Recomendaciones para la clasificación de datos

Se aplica a la recomendación de lista de comprobación de seguridad de Azure Well-Architected Framework:

SE:03 Clasifique y aplique de forma coherente etiquetas de confidencialidad en todos los datos de carga de trabajo y sistemas implicados en el procesamiento de datos. Use la clasificación para influir en el diseño, la implementación y la priorización de seguridad de la carga de trabajo.

En esta guía se describen las recomendaciones para la clasificación de datos. La mayoría de las cargas de trabajo almacenan varios tipos de datos. No todos los datos son igualmente confidenciales. La clasificación de datos le ayuda a clasificar los datos en función de su nivel de confidencialidad, el tipo de información y el ámbito de cumplimiento para que pueda aplicar el nivel de protección correcto. La protección incluye controles de acceso, directivas de retención para diferentes tipos de información, etc. Aunque los controles de seguridad reales basados en la clasificación de datos están fuera del ámbito de este artículo, proporciona recomendaciones para clasificar los datos en función de los criterios anteriores establecidos por su organización.

Definiciones

Término Definición
clasificación Proceso para clasificar los recursos de carga de trabajo por niveles de confidencialidad, tipo de información, requisitos de cumplimiento y otros criterios proporcionados por la organización.
Metadatos Implementación para aplicar taxonomía a los recursos.
Taxonomía Un sistema para organizar los datos clasificados mediante una estructura acordada. Normalmente, una representación jerárquica de la clasificación de datos. Tiene entidades con nombre que indican criterios de categorización.

Estrategias de diseño principales

La clasificación de datos es un ejercicio fundamental que a menudo impulsa la creación de un sistema de registros y su función. La clasificación también le ayuda a ajustar correctamente las garantías de seguridad y ayuda al equipo de evaluación de prioridades a detectar durante la respuesta a incidentes. Un requisito previo para el proceso de diseño es comprender claramente si los datos deben tratarse como confidenciales, restringidos, públicos o cualquier otra clasificación de confidencialidad. También es esencial determinar las ubicaciones en las que se almacenan los datos, ya que los datos se pueden distribuir entre varios entornos.

La detección de datos es necesaria para localizar los datos. Sin ese conocimiento, la mayoría de los diseños adoptan un enfoque intermedio, que podría o no cumplir los requisitos de seguridad. Los datos se pueden sobreproteger, lo que da lugar a ineficacias de costos y rendimiento. O puede que no esté suficientemente protegido, lo que agrega a la superficie expuesta a ataques.

La clasificación de datos suele ser un ejercicio complicado. Hay herramientas disponibles que pueden detectar recursos de datos y sugerir clasificaciones. Pero no solo confíe en herramientas. Tenga un proceso en el que los miembros del equipo realicen diligentemente los ejercicios. A continuación, use herramientas para automatizar cuando sea práctico.

Junto con estos procedimientos recomendados, consulte Create un marco de clasificación de datos bien diseñado.

Descripción de la taxonomía definida por la organización

La taxonomía es una representación jerárquica de la clasificación de datos. Tiene entidades con nombre que indican los criterios de categorización.

En general, no hay un estándar universal para la clasificación ni para definir la taxonomía. Está controlada por la motivación de una organización para proteger los datos. La taxonomía podría capturar los requisitos de cumplimiento, las características prometidas para los usuarios de la carga de trabajo u otros criterios controlados por las necesidades empresariales.

Estas son algunas etiquetas de clasificación de ejemplo para los niveles de confidencialidad, el tipo de información y el ámbito de cumplimiento.

Sensibilidad Tipo de información Ámbito de cumplimiento
Público, General, Confidencial, Extremadamente Confidencial, Secreto, Secreto Superior, Confidencial Financial, Credit Card, Name, Contact Info, Credentials, Banking, Networking, SSN, Health fields, Date of Birth, Intellectual Property, personal data HIPAA, PCI, CCPA, SOX, RTB

Como propietario de la carga de trabajo, confíe en su organización para proporcionarle una taxonomía bien definida. Todos los roles de carga de trabajo deben tener una comprensión compartida de la estructura, nomenclatura y definición de los niveles de confidencialidad. No defina su propio sistema de clasificación.

Definición del ámbito de clasificación

La mayoría de las organizaciones tienen un conjunto diverso de etiquetas.

Diagrama que muestra un ejemplo de las etiquetas de confidencialidad de una organización.

Identifique claramente qué recursos y componentes de datos están dentro del ámbito y fuera del ámbito para cada nivel de confidencialidad. Debe tener un objetivo claro sobre el resultado. El objetivo podría ser una evaluación de prioridades más rápida, una recuperación ante desastres acelerada o auditorías normativas. Cuando comprende claramente los objetivos, garantiza el tamaño correcto de los esfuerzos de clasificación.

Comience con estas preguntas sencillas y expanda según sea necesario en función de la complejidad del sistema:

  • ¿Cuál es el origen de los datos y el tipo de información?
  • ¿Cuál es la restricción esperada basada en el acceso? Por ejemplo, ¿son datos de información pública, normativos u otros casos de uso esperados?
  • ¿Cuál es la superficie de datos? ¿Dónde se guardan los datos? ¿Cuánto tiempo deben conservarse los datos?
  • ¿Qué componentes de la arquitectura interactúan con los datos?
  • ¿Cómo se mueven los datos a través del sistema?
  • ¿Qué información se espera en los informes de auditoría?
  • ¿Necesita clasificar los datos de preproducción?

Realizar un inventario de los almacenes de datos

Si tiene un sistema existente, realice un inventario de todos los almacenes de datos y componentes que están en el ámbito. Por otro lado, si va a diseñar un nuevo sistema, cree una dimensión de flujo de datos de la arquitectura y tenga una categorización inicial por definiciones de taxonomía. La clasificación se aplica al sistema en su conjunto. Es diferente de clasificar secretos de configuración y nosecretos.

Defina su alcance

Sea granular y explícito al definir el ámbito. Supongamos que el almacén de datos es un sistema tabular. Quiere clasificar la confidencialidad en el nivel de tabla o incluso las columnas de la tabla. Además, asegúrese de ampliar la clasificación a componentes que no son de almacén de datos que puedan estar relacionados o que formen parte del procesamiento de los datos. Por ejemplo, ¿ha clasificado la copia de seguridad del almacén de datos altamente confidencial? Si va a almacenar en caché datos confidenciales del usuario, ¿el almacén de datos de almacenamiento en caché está en el ámbito? Si usa almacenes de datos analíticos, ¿cómo se clasifican los datos agregados?

Diseño según las etiquetas de clasificación

La clasificación debe influir en las decisiones arquitectónicas. El área más obvia es la estrategia de segmentación, que debe tener en cuenta las diversas etiquetas de clasificación.

Por ejemplo, las etiquetas influyen en los límites de aislamiento del tráfico. Puede haber flujos críticos en los que se requiera seguridad de la capa de transporte de un extremo a otro (TLS), mientras que otros paquetes se pueden enviar a través de HTTP. Si hay mensajes transmitidos a través de un agente de mensajes, es posible que sea necesario firmar determinados mensajes.

En el caso de los datos en reposo, los niveles afectarán a las opciones de cifrado. Puede optar por proteger datos altamente confidenciales mediante el cifrado doble. Los distintos secretos de aplicación pueden incluso requerir control con diversos niveles de protección. Es posible que pueda justificar el almacenamiento de secretos en un almacén de módulos de seguridad de hardware (HSM), lo que ofrece restricciones más altas. Las etiquetas de cumplimiento también dictan decisiones sobre los estándares de protección adecuados. Por ejemplo, el estándar PCI-DSS exige el uso de protección fiPS 140-2 de nivel 3, que solo está disponible con HSM. En otros casos, puede ser aceptable que otros secretos se almacenen en un almacén de administración de secretos normal.

Si necesita proteger los datos en uso, es posible que desee incorporar la computación confidencial en la arquitectura.

La información de clasificación debe moverse con los datos a medida que pasa por el sistema y entre los componentes de la carga de trabajo. Todos los componentes que interactúan con ellos deben tratar los datos etiquetados como confidenciales. Por ejemplo, asegúrese de proteger los datos personales quitando o ofuscandolos de cualquier tipo de registro de aplicación.

La clasificación afecta al diseño del informe en la forma en que se deben exponer los datos. Por ejemplo, en función de las etiquetas de tipo de información, ¿necesita aplicar un algoritmo de enmascaramiento de datos para ofuscación como resultado de la etiqueta de tipo de información? ¿Qué roles deben tener visibilidad sobre los datos sin procesar frente a los datos enmascarados? Si hay algún requisito de cumplimiento para los informes, ¿cómo se asignan los datos a las regulaciones y estándares? Cuando tenga este conocimiento, es más fácil demostrar el cumplimiento de requisitos específicos y generar informes para auditores.

También afecta a las operaciones de administración del ciclo de vida de los datos, como la retención de datos y las programaciones de retirada.

Aplicar taxonomía para realizar consultas

Hay muchas maneras de aplicar etiquetas de taxonomía a los datos identificados. El uso de un esquema de clasificación con metadatos es la manera más común de indicar las etiquetas. La normalización a través del esquema garantiza que los informes sean precisos, minimice las posibilidades de variación y evite la creación de consultas personalizadas. Compile comprobaciones automatizadas para detectar entradas no válidas.

Puede aplicar etiquetas manualmente, mediante programación o usar una combinación de ambos. El proceso de diseño de arquitectura debe incluir el diseño del esquema. Tanto si tiene un sistema existente como si está creando uno nuevo, al aplicar etiquetas, mantenga la coherencia en los pares clave-valor.

Tenga en cuenta que no todos los datos se pueden clasificar claramente. Tome una decisión explícita sobre cómo se deben representar los datos que no se pueden clasificar en los informes.

La implementación real depende del tipo de recursos. Algunos recursos de Azure tienen sistemas de clasificación integrados. Por ejemplo, Azure SQL Server tiene un motor de clasificación, admite enmascaramiento dinámico y puede generar informes basados en metadatos. Azure Service Bus admite la inclusión de un esquema de mensajes que puede tener metadatos adjuntos. Al diseñar la implementación, evalúe las características compatibles con la plataforma y aproveche las ventajas de ellas. Asegúrese de que los metadatos usados para la clasificación estén aislados y almacenados por separado de los almacenes de datos.

También hay herramientas de clasificación especializadas que pueden detectar y aplicar etiquetas automáticamente. Estas herramientas están conectadas a los orígenes de datos. Microsoft Purview tiene funcionalidades de detección automática. También hay herramientas de terceros que ofrecen funcionalidades similares. El proceso de detección debe validarse mediante la verificación manual.

Revise la clasificación de datos con regularidad. El mantenimiento de la clasificación debe integrarse en operaciones; de lo contrario, los metadatos obsoletos pueden dar lugar a resultados erróneos para los objetivos identificados y los problemas de cumplimiento.

Equilibrio: tenga en cuenta el equilibrio de costos en las herramientas. Las herramientas de clasificación requieren entrenamiento y pueden ser complejas.

En última instancia, la clasificación debe acumularse en la organización a través de equipos centrales. Obtenga la entrada de ellos sobre la estructura de informe esperada. Además, aproveche las herramientas y los procesos centralizados para tener alineación organizativa y también aliviar los costos operativos.

Facilitación de Azure

Microsoft Purview unifica las soluciones de Azure Purview y Microsoft Purview para proporcionar visibilidad sobre los recursos de datos en toda la organización. Para obtener más información, consulte ¿Qué es Microsoft Purview?

Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics ofrecen características de clasificación integradas. Use estas herramientas para detectar, clasificar, etiquetar e informar de los datos confidenciales en las bases de datos. Para obtener más información, consulte Detección y clasificación de datos.

Ejemplo

Este ejemplo se basa en el entorno de tecnología de la información (TI) establecido en la línea de base de seguridad (SE:01). En el diagrama de ejemplo siguiente se muestran los almacenes de datos donde se clasifican los datos.

Diagrama que muestra un ejemplo de la clasificación de datos de una organización.

  1. Los datos almacenados en bases de datos y discos solo deben ser accesibles para algunos usuarios, como administradores, administradores de bases de datos. A continuación, es habitual que los usuarios comunes o los clientes finales de los clientes tengan acceso solo a las capas expuestas a Internet, como aplicaciones o jump boxes.

  2. Las aplicaciones se comunican con las bases de datos o los datos almacenados en discos, como el almacenamiento de objetos o los servidores de archivos.

  3. En algunos casos, los datos se pueden almacenar en un entorno local y en la nube pública. Ambos deben clasificarse de forma coherente.

  4. En un caso de uso del operador, los administradores remotos necesitan acceder a jump boxes en la nube o a una máquina virtual que ejecute la carga de trabajo. Los permisos de acceso deben proporcionarse según las etiquetas de clasificación de datos.

  5. Los datos se mueven a través de las máquinas virtuales a las bases de datos de back-end y los datos deben tratarse con el mismo nivel de confidencialidad en los puntos transversales.

  6. Las cargas de trabajo almacenan datos directamente en discos de máquina virtual. Esos discos están en el ámbito de la clasificación.

  7. En un entorno híbrido, diferentes roles pueden acceder a cargas de trabajo locales a través de diferentes mecanismos para conectarse a diferentes tecnologías o bases de datos de almacenamiento de datos. Se debe conceder acceso según las etiquetas de clasificación.

  8. Los servidores locales se conectan a datos importantes que deben clasificarse y protegerse, como servidores de archivos, almacenamiento de objetos y diferentes tipos de bases de datos, como relacionales, sin SQL y almacenamiento de datos.

  9. El cumplimiento de Microsoft Purview proporciona una solución para clasificar archivos y correos electrónicos.

  10. Microsoft Defender for Cloud proporciona una solución que ayuda a su empresa a realizar un seguimiento del cumplimiento en su entorno, incluidos muchos de los servicios usados para almacenar datos, mencionados en estos casos anteriores.

Paso siguiente

Consulte el conjunto completo de recomendaciones.