SEC07-BP01 Identificar los datos en su carga de trabajo

Es fundamental conocer el tipo y la clasificación de los datos que procesa su carga de trabajo, los procesos empresariales asociados, dónde se almacenan los datos y quién es su propietario. También debe conocer los requisitos legales y de conformidad aplicables a su carga de trabajo y qué controles deben aplicarse en los datos. Identificar los datos es el primer paso en el proceso de clasificación de los datos.

Beneficios de establecer esta práctica recomendada:

La clasificación de datos permite a los propietarios de las cargas de trabajo identificar las ubicaciones en las que se almacenan datos confidenciales y determinar cómo se debe acceder a esos datos y compartirlos.

La clasificación de los datos tiene como objetivo responder a las siguientes preguntas:

¿Qué tipo de datos tiene?

Podrían ser datos como los siguientes:
- Datos de propiedad intelectual (PI), como secretos comerciales, patentes o acuerdos contractuales.
- Información sanitaria protegida (PHI), como historiales médicos que contienen información sobre la historia clínica de una persona.
- Información de identificación personal (PII), como nombre, dirección, fecha de nacimiento y número de identificación nacional o de registro.
- Datos de tarjetas de crédito, como el número de cuenta principal (PAN), el nombre del titular de la tarjeta, la fecha de caducidad y el número de código de servicio.
- ¿Dónde se almacenan los datos confidenciales?
- ¿Quién puede acceder a los datos, modificarlos y borrarlos?
- Es esencial conocer los permisos de los usuarios para protegerse de posibles tratamientos indebidos de los datos.
¿Quién puede realizar operaciones de creación, lectura, actualización y eliminación (CRUD)?
- Para tener en cuenta la posible escalada de privilegios, conozca quién puede administrar los permisos de los datos.
¿Qué impacto podría tener en la empresa que los datos se divulgasen involuntariamente, se alteraren o se eliminasen?
- Conozca el riesgo que supone que los datos se modifiquen, eliminen o revelen de forma inadvertida.

Si conoce las respuestas a estas preguntas, podrá tomar las siguientes medidas:

Reducir el alcance de los datos confidenciales (como el número de ubicaciones de datos confidenciales) y limitar el acceso a los datos confidenciales solo a los usuarios autorizados.
Conocer los distintos tipos de datos para poder implementar los mecanismos y técnicas de protección de datos adecuados, como el cifrado, la prevención de la pérdida de datos y la administración de identidades y accesos.
Optimizar los costes proporcionando los objetivos de control adecuados para los datos.
Responder con confianza a las preguntas de los reguladores y auditores sobre el tipo y la cantidad de datos, y sobre cómo se aíslan entre sí los datos con distintos niveles de confidencialidad.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

La clasificación de los datos es el acto de identificar el nivel de confidencialidad de los datos. Podría ser necesario etiquetarlos para que la búsqueda y el seguimiento de esos datos sean más sencillos. La clasificación de los datos también reduce la duplicación de datos, lo que puede ayudar a disminuir los costes de almacenamiento y de copias de seguridad al tiempo que acelera el proceso de búsqueda.

Utilice servicios como Amazon Macie para automatizar a escala tanto la detección como la clasificación de datos confidenciales. Otros servicios, como Amazon EventBridge y AWS Config, pueden utilizarse para automatizar la corrección de problemas de seguridad de los datos, como los buckets sin cifrar de Amazon Simple Storage Service (Amazon S3) y volúmenes EBS de Amazon EC2 o recursos de datos sin etiquetar. Para obtener una lista completa de las integraciones de los servicios de AWS, consulte la documentación de EventBridge.

Es posible detectar PII en datos no estructurados, como correos electrónicos de clientes, tickets de soporte, reseñas de productos y redes sociales, mediante Amazon Comprehend, que es un servicio de procesamiento de lenguaje natural (NLP) que utiliza machine learning (ML) para encontrar información y relaciones, como personas, lugares, sentimientos y temas en un texto no estructurado. Para obtener una lista de los servicios de AWS que pueden ayudar a identificar los datos, consulte Common techniques to detect PHI and PII data using AWS services (Técnicas comunes para detectar datos PHI y PII utilizando los servicios de AWS).

Otro método que facilita la clasificación y protección de los datos es el etiquetado de recursos de AWS. El etiquetado le permite asignar metadatos a sus recursos de AWS y puede utilizarlo para administrar, identificar, organizar, buscar y filtrar recursos.

En algunos casos, puede optar por etiquetar recursos enteros (como un bucket de S3), especialmente cuando se espera que una carga de trabajo o un servicio específico almacene procesos o transmisiones de una clasificación de datos ya conocida.

Cuando sea apropiado, puede etiquetar un bucket de S3 en lugar de objetos individuales para facilitar la administración y el mantenimiento de la seguridad.

Pasos para la implementación

Detecte datos confidenciales dentro de Amazon S3:

Antes de empezar, asegúrese de que dispone de los permisos adecuados para acceder a la consola de Amazon Macie y a las operaciones de la API. Para obtener más información, consulte Getting started with Amazon Macie (Introducción a Amazon Macie).
Utilice Amazon Macie para detectar automáticamente los datos cuando los datos confidenciales residan en Amazon S3.
- Utilice la guía Getting Started with Amazon Macie (Introducción a Amazon Macie) para configurar un repositorio de resultados de detección de datos confidenciales y crear un trabajo de detección de datos confidenciales.
- Cómo utilizar Amazon Macie para previsualizar datos confidenciales en buckets de S3.
  
  De forma predeterminada, Macie analiza los objetos con el conjunto de identificadores de datos administrados que recomendamos para detectar automáticamente los datos confidenciales. Para adaptar el análisis, configure Macie para que utilice identificadores de datos administrados específicos, identificadores de datos personalizados y listas de permitidos cuando detecte automáticamente los datos confidenciales para su cuenta u organización. Para ajustar el alcance del análisis, puede excluir buckets específicos (por ejemplo, buckets de S3 que suelen almacenar datos de registro de AWS).
Para configurar y utilizar la detección automatizada de datos confidenciales, consulte Performing automated sensitive data discovery with Amazon Macie (Detección automática de datos confidenciales con Amazon Macie).
También puede consultar Automated Data Discovery for Amazon Macie (Detección automática de datos para Amazon Macie).

Detecte datos confidenciales dentro de Amazon RDS:

Para obtener más información sobre la detección de datos en bases de datos de Amazon Relational Database Service (Amazon RDS), consulte Enabling data classification for Amazon RDS database with Macie (Habilitación de la clasificación de datos para bases de datos de Amazon RDS con Macie).

Detecte datos confidenciales dentro de DynamoDB:

En Detecting sensitive data in DynamoDB with Macie (Detección de datos confidenciales en DynamoDB con Macie), se explica cómo utilizar Amazon Macie para detectar datos confidenciales en tablas de Amazon DynamoDB exportando los datos a Amazon S3 para analizarlos.

Soluciones de los socios de AWS

Considere la posibilidad de utilizar nuestra amplia AWS Partner Network. Los socios de AWS disponen de exhaustivas herramientas y marcos de conformidad que se integran directamente con los servicios de AWS. Los socios pueden proporcionarle una solución de gobernanza y conformidad a medida para ayudarle a satisfacer sus necesidades organizativas.
Para obtener soluciones personalizadas para la clasificación de datos, consulte Data governance in the age of regulation and compliance requirements (Gobernanza de datos en la era de la regulación y los requisitos de conformidad).

Para aplicar automáticamente las normas de etiquetado que adopte su organización, puede crear y desplegar políticas mediante AWS Organizations. Las políticas de etiquetado le permiten especificar reglas que definen los nombres válidos de las claves y qué valores son válidos para cada clave. Puede optar por supervisarlas únicamente, lo que le ofrece la oportunidad de evaluar y limpiar sus etiquetas existentes. Una vez que sus etiquetas cumplan las normas elegidas, puede activar la aplicación de la norma en las políticas de etiquetas para evitar que se creen etiquetas que no las cumplan. Para obtener más información, consulte Securing resource tags used for authorization using a service control policy in AWS Organizations (Proteger las etiquetas de recursos utilizadas para la autorización mediante una política de control de servicios en las organizaciones de AWS) y el ejemplo de política para evitar que las etiquetas se modifiquen, excepto por las entidades principales autorizadas.

Para comenzar a utilizar las políticas de etiquetas en AWS Organizations, se recomienda encarecidamente seguir el flujo de trabajo de Introducción a las políticas de etiquetas antes de pasar a políticas de etiquetas más avanzadas. Conocer el efecto que tiene asociar una simple política de etiquetas a una sola cuenta antes de extenderla a toda una unidad organizativa (OU) u organización le permite ver los efectos que tiene antes de imponer su cumplimiento. En Introducción a las políticas de etiquetas, encontrará enlaces a instrucciones de tareas relacionadas con políticas más avanzadas.
Considere la posibilidad de evaluar otros servicios y características de AWS compatibles con la clasificación de datos, que se enumeran en el documento técnico Data Classification (Clasificación de datos).

Recursos

Documentos relacionados:

Getting Started with Amazon Macie (Introducción a Amazon Macie)
Automated data discovery with Amazon Macie (Detección automática de datos con Amazon Macie)
Introducción a las políticas de etiquetas
Detecting PII entities (Detectar entidades PII)

Blogs relacionados:

Cómo utilizar Amazon Macie para previsualizar datos confidenciales en buckets de S3.
Performing automated sensitive data discovery with Amazon Macie (Detección automática de datos confidenciales con Amazon Macie)
Common techniques to detect PHI and PII data using AWS Services (Técnicas comunes para detectar datos PHI y PII utilizando los servicios de AWS)
Detecting and redacting PII using Amazon Comprehend (Detección y ocultación de PII utilizando Amazon Comprehend)
Securing resource tags used for authorization using a service control policy in AWS Organizations (Protección de las etiquetas de recursos utilizadas para la autorización mediante una política de control de servicios en AWS Organizations)
Enabling data classification for Amazon RDS database with Macie (Habilitación de la clasificación de datos para la base de datos de Amazon RDS con Macie)
Detecting sensitive data in DynamoDB with Macie (Detección de datos confidenciales en DynamoDB con Macie)

Vídeos relacionados:

Event-driven data security using Amazon Macie (Seguridad de datos basada en eventos utilizando Amazon Macie)
Amazon Macie for data protection and governance (Amazon Macie para la protección y gobernanza de datos)
Fine-tune sensitive data findings with allow lists (Optimización de los hallazgos de datos confidenciales con listas de permitidos)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEGURIDAD 7. ¿Cómo clasifica sus datos?

SEC07-BP02 Definir controles de protección de datos