Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Redacción de políticas y directrices de clasificación de datos


Necesito escribir un procedimiento interno sobre cómo manejar datos confidenciales. ¿Puede ofrecer algunas sugerencias?

Los objetivos de la clasificación de datos se enumeran a continuación:

  • La disponibilidad, integridad y confidencialidad se proporcionan en los niveles necesarios para todos los activos identificados.
  • Retorno de la inversión mediante la implementación de controles donde más se necesitan
  • Mapear los niveles de protección de datos con las necesidades de la organización
  • Mitigar las amenazas de acceso y divulgación no autorizados
  • Cumplir con los requisitos legales y reglamentarios.

Los pasos para desarrollar e implementar un programa de clasificación de datos son:

  1. Recopilar un inventario de todos los activos de información.
  2. Definir niveles de protección para activos de información.
  3. Definir un criterio de clasificación
  4. Desarrollar una política de clasificación de la información
  5. Definir procedimientos de etiquetado y manejo de información
  6. Asignar la responsabilidad de la clasificación al propietario de la información.
  7. Asignar una clasificación de seguridad a todos los activos de información
  8. Clasifique la información según su sensibilidad y cuánta protección se requiere
  9. Aplique el sistema de clasificación a documentos, registros, archivos de datos y discos.
  10. Desarrollar procedimientos de manejo de información para cada clase de información.
  11. Desarrollar procedimientos de etiquetado de información para cada clase de información.
  12. Integrar en programas de formación y concienciación sobre seguridad

Debe tener una política de clasificación de datos que cubra lo siguiente:

  • Información como activo de unidades de negocio individuales
  • Declarar a los directores de las unidades de negocio como propietarios de la información.
  • Declarar a TI como custodios de datos
  • Esquema de clasificación
  • Definiciones para cada clasificación
  • Criterios para cada clasificación
  • Funciones y responsabilidades de la clasificación

Sus procedimientos y pautas escritos deben abordar lo siguiente;

  • Cómo clasificar la información
  • Cómo cambiar el nivel de clasificación si es necesario
  • Cómo comunicar el cambio de clasificación a TI
  • Revisión periódica de
    • Niveles de clasificación actuales y mapeo de las necesidades comerciales
    • Derechos y privilegios de acceso actuales
    • Niveles de protección que utilizan los controles actuales

El documento NIST 800-60 puede estar demasiado «centrado en el Departamento de Defensa» y exagerado para sus necesidades, pero este documento tiene las pautas necesarias para desarrollar y mantener un programa de clasificación de datos estructurados.

Sun proporciona un enfoque más digerible y comprensible, que se puede encontrar en http://www.sun.com/blueprints/tools/samp_sec_pol.pdf

Por último, este enlace proporciona pautas detalladas sobre cómo tratar diferentes tipos de datos.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  Proyecto de transformación digital da nueva vida a documentos históricos

También te puede interesar...

¿Cómo se reconfigura el acceso a un puerto VMkernel?

Con vSphere, puede reconfigurar la configuración del puerto VMkernel y limitar el acceso desde servicios como Secure Shell exclusivamente a su red de administración. Cada pila TCP/IP de VMkernel con una dirección IP usa esa

Conozca los entresijos de los contenedores Hyper-V

funcionar. Por ejemplo, los contenedores de Hyper-V funcionan de manera diferente a las VM de Hyper-V, en parte porque la arquitectura es diferente. Una vez que comprenda la arquitectura de contenedores de Hyper-V, puede incorporar

La guía esencial para la tecnología VMware NSX SDN

Artículo Obtener una manija en NSX Vea las capacidades de NSX desde una perspectiva general para ver cómo las características aparentemente fragmentadas pueden formar un servicio poderoso. Las redes definidas por software de VMware NSX

¿Qué es la personalización de contenido?

La personalización de contenido es una estrategia que adapta las páginas web y otras formas de contenido a las características o preferencias de los usuarios individuales. Los datos de los visitantes se utilizan para proporcionar

Un sistema operativo seguro de código abierto para IoT

Ubuntu Core de Canonical, una pequeña versión transaccional del sistema operativo Ubuntu Linux para dispositivos IoT, ejecuta paquetes de aplicaciones de Linux altamente seguros, conocidos como «instantáneas», que se pueden actualizar de forma remota. Usando

¿Qué es el Protocolo de autenticación extensible (EAP)?

¿Qué es el Protocolo de autenticación extensible? El Protocolo de autenticación extensible (EAP) es un protocolo para redes inalámbricas que amplía los métodos de autenticación utilizados por el Protocolo de punto a punto (PPP), un

¿Qué son la diversidad, la equidad y la inclusión (DEI)?

Diversidad, equidad e inclusión (DEI) es un término utilizado para describir políticas y programas que promueven la representación y participación de diferentes grupos de personas, incluidas personas de diferentes edades, razas y etnias, habilidades y

Compare los roles de los ingenieros de SRE y DevOps

Ingeniero de confiabilidad del sitio y Ingeniero de DevOps son dos roles de TI promocionados en la empresa hoy en día. Las organizaciones que persiguen una estrategia de nube y DevOps deben comprender el propósito

Principios rectores para una prueba de software automatizada

En conversaciones recientes con profesionales de control de calidad del software, sigo escuchando lo mismo: los proyectos de automatización de pruebas se encuentran entre los más exigentes que asume cualquier organización de control de calidad.

Ocho cosas que debes saber

El software hiperconvergente es una opción si desea los beneficios de una infraestructura hiperconvergente pero necesita una mayor flexibilidad en sus opciones de hardware que la que le daría un dispositivo HCI. Con HCI solo

Cambio de estado con los cmdlets Stop-VM y Start-VM

Puede usar el cmdlet Start-VM para iniciar cualquier máquina virtual. Este cmdlet muy simple no requiere ningún cambio en la línea de comandos además del nombre de la máquina virtual. De manera similar, si desea

Proveedores de hardware de redes

Si bien la mayoría de sus clientes pueden depender de uno de varios proveedores de redes para sus enrutadores y conmutadores, la realidad es que el panorama del hardware de redes es diverso. Los revendedores

¿Cómo se vinculan RFID e Internet de las cosas?

El término Internet de las cosas (IoT) fue acuñado por primera vez por la comunidad RFID hace más de una década. El concepto detrás … el término era que etiquetar «cosas» físicas está muy bien,

Deja un comentario