SEC07-BP03 Automatización de la identificación y la clasificación - Pilar de seguridad
Guía para la implementaciónRecursos

SEC07-BP03 Automatización de la identificación y la clasificación

La automatización de la identificación y clasificación de datos puede ayudarle a implementar los controles correctos. El uso de la automatización para aumentar la determinación manual reduce el riesgo de errores humanos y exposiciones.

Resultado deseado: puede verificar si dispone de los controles adecuados en función de su política de clasificación y gestión. Las herramientas y los servicios automatizados le ayudan a identificar y clasificar el nivel de confidencialidad de sus datos.  La automatización también le ayuda a supervisar continuamente sus entornos para detectar y alertar si los datos se almacenan o gestionen de manera no autorizada, de modo que se puedan tomar medidas correctivas rápidamente.

Patrones comunes de uso no recomendados:

  • Confiar únicamente en procesos manuales para la identificación y clasificación de datos, que pueden ser propensos a errores y requerir mucho tiempo.  Esto puede provocar una clasificación de datos ineficiente e incoherente, especialmente a medida que aumentan los volúmenes de datos.

  • No disponer de mecanismos para rastrear y administrar los activos de datos en toda la organización.

  • Pasar por alto la necesidad de supervisar y clasificar continuamente los datos a medida que circulan y evolucionan dentro de la organización.

Beneficios de establecer esta práctica recomendada: la automatización de la identificación y la clasificación de datos puede provocar una aplicación más coherente y precisa de los controles de protección de datos, lo que reduce el riesgo de errores humanos.  La automatización también puede proporcionar visibilidad sobre el acceso y la circulación de datos confidenciales, lo que le ayuda a detectar las manipulaciones no autorizadas y a tomar medidas correctivas.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Si bien es habitual recurrir a las decisiones humanas para clasificar los datos durante las fases iniciales del diseño de una carga de trabajo, plantéese la posibilidad de contar con sistemas que automaticen la identificación y la clasificación de los datos de prueba como control preventivo. Por ejemplo, a los desarrolladores se les puede proporcionar una herramienta o un servicio para analizar datos representativos y determinar su confidencialidad.  En AWS, puede cargar conjuntos de datos en Amazon S3 y analizarlos con Amazon Macie, Amazon Comprehend o Amazon Comprehend Medical.  Del mismo modo, piense en la posibilidad de incluir el análisis de datos como parte de las pruebas unitarias y de integración para detectar en qué puntos no se espera que haya datos confidenciales. Las alertas sobre la presencia de datos confidenciales en esta etapa pueden poner de manifiesto las brechas en las protecciones antes de la implementación en producción. Otras funciones, como la detección de datos confidenciales en AWS Glue, Amazon SNS y Amazon CloudWatch, también se pueden utilizar para detectar datos personales identificables y tomar medidas de mitigación. En el caso de las herramientas o servicios automatizados, comprenda cómo definen los datos confidenciales y compleméntelos con otras soluciones humanas o automatizadas para cubrir las carencias existentes, según sea necesario.

Como control de detección, utilice la supervisión continua de sus entornos para detectar si se están almacenando datos confidenciales de manera no conforme a las normas.  Esto puede ayudar a detectar situaciones como la introducción de datos confidenciales en archivos de registro o la copia de este tipo de información en un entorno de análisis de datos sin la debida anonimización o edición.  Los datos que se almacenan en Amazon S3 se pueden supervisar continuamente con Amazon Macie para detectar la presencia de datos confidenciales.  

Pasos para la implementación

  1. Revise el esquema de clasificación de datos de su organización que se describe en SEC07-BP01.

    1. Si comprende el esquema de clasificación de datos de su organización, podrá establecer procesos precisos para la identificación y clasificación automatizadas que se ajusten a las políticas de la empresa.

  2. Analice sus entornos inicialmente para llevar a cabo una identificación y una clasificación automatizadas.

    1. El análisis completo inicial de sus datos puede contribuir a obtener un conocimiento detallado de dónde se encuentran los datos confidenciales en sus entornos. Si inicialmente no se requiere un análisis completo o no se puede completar por adelantado debido al costo, evalúe si las técnicas de muestreo de datos son adecuadas para lograr sus resultados. Por ejemplo, se puede configurar Amazon Macie para llevar a cabo una operación amplia y automatizada de detección de datos confidenciales en los buckets de S3.  Esta capacidad utiliza técnicas de muestreo para llevar a cabo un análisis preliminar de dónde se encuentran los datos confidenciales de forma asequible.  A continuación, se puede hacer un análisis en mayor profundidad de los buckets de S3 mediante un trabajo de detección de datos confidenciales. También se pueden exportar otros almacenes de datos a S3 para escanearlos con Macie.

    2. Establezca el control de acceso que se define en SEC07-BP02 para los recursos de almacenamiento de datos identificados en el análisis.

  3. Configure análisis continuos de sus entornos.

    1. La capacidad automatizada de detección de datos confidenciales de Macie se puede utilizar para llevar a cabo análisis continuos de sus entornos.  Los buckets de S3 conocidos autorizados para almacenar datos confidenciales se pueden excluir mediante el uso de una lista de permitidos en Macie.

  4. Incorpore la identificación y la clasificación en sus procesos de desarrollo y prueba.

    1. Identifique las herramientas que los desarrolladores pueden usar para analizar los datos en busca de información confidencial mientras se están desarrollando las cargas de trabajo.  Utilice estas herramientas como parte de las pruebas de integración para recibir alertas cuando la presencia de datos confidenciales sea inesperada y evitar así continuar con la implementación.

  5. Implemente un sistema o manual de procedimientos para tomar medidas cuando se encuentren datos confidenciales en ubicaciones no autorizadas.

    1. Restrinja el acceso a los datos mediante la corrección automática. Por ejemplo, puede mover estos datos a un bucket de S3 con acceso restringido o etiquetar el objeto si utiliza el control de acceso basado en atributos (ABAC). Además, considere la posibilidad de enmascarar los datos cuando se detecten.

    2. Avise a sus equipos de protección de datos y respuesta a incidentes para que investiguen la causa raíz del incidente. Cualquier aprendizaje que identifique puede ayudar a prevenir futuros incidentes.

Recursos

Documentos relacionados:

Ejemplos relacionados:

Herramientas relacionadas: