¿Qué es la clasificación de datos?
No todos los datos se crean de la misma manera. En el complejo mundo digital actual, intentar proteger cada uno de los recursos de datos con el mismo rigor no es factible ni aconsejable. Los equipos de seguridad, que tienen en sus manos terabytes o incluso petabytes de datos, deben ganar en sofisticación y, para ello, necesitan incorporar la clasificación de datos.
La clasificación de datos es la práctica de clasificar diferentes elementos de datos en función de criterios predefinidos, como pueden ser el tipo, la confidencialidad o el valor empresarial. El objetivo es que se puedan consultar fácilmente. Esta práctica es fundamental para proteger datos confidenciales y de gran importancia, ya que permite implementar medidas de seguridad efectivas a aquellos datos más relevantes. La clasificación de datos desempeña un papel clave en la protección de los datos frente a accesos no autorizados y brechas, así como en el cumplimiento de las normativas y los estándares del sector.
En este artículo, hablaremos de los distintos métodos de clasificación de datos, y analizaremos sus ventajas y posibles desafíos. Además, te explicaremos cómo puedes utilizarlos para alcanzar tus objetivos empresariales.
El proceso de clasificación de datos
Clasificar los datos supone un gran reto, sobre todo porque las empresas suelen gestionar volúmenes inmensos de datos.
A continuación, se enumeran algunos pasos sencillos que puedes seguir para completar el proceso con éxito:
1. Define tus objetivos
Antes de empezar con el proceso de clasificación de datos, es importante que identifiques los objetivos de seguridad en relación con las necesidades específicas de tu negocio.
Preguntas importantes que debes hacerte:
¿Para qué sirve esto?
¿Qué problema estoy intentado solucionar?
Si, por ejemplo, tu objetivo principal es cumplir con la normativa de privacidad, deberías analizar periódicamente a qué leyes y normativas está sujeta tu empresa, e identificar los pasos necesarios para proteger los datos y evitar sanciones. Algunas de las normativas más comunes a las que prestar atención son el RGPD, la CCPA, la CPRA, la HIPAA y el PCI DSS.
2. Define el alcance y prioriza
La clasificación de datos puede parecer un reto descomunal cuando gestionas datos a gran escala. Sin embargo, con un poco de reflexión a nivel estratégico, la clasificación puede reducirse a dimensiones manejables. Evaluar los datos en base a un conjunto relevante de criterios (como el riesgo, el valor o los requisitos normativos) te permitirán asignar recursos y medidas de seguridad a la información más valiosa y delicada. Este paso puede reducir notablemente el alcance de la clasificación de datos, y convertir el proceso en una tarea muy específica y viable.
3. Identifica a las partes interesadas pertinentes en la organización
Identifica a qué áreas de la empresa debes involucrar en el proceso, como equipos de seguridad, equipos de gobernanza, riesgo y cumplimiento o departamentos de ingeniería. Asegúrate de identificar sus necesidades, sus métodos de comunicación y sus flujos de trabajo existentes, y de averiguar cómo esperan utilizar la clasificación de datos en su proceso de trabajo.
4. Implementa el proceso de clasificación de datos
Establece y ejecuta los métodos de clasificación que mejor se adapten a tu arquitectura y objetivos empresariales.
Para ello, deberás responder a preguntas técnicas como las siguientes:
¿Analizo los datos en reposo o en movimiento?
¿Clasifico los datos en función del contexto o el contenido?
5. Automatiza
Puede resultarte útil agilizar el proceso de clasificación con soluciones de software de seguridad automatizadas de terceros, ya que no solo te liberan de realizar manualmente tareas de clasificación arduas y propensas a errores, sino que te ayudan a descubrir brechas de seguridad de datos y a corregirlas.
6. Integra el proceso con flujos de trabajo existentes
Una vez sepas qué necesitan las partes interesadas y con qué propósito, puedes integrar el motor de clasificación en los flujos de trabajo existentes para minimizar los problemas. Un ejemplo de ello podría ser la generación automática de un Registro de actividades de tratamiento durante las auditorías relativas al RGPD.
7. Recoge los frutos de tu trabajo
Ahora que los datos confidenciales ya se han clasificado, es el momento de traducir este avance en valor. Desde la perspectiva de seguridad, puedes definir directivas claras para proteger los datos confidenciales, como permisos basados en roles que te permitan gestionar cómo se tratan y almacenan los distintos recursos de datos, y cómo se accede a ellos. Desde la perspectiva del presupuesto, puedes elaborar directivas de conservación y almacenamiento de datos, en función de la ubicación de almacenamiento y el período de retención adecuados para cada tipo de datos.
8. Aclara y repite
Se recomienda reevaluar y actualizar periódicamente las directivas de clasificación para garantizar que los datos confidenciales permanezcan protegidos en todo momento.
Más información
Lee este blog para descubrir cómo, al combinar la protección en reposo y en tiempo de ejecución, se crea una posición de seguridad integral y resistente, y se garantiza que los datos de la organización estén totalmente protegidos en el complejo panorama actual de la nube.
Métodos de clasificación de datos
La clasificación de datos es un tema importante, y hay muchos aspectos que considerar antes de implementarla en tu conjunto de herramientas de seguridad.
En esta sección, analizaremos dos cuestiones fundamentales para la clasificación de datos: los distintos métodos de clasificación de datos y los tipos de datos que se clasifican.
Niveles de clasificación
Muchas organizaciones clasifican sus datos basándose en niveles, que pueden ser tan específicos o amplios como la organización desee.
El siguiente ejemplo de clasificación de datos muestra cómo se pueden clasificar los datos en niveles, en función de la confidencialidad de los mismos.
- Confidencialidad alta: los datos clasificados en este nivel incluyen información importante que, de caer en manos de usuarios no autorizados, podría tener efectos perjudiciales para las partes interesadas. Aquí se incluyen números de cuentas bancarias, información de tarjetas de crédito y números de la Seguridad Social.
- Confidencialidad media: este tipo de datos incluye información que no es pública o no está disponible para personas ajenas a la organización, pero que tampoco es crítica para las operaciones ni es de propiedad exclusiva. Los datos en este nivel pueden incluir correos electrónicos o documentos que no contienen datos confidenciales.
- Confidencialidad baja: en este grupo se encuentran los datos disponibles para el público en páginas web, directorios y otros repositorios.
Clasificación en función del contexto, el contenido y el usuario
Para preservar la seguridad de los datos, es importante saber qué es cada tipo de clasificación y cómo se diferencia del resto.
- Clasificación basada en el contexto: el tipo de datos se determina a partir de información contextual como metadatos, incluidos el historial, los atributos, el propietario del recurso y el entorno. Por ejemplo, los datos se clasificarán como un correo electrónico si se encuentran en una columna denominada "EmailAddress". Aunque esta información es valiosa, las conclusiones extraídas de los metadatos pueden ser inexactas, lo que podría hacer que la clasificación no fuera del todo precisa.
- Clasificación basada en el contenido: determina el tipo de datos analizando directamente los datos en cuestión. Este enfoque puede identificar si un recurso de datos es un nombre, un correo electrónico, una dirección o un número de tarjeta de crédito con un alto grado de precisión, incluso si está etiquetado incorrectamente. Por ejemplo, la clasificación basada en el contenido puede identificar si un número de tarjeta de crédito se encuentra en un campo de "comentario".
- Clasificación basada en el usuario: depende de la intervención manual de un usuario experto y de su criterio. Por lo general, estos usuarios etiquetan el grado de confidencialidad de los datos una vez que crean o editan un documento.
Te sorprenderá saber que la mayoría de las soluciones clasifican los datos basándose únicamente en el contexto. Otro punto que conviene destacar es que no se puede obtener contexto sin examinar los datos en movimiento. La única forma de obtener datos en movimiento de forma fiable y a un coste razonable es analizar los datos en tiempo de ejecución a través de la payload (y no de los logs de la nube pública, como los logs de flujo de AWS).
Si quieres asegurarte de que los datos confidenciales se identifican y clasifican de forma correcta y con un coste razonable, debes recurrir a un proveedor que combine la clasificación basada en el contenido con la clasificación basada en el contexto y asegurarte de que esta última se realiza a través de la payload. De lo contrario, corres el riesgo de incurrir en costes elevador, no detectar señales importantes y exponer datos vulnerables a fugas y brechas.
Clasificación de datos estructurados y no estructurados
Los datos se presentan de diferentes formas, pero pueden dividirse en dos grandes grupos:
- Datos estructurados: los datos en un formato de clave-valor, como archivos CSV, archivos JSON, hojas de cálculo de Excel, etc.
- Datos no estructurados: texto libre, imágenes (que pueden incluir texto libre), vídeos, documentos, etc.
En este punto, es importante destacar que los procesos de clasificación de datos estructurados y no estructurados son diferentes, y no todas las soluciones de clasificación pueden gestionar los datos no estructurados.
La conclusión es la siguiente: si crees que puede haber datos confidenciales ocultos en datos no estructurados, es importante asegurarte de que tus herramientas de clasificación pueden detectarlos y clasificarlos. Recuerda que cuando ciertas aplicaciones procesan los datos, estos pueden cambiar de estructurados a no estructurados y viceversa. La clasificación de datos no estructurados es casi siempre una buena inversión.
Reconocimiento de entidades nombradas frente a modelos de lenguaje grandes
Los datos no estructurados solían clasificarse mediante algoritmos tradicionales de reconocimiento de entidades nombradas (NER) que utilizan el aprendizaje automático para analizar conjuntos de datos etiquetados. Estos algoritmos tenían un cierto nivel de eficacia, pero presentaban limitaciones en cuanto a la precisión y el contexto; solo podían reconocer un conjunto reducido de clases de datos.
Ahora, las soluciones que emplean modelos de lenguaje grandes (LLM) llevan la clasificación de datos a un nivel totalmente nuevo, ya que son capaces de reconocer una amplia gama de tipos de datos y captar el contexto que otros modelos pasan por alto. A los LLM se les entrena con enormes cantidades de datos, lo que hace que la clasificación de datos sea muy precisa y se alinee con la referencia del sector o con clasificaciones preestablecidas. Entre los ejemplos de tipos de datos que pueden clasificarse se incluyen desde documentos informales hasta códigos fuente complejos, archivos de audio, imágenes y vídeos.
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahoraLas ventajas de la clasificación de datos
Dedicar el tiempo necesario a implementar herramientas de clasificación de datos en las operaciones de seguridad de datos puede requerir cierto nivel de esfuerzo, pero ofrece ventajas significativas.
| Ventaja | Descripción |
|---|---|
| Claridad | La clasificación de datos proporciona visibilidad de los datos que tienes, dónde se procesan y almacenan, y cómo se accede a ellos. Al priorizar los datos según el nivel de confidencialidad, las organizaciones pueden establecer límites claros en torno a qué datos deben protegerse y cómo deben manejarse. La clasificación facilita en gran medida la protección de la información confidencial en entornos dinámicos, especialmente cuando los datos fluyen entre la nube y los entornos locales o se comparten con servicios externos. |
| Cumplimiento normativo | Disponer de un proceso de clasificación de datos fiable es imprescindible para cumplir los requisitos normativos, preservar la confianza de los clientes y evitar sanciones elevadas. Al clasificar los datos según el nivel de confidencialidad, las organizaciones pueden definir directivas de gobernanza eficaces que garanticen la protección de la información confidencial de acuerdo con la ley. |
| Ahorro de costes | La clasificación de datos permite a las empresas adoptar un enfoque selectivo en la seguridad de los datos, e invertir estratégicamente en medidas de protección donde el riesgo es mayor, al identificar y descartar los datos que ya no son necesarios. Además, gracias a la clasificación de datos, los equipos de seguridad pueden detectar vulnerabilidades con mayor rapidez y corregir problemas que amenazan la seguridad de los datos confidenciales. |
| Mejor toma de decisiones | Clasificar los datos por nivel de confidencialidad o valor empresarial ayuda a justificar las decisiones y reduce el tiempo que conlleva la gestión de datos. La clasificación de datos puede ayudarte, por ejemplo, a detectar y eliminar datos redundantes u obsoletos, y a definir políticas de conservación más inteligentes para el almacenamiento. |
Los desafíos de la clasificación de datos
A la hora de incorporar la clasificación de datos en la estrategia de protección de datos, es necesario prestar atención a una serie de peligros. A continuación, los enumeraremos y explicaremos cómo gestionarlos.
Control de costes
Debido al enorme volumen de datos que se genera a diario, destinar el tiempo y los recursos adecuados para recopilarlos, clasificarlos, monitorizarlos y conservarlos puede ser complejo y generar rápidamente un aumento de los costes, sobre todo cuando hablamos de datos tradicionales. Los conflictos de prioridades y las limitaciones de presupuesto pueden agravar aún más este problema.
Para abordar este problema, las empresas pueden adoptar un enfoque automatizado que elimine las tareas más manuales y, con ello, los errores humanos. Además, pueden priorizar la clasificación de la información más delicada e implementar directivas que eviten la recopilación de datos no necesarios, lo que ahorrará tiempo y controlará costes de manera efectiva.
Dependencia excesiva de los equipos de ingeniería
Depender exclusivamente de los equipos de TI e ingeniería para la clasificación de datos puede crear cuellos de botella, sobrecargar a los equipos y dar lugar a errores. Debido a la complejidad del proceso de clasificación y a sus requisitos técnicos, es probable que esta práctica no sea sostenible a largo plazo.
La automatización también puede ser la solución a este problema, ya que puede acelerar el proceso de clasificación, mejorar su precisión y eliminar las tensiones que puedan generarse entre los equipos de seguridad e ingeniería.
Falta de uniformidad de formatos y directivas
Trabajar con directivas y formatos dispares, elegidos por diferentes departamentos y equipos, puede llevar a confusión y errores, y provocar la pérdida de información, una mala clasificación y un desperdicio de recursos.
Para evitarlo, las organizaciones deben establecer directivas y formatos estandarizados que se cumplan de manera coherente en todos los departamentos.
Las herramientas automatizadas pueden contribuir a mantener el estándar dictado al aplicar las directivas y formatos predefinidos. La monitorización, las actualizaciones y las revisiones periódicas también pueden ayudar a garantizar que estas directivas y formatos sigan siendo pertinentes y eficaces.
Clasificación errónea o falta de contexto
Las etiquetas incompletas, los datos mal ordenados, la falta de contexto o la información duplicada y ambigua pueden conducir a una mala clasificación de los datos, lo que a su vez puede dar lugar a errores críticos. Un ejemplo de ello sería asignar a los nombres de las personas que figuran en un registro médico o financiero un nivel bajo de confidencialidad cuando, en realidad, deberían etiquetarse como sensibles y confidenciales.
Para hacer frente a este reto, las organizaciones deben prestar especial atención a la forma en que se recopilan los datos, y asegurarse de que se tienen en cuenta los metadatos y los enlaces que faltan.
Las herramientas de automatización pueden resultar muy útiles en este punto, ya que utilizan algoritmos de aprendizaje automático que mitigan las anomalías, actualizan las directivas, corrigen los formatos y monitorizan la recopilación de datos de forma rentable.
Qué tener en cuenta sobre la solución de clasificación de datos
Si se quieren establecer reglas y controles de seguridad que sean realmente efectivos, es imprescindible incorporar un motor de clasificación de datos que sea potente. Si no sabes con claridad qué tipo de datos circulan por el sistema, te resultará prácticamente imposible cumplir con las regulaciones y mitigar los riesgos.
La buena noticia es que no tienes que hacerlo solo; existen herramientas de terceros excelentes que pueden encargarse de ello. No obstante, si optas por recurrir a una de estas soluciones, es importante que te fijes en los siguientes aspectos.
Antes de contratar a un proveedor externo que te ayude en la clasificación de datos, evalúa lo siguiente:
¿Qué nivel de precisión ofrece la solución de clasificación? ¿Gestiona datos no estructurados? ¿Utiliza tanto contenido como contexto?
¿La solución está automatizada? ¿Cómo se integra en tu flujo de trabajo?
¿La solución se limita a clasificar los datos o incluye herramientas que mejorarán la posición de seguridad de tu empresa y enviarán alertas fiables?
Si el proveedor cumple todas estas condiciones, es muy probable que estés empezando tu andadura en el proceso de clasificación de datos con buen pie. Sin duda, estás de enhorabuena: la clasificación de alta calidad es uno de los grandes hitos para alcanzar una sólida posición de seguridad.
El motor de clasificación de datos de CrowdStrike
Con cada segundo que pasa, el volumen de datos bajo tu control aumenta. Sin una estrategia adecuada de clasificación de datos, corres el riesgo de exponer información confidencial y tener que hacer frente a graves consecuencias en el plano legal y de la reputación.
La solución de gestión de la posición de seguridad de datos de CrowdStrike ofrece procesos automatizados de detección y clasificación de datos. Está diseñada para descubrir y clasificar datos confidenciales estructurados y no estructurados, independientemente de por dónde circulen, ya sea a nivel local, en la nube o transferidos a servicios externos y bases de datos en la sombra.
CrowdStrike Falcon® Cloud Security integra capacidades en tiempo de ejecución en la DSPM y, por tanto, ofrece a tu equipo una capa adicional de contexto de riesgos que facilita la priorización efectiva de los riesgos y reduce la fatiga de alertas. Gracias a esta solución podrás proteger tus datos en implementaciones híbridas y multinube, ya que tendrás la capacidad de responder a las amenazas en tiempo real.
Dana Raveh ocupa el puesto de Director of Product Marketing para la seguridad de datos y de la nube en CrowdStrike. Antes de unirse a CrowdStrike, Dana lideró equipos de marketing en startups de ciberseguridad como Seemplicity Security y Flow Security (adquirida por CrowdStrike), donde ocupó el cargo de vicepresidenta de marketing. También ha ocupado diversos puestos de marketing y gestión de productos en diferentes organizaciones globales, como Checkmarx. Obtuvo un doctorado en neurociencia cognitiva en el University College de Londres.
