios proveedores han ido y venido en este espacio a lo largo de los años. El gran jugador que he usado y del que sigo escuchando cosas buenas es Spirion (anteriormente IdentityFinder). Hasta donde sé, solo unos pocos proveedores hacen etiquetado de datos. Oracle sería un ejemplo. Los proveedores de clasificación de datos tienden a ser o bien proveedores de DLP o proveedores de monitoreo de actividad de archivos como Varonis o STEALTHbits.

“Un programa exitoso también debe centrarse en los procesos empresariales en lugar de la tecnología.”

El mejor proveedor es el que cumple con tus requisitos y caso de uso. El más barato probablemente será tu mejor opción porque casi no hay retorno de inversión por hacer clasificación o etiquetado de datos en un producto. Necesitas personalizar el entorno en torno a la información personal identificable (PII), información de salud protegida (PHI), Industria de Tarjetas de Pago (PCI), etc., entonces, ¿qué te ofrece un proveedor? (He exagerado un poco para el efecto, pero entiendes mi punto).

En Conclusión

Un CISO no puede construir una capacidad de Clasificación de Datos en aislamiento. Los programas exitosos incluirán Gestión de Riesgos, Legal y Cumplimiento. Un programa exitoso también debe centrarse en los procesos empresariales en lugar de la tecnología. La migración global a soluciones de almacén de datos refuerza esta necesidad. Los almacenes de datos están diseñados para proporcionar integración y accesibilidad de datos ilimitadas. Empoderan al negocio para descubrir nuevas oportunidades que impulsan las ventas, el marketing y las eficiencias operativas. Esto se logra eliminando el aislamiento histórico de datos que se encuentra en bases de datos específicas de aplicaciones, y agrupando todos los datos y aumentándolos con otras fuentes de datos. Desde un punto de vista de clasificación, los controles históricos de ciberseguridad se eliminan por completo en estos sistemas en lugar de la accesibilidad. Los programas exitosos de Clasificación de Datos se adelantan a estos desafíos siendo parte del proceso de diseño desde el principio. El elemento final de un programa exitoso es la comprensión de que no puedes hervir el océano; enfócate en qué datos son importantes. Esto solo se logra trabajando con los equipos de negocio para construir su lista de datos Altamente Confidenciales. Nuevamente, enfócate en los datos más importantes de la unidad de negocio. Si el total de datos Altamente Confidenciales supera el 3% del conjunto de datos de todo el departamento, reevalúa los tipos de datos. De lo contrario, los controles que rodean el manejo de datos Altamente Confidenciales impactarán severamente en el negocio, lo que será la sentencia de muerte de tu programa de Clasificación de Datos.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks