Cuatro sencillos pasos para clasificar los datos y proteger una startup

Un proceso de clasificación de datos le permite distinguir entre datos confidenciales y datos destinados al consumo público y le permite gestionar cada conjunto como corresponda. Una startup que clasifique sus datos puede operar de manera más eficiente y cumplir con mayor seguridad con leyes como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Protección al Consumidor de California (CCPA).

Comprender los tipos de datos y sus niveles de confidencialidad garantiza que su startup se mantenga a la vanguardia del uso o la divulgación no intencionados de datos y cumpla con los requisitos de conformidad.

Para comenzar, en esta publicación se señalan cuatro pasos sencillos para simplificar y automatizar el proceso de clasificación de datos para su startup.

1. Diseñar el marco de clasificación de datos

Primero, determinará quién puede acceder a los datos de su startup; para ello, evaluará cómo clasificar y controlar los datos.

Evaluar y clasificar los datos

La clasificación de datos “implica identificar los tipos de datos que se procesan y almacenan en un sistema de información propiedad de una organización o gestionado por ella”, tal como se define en el documento técnico sobre clasificación de datos de Amazon Web Services (AWS).

Para diseñar su marco de clasificación de datos, primero evaluará los datos. Para ello, recomendamos agrupar los datos en el menor número posible de categorías, ya que un marco más sencillo es más fácil de administrar.

Para la mayoría de las empresas, estos tres niveles deberían cubrir los casos de uso de clasificación de datos más comunes:

• Sin clasificar. Para datos de baja seguridad (como datos de sitios web públicos, catálogos de cursos, etc.).
• Oficiales. Para datos de seguridad moderada (como comunicaciones oficiales, circulares internas, etc.).
• Secretos. Para los datos más confidenciales (como registros financieros, propiedad intelectual, datos con privilegios legales, etc.)

La forma en que clasifique sus datos y el lugar en el que los almacene se basarán en la naturaleza de su empresa y sus requisitos legales. Por ejemplo, si procesa tarjetas de crédito, debe cumplir con los estándares del sector de las tarjetas de pago (PCI), que se clasifican como secretos.

¿Necesita ayuda para clasificar los datos? Amazon Macie utiliza el machine learning (ML) para automatizar la clasificación de datos confidenciales y críticos para la empresa. Utiliza el machine learning (ML) y la coincidencia de patrones para detectar información confidencial, como números de tarjetas de crédito, datos sanitarios y otros tipos de información de identificación personal (PII).

Determinar los controles de protección de datos

Los controles de protección de datos administran cómo se utilizan los datos, quién tiene acceso a ellos y cómo se cifran.

Después de asignar los conjuntos de datos a los niveles de clasificación, determinará qué controles se aplican a cada categoría. Al administrar cuidadosamente un sistema de clasificación de datos adecuado, junto con los requisitos del nivel de protección de cada carga de trabajo, puede asignar los controles y el nivel adecuado de acceso o protección para los datos.

Existen muchos tipos de controles de protección de datos, pero algunos de los más comunes que debe conocer son los siguientes:

• Usar cuentas separadas para colocar los recursos de cargas de trabajo por nivel de confidencialidad. AWS Organizations le permite crear y administrar varias cuentas de AWS  con facilidad.
• Al configurar políticas de IAM, políticas de control de servicios (SCP) de Organizations, AWS Key Management Service (AWS KMS) y  AWS CloudHSM, puede definir e implementar sus políticas de clasificación y protección de datos con cifrado.
• Garantizar que los datos se almacenen y procesen en la región de AWS adecuada en función de los requisitos de conformidad y residencia de datos. AWS nunca inicia el movimiento de datos entre regiones. El contenido ubicado en una región permanecerá en esa región a menos que habilite de forma explícita una característica o utilice un servicio que proporcione esa funcionalidad.
• Usar reglas de AWS Config para comprobar automáticamente que está utilizando el cifrado de los datos en reposo, por ejemplo, para los volúmenes de Amazon Elastic Block Store (Amazon EBS), las instancias de Amazon Relational Database Service (Amazon RDS) y los buckets de Amazon Simple Storage Service (Amazon S3).
• Reforzar el cifrado en tránsito. Por ejemplo, las solicitudes HTTP también se pueden redirigir automáticamente a HTTPS en Amazon CloudFront o en un equilibrador de carga de aplicación.

Los datos no clasificados, por ejemplo, pueden estar disponibles para cualquier persona de su organización o incluso de forma externa, mientras que los datos secretos pueden requerir un acceso autorizado a una clave para poder descifrarlos.

2. Etiquetar los datos

Por motivos de seguridad, las etiquetas de metadatos pueden ayudarlo a identificar, categorizar y administrar los recursos de diferentes formas como, por ejemplo, según el propósito, el propietario, el entorno u otros criterios. Puede usar etiquetas de seguridad para identificar y agrupar los recursos en función de los requisitos de confidencialidad y conformidad.

Ahora que sabe cómo clasificará y protegerá sus datos, va a agregar etiquetas de metadatos que designen su nivel de clasificación. Estas etiquetas sirven de referencia para su equipo y permiten la automatización y los controles adicionales. Existen muchas estrategias de etiquetado comunes, pero las etiquetas que quizás quiera usar por motivos de seguridad son las siguientes:

• Confidencialidad: identificador del nivel específico de confidencialidad de los datos que admite un recurso.
• Conformidad: identificador de las cargas de trabajo que deben cumplir con los requisitos de conformidad específicos.

Puede usar etiquetas para requerir el cifrado, por ejemplo, o restringir quién puede acceder a los datos. Si aún no dispone de etiquetas para los recursos actuales, AWS ofrece herramientas que lo ayudan a administrar las etiquetas de los recursos en varios servicios:

• AWS Resource Groups y la API de etiquetado de grupos de recursos permiten el control mediante programación de las etiquetas, lo que facilita la administración, la búsqueda y el filtrado de etiquetas y recursos.
• AWS Identity and Access Management (IAM) le permite controlar el acceso a los recursos con etiquetas.

Recuerde que es bastante fácil cambiar las etiquetas para adaptarlas a los cambiantes requisitos empresariales, pero tenga en cuenta las consecuencias de los futuros cambios. Por ejemplo, cambiar las etiquetas de control de acceso implica que también debe actualizar las políticas que hacen referencia a esas etiquetas y controlan el acceso a los recursos.

3. Eliminar los datos confidenciales

La eliminación de datos limita los lugares en que se almacenan los datos confidenciales y restringe el acceso a quienes los necesitan, sin obstaculizar los entornos descendentes.

La automatización de la eliminación limita el peligro de la publicación accidental de datos y ayuda a las startups a cumplir con los requisitos de privacidad al navegar por un volumen de datos cada vez mayor.

Amazon Comprehender, junto con los puntos de acceso de Amazon S3 Object Lambda, puede detectar más de una docena de tipos de PII, tales como contraseñas, direcciones, números de teléfono y números de la seguridad social, así como llevar a cabo eliminaciones automáticas en documentos de texto.

4. Estar al día con la conformidad

La conformidad de los datos identifica las reglas para la protección, la seguridad y el almacenamiento de datos. Establece políticas, procedimientos y protocolos y garantiza que los datos estén protegidos contra el acceso y el uso no autorizados.

En nuestro último paso, va a supervisar los datos para garantizar que cumplan con los requisitos. Las reglas de AWS Config y las Prácticas recomendadas de seguridad básica de AWS de AWS Security Hub lo ayudan a realizar un seguimiento de la configuración de sus datos y le notifican si se cambian. De esta forma, le permiten garantizar de forma continua el cumplimiento de los estándares de seguridad.

Proteger una startup con AWS

Casi todas las startups operan ahora en un entorno global y se enfrentan a cada vez más requisitos diferentes en cada país en el que hacen negocios.

Al identificar los datos de los que dispone e implementar los controles automatizados adecuados, puede cumplir con estos requisitos con mayor facilidad y, al mismo tiempo, mejorar su posición de seguridad. Para obtener más información, le recomendamos que consulte el documento técnico sobre clasificación de datos de AWS. También le recomendamos que consulte AWS Well-Architected Framework, que lo ayuda a entender los pros y los contras de las decisiones que toma al crear sistemas en la nube y describe cómo utilizar las tecnologías de la nube para proteger los datos, los sistemas y los activos de forma que pueda mejorar su posición de seguridad.