Los CIO y los directores de TI que trabajan en cualquier proyecto que involucre datos de alguna manera siempre tienen más probabilidades de éxito cuando la organización tiene una visión clara de los datos que posee.
Cada vez más, las organizaciones utilizan clasificación de datos rastrear la información en función de su sensibilidad y confidencialidad, así como de su importancia para el negocio.
Es más probable que los datos que son críticos para las operaciones o que deben protegerse, como los registros de clientes o la propiedad intelectual, se cifren, se apliquen controles de acceso y se alojen en los sistemas de almacenamiento más sólidos con los niveles más altos de redundancia.
AWS, por ejemplo, define la clasificación de datos como “una forma de categorizar los datos de la organización en función de su criticidad y sensibilidad para ayudarlo a determinar los controles de protección y retención adecuados”.
Sin embargo, las medidas de protección de datos pueden ser costosas, en términos de efectivo y potencialmente al hacer que los flujos de trabajo sean más complejos. No todos los datos son iguales y pocas empresas tienen presupuestos de TI ilimitados cuando se trata de protección de Datos.
Pero una política clara de clasificación de datos debería asegure el cumplimiento y optimice los costos – y también puede ayudar a las organizaciones a hacer un uso más eficaz de sus datos.
¿Para qué se utiliza la clasificación de datos?
Las políticas de clasificación de datos son una de las navajas suizas de la caja de herramientas de TI.
Las organizaciones usan sus políticas como parte de la continuidad del negocio y la planificación de la recuperación ante desastres, incluido el establecimiento de prioridades de copia de seguridad.
Los utilizan para garantizar el cumplimiento de regulaciones como GDPRPCI-DSS y HIIPA.
Estas políticas son fundamentales para la seguridad efectiva de los datos, ya que establecen reglas para el cifrado, el acceso a los datos e incluso quién puede modificar o eliminar información.
Las políticas de clasificación de datos también son una parte clave del control de los costos de TI, a través de la planificación y optimización del almacenamiento. Esto es cada vez más importante, ya que las organizaciones almacenan sus datos en la nube pública con sus modelos de precios basados en el consumo.
Pero también es esencial hacer coincidir las tecnologías de almacenamiento correctas con los datos correctos, desde almacenamiento flash de alto rendimiento para bases de datos transaccionales hasta cintas para archivado a largo plazo. Sin esto, las empresas no pueden igualar el rendimiento del almacenamiento, los costos asociados de cómputo y redes con la criticidad de los datos.
De hecho, con las organizaciones que buscan obtener más valor de su información, la clasificación de datos tiene otra función: ayudar a desarrollar capacidades de análisis y minería de datos.
“El tema de la gestión de datos ha ganado importancia entre los equipos de liderazgo de muchas organizaciones en los últimos años”, dice Alastair McAulay, experto en estrategia de TI de PA Consulting.
“Hay dos grandes impulsores para esto. El primer impulsor es positivo, donde las organizaciones desean maximizar el valor de sus datos, liberarlos de los sistemas individuales y colocarlos donde puedan acceder las herramientas de análisis para crear información y mejorar el rendimiento empresarial.
“El segundo impulsor es negativo, donde las organizaciones descubren cuán valiosos son sus datos para otras partes”.
Las organizaciones necesitan proteger sus datos, no solo contra la exfiltración por parte de piratas informáticos maliciosos, sino también contra ataques de ransomware, robo de propiedad intelectual e incluso el uso indebido de datos por parte de terceros confiables. Como advierte McAulay, las empresas no pueden controlar esto a menos que tengan un sistema sólido para etiquetar y rastrear datos.
¿Qué tienen en cuenta las políticas de clasificación de datos?
Las políticas efectivas de clasificación de datos comienzan con los tres principios básicos de la gestión de datos:
- Confidencialidad.
- Integridad.
- Acceso.
Este “modelo de la CIA” o tríada se asocia con mayor frecuencia con la seguridad de los datos, pero también es un punto de partida útil para la clasificación de datos.
La confidencialidad cubre la seguridad y los controles de acceso, lo que garantiza que solo las personas adecuadas vean los datos, y medidas como la prevención de pérdida de datos.
La integridad garantiza que se pueda confiar en los datos durante su ciclo de vida. Esto incluye copias de seguridad, copias secundarias y volúmenes derivados de los datos originales, como por una aplicación de inteligencia comercial.
La disponibilidad incluye medidas de hardware y software, como la continuidad del negocio y la copia de seguridad y recuperación, así como el tiempo de actividad del sistema e incluso la facilidad de acceso a los datos para los usuarios autorizados.
Los CIO y los directores de datos querrán ampliar estos principios de CIA para adaptarse a las necesidades específicas de sus organizaciones y los datos que poseen.
Esto incluirá información más granular sobre quién debería poder ver o modificar los datos, y se extenderá a qué aplicaciones pueden acceder a ellos, por ejemplo, a través de las interfaces de programación de aplicaciones (API). Pero la clasificación de datos también establecerá cuánto tiempo se deben conservar los datos, dónde se deben almacenar, en términos de sistemas de almacenamiento, con qué frecuencia se deben realizar copias de seguridad y cuándo se deben archivar.
“Una buena política de respaldo de datos bien puede basarse en un mapa de datos para que todos los datos utilizados por la organización se ubiquen e identifiquen y, por lo tanto, se incluyan en el proceso de respaldo relevante”, dice Stephen Young, director del proveedor de protección de datos AssureStor. “Si ocurre un desastre, no todo se puede restaurar de una vez”.
¿Cuáles son los elementos clave de una política de clasificación de datos?
Uno de los ejemplos de clasificación de datos más obvios es cuando las organizaciones tienen información gubernamental confidencial. Estos datos tendrán marcas de protección (en el Reino Unido, esto va desde “oficial” hasta “alto secreto”), que pueden ser seguidos por herramientas de gestión y protección de datos.
Las empresas pueden querer emular esto creando sus propias clasificaciones, por ejemplo, separando los datos financieros o de salud que deben cumplir con regulaciones específicas de la industria.
O las empresas pueden querer crear niveles de datos en función de su confidencialidad, de I+D o de acuerdos financieros, o de su importancia para los sistemas críticos y los procesos empresariales. A menos que las organizaciones cuenten con la política de clasificación, no podrán crear reglas para tratar los datos de la manera más adecuada.
Una buena política de clasificación de datos “prepara el camino para mejoras en la eficiencia, la calidad del servicio y una mayor retención de clientes” si se usa de manera efectiva, dice Fredrik Forslund, vicepresidente internacional de la firma de protección de datos Blancco.
Una política sólida también ayuda a las organizaciones a implementar herramientas que eliminan gran parte de los gastos generales de la gestión y el cumplimiento del ciclo de vida de los datos. amazon macie, por ejemplo, utiliza el aprendizaje automático y la coincidencia de patrones para escanear los almacenes de datos en busca de información confidencial. Mientras tanto, microsoft tiene un conjunto cada vez más completo de herramientas de etiquetado y clasificación en Azure y Microsoft 365.
Sin embargo, cuando se trata de la clasificación de datos, las herramientas son tan buenas como las políticas que las impulsan. Con la creciente sensibilidad de las juntas directivas a los datos y los riesgos relacionados con TI, las organizaciones deben analizar los riesgos asociados con los datos que poseen, incluidos los riesgos que plantean las fugas de datos, el robo o el ransomware.
Estos riesgos no son estáticos. Evolucionarán con el tiempo. Como resultado, las políticas de clasificación de datos también deben ser flexibles. Pero una política diseñada adecuadamente ayudará con el cumplimiento y con los costos.
¿Cuáles son los beneficios de la clasificación de datos?
No se puede evitar el hecho de que la creación de una política de clasificación de datos puede llevar mucho tiempo y requiere conocimientos técnicos de áreas que incluyen la seguridad de TI, la gestión del almacenamiento y la continuidad del negocio. También necesita información del negocio para clasificar los datos y garantizar el cumplimiento legal y normativo.
Pero, como dicen los expertos que trabajan en el campo, se necesita una política para garantizar la seguridad y controlar los costos, y para permitir un uso más efectivo de los datos en la planificación y gestión empresarial.
“La clasificación de datos ayuda a las organizaciones a reducir el riesgo y mejorar la postura general de cumplimiento y seguridad”, dice Stefan Voss, vicepresidente de la empresa de herramientas de administración de TI N-able. “También ayuda con la contención de costos y la rentabilidad debido a la reducción de los costos de almacenamiento y una mayor transparencia en la facturación”.
Además, la clasificación de datos es la piedra angular de otras políticas, como la gestión del ciclo de vida de los datos. Y ayuda a los administradores de TI a crear objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) efectivos para sus planes de copia de seguridad y recuperación ante desastres.
En última instancia, las organizaciones solo pueden ser eficaces en la gestión de sus datos si saben lo que tienen y dónde está. Como dice McAulay de PA Consulting: “Las herramientas solo serán tan efectivas como la clasificación de datos que las sustenta”.
