¿Qué es NIST?
NIST = El Instituto Nacional de Estándares y Tecnología (The National Institute of Standards and Technology) es una agencia no reguladora del Departamento de Comercio de los Estados Unidos. NIST ha publicado un marco de seguridad cibernética, que es una guía voluntaria basada en estándares, pautas y prácticas existentes para que las organizaciones administren y reduzcan mejor el riesgo de ciberseguridad.
¿A quién se aplica el marco de seguridad cibernética del NIST?
No se cumple con el marco de seguridad cibernética del NIST, ya que el marco está destinado a ser una guía voluntaria que se debe aprovechar y utilizar como desee. En otras palabras, una empresa puede cumplir con los requisitos de ciberseguridad establecidos por el marco NIST, sin ninguna obligación legal de hacerlo. Confuso o no, el marco de ciberseguridad del NIST puede ser utilizado por cualquier persona para guiar cómo implementar prácticas sólidas de ciberseguridad.
¿Qué dice el NIST sobre la clasificación de datos?
En Identificar -> ID de control de gestión de activos, los recursos de AM-5 (por ejemplo, hardware, dispositivos, datos, tiempo y software) se priorizan en función de su clasificación, criticidad y valor comercial. Como los datos o la información se consideran un activo, deben clasificarse para encontrar su criticidad y valor comercial.
¿Dónde más podría ser relevante la clasificación de datos?
ID.RA-1: Se identifican y documentan las vulnerabilidades de los activos. La clasificación de datos puede ayudar a determinar los activos o, en algunos casos, los pasivos que se encuentran ocultos en los documentos. Tener todos los documentos clasificados y etiquetados de acuerdo con la confidencialidad mostrará el riesgo que corre la empresa.
PR.AC-4: Se gestionan los permisos y autorizaciones de acceso, incorporando los principios de mínimo privilegio y separación de funciones. Para controlar eficazmente el acceso a los recursos y activos de información, debe clasificar los documentos de acuerdo con su clasificación de confidencialidad. Solo así la organización puede obtener una visión general y restringir el acceso a la información confidencial.
PR.DS-1: Los datos en reposo están protegidos. La clasificación de datos ayuda a proteger los datos según su criticidad.
PR.DS-2: Los datos en tránsito están protegidos. La clasificación de datos ayuda a proteger los datos según su criticidad.
PR.DS-3: Los activos se gestionan formalmente durante la remoción, transferencia y disposición. La clasificación de datos ayuda a proteger los datos de acuerdo con su criticidad y elimina la información confidencial que ya no tiene ningún valor.
PR.DS-5: Se implementan protecciones contra fugas de datos. Al tener clasificados los datos no estructurados, puede aplicar la protección adecuada de la información crítica y predecir la fuga de datos.
PR.IP-6: Los datos se destruyen de acuerdo con la política. Los datos con una alta importancia para la confidencialidad pueden tener una política de retención diferente a la información menos crítica, ya que puede convertirse en una responsabilidad. Por ejemplo, la información de identificación personal/ personally identifiable information (PII) debe eliminarse cuando ya no tenga una razón justificable para conservarla. Haber clasificado sus documentos no estructurados lo ayudará a identificar aquellos documentos que puede y debe eliminar.
DE.AE-4: Se determina el impacto de los eventos. De acuerdo con la confidencialidad, haber clasificado sus datos no estructurados lo ayudará a obtener una descripción general de los impactos de un evento. El impacto es mucho mayor si alguien obtiene acceso a una máquina con muchos documentos confidenciales que un dispositivo con solo registros públicos.
Resumen: Solamente una subcategoría está directamente relacionada con la clasificación de datos. Pero haber clasificado su información y documentos no estructurados ayuda a cumplir con varias otras subcategorías.
