Skip to content

Explica el papel de la clasificación de datos y las responsabilidades del propietario de los datos frente al custodio de los datos.

Respuesta breve

La clasificación etiqueta los datos por sensibilidad para que la organización aplique controles proporcionales al valor y al riesgo, evitando tanto la infraprotección como la sobreprotección costosa. El propietario de los datos (un rol de negocio) fija la clasificación y acepta el riesgo, mientras que el custodio de los datos (a menudo TI) implementa y mantiene los controles de protección.

La clasificación es la base del dominio de seguridad de los activos, porque no se pueden proteger los datos de forma proporcional si no se sabe cuán sensibles son. Los entrevistadores la usan para comprobar si entiendes tanto la justificación como la separación de roles.

Por qué clasificar

La clasificación asigna un nivel de sensibilidad — por ejemplo Público, Interno, Confidencial, Restringido (comercial) o No clasificado, Confidencial, Secreto, Alto secreto (gubernamental) — para que los controles se ajusten al valor y al riesgo. Sin ella, o bien se infraprotegen los datos más valiosos o se gasta de más blindando información trivial. La etiqueta impulsa luego cada regla de manejo posterior: cifrado, restricciones de acceso, periodos de retención, reglas de transmisión y eliminación segura.

Propietario frente a custodio

Esta división de roles es el núcleo de la pregunta:

  • Propietario de los datos — un rol de negocio/dirección responsable de los datos. El propietario determina su clasificación, define quién puede acceder a ellos y, en última instancia, acepta el riesgo residual. La propiedad trata de autoridad y rendición de cuentas, no de las operaciones diarias.
  • Custodio de los datos — normalmente un rol de TI/operaciones que implementa y mantiene las protecciones que ordena el propietario: copias de seguridad, aprovisionamiento de accesos, aplicación de parches y aplicación de los controles. El custodio ejecuta; no decide la clasificación.

Mantener esta distinción impide que TI tome de forma silenciosa decisiones de riesgo de negocio que no está autorizada a tomar.

El ángulo del ciclo de vida

La clasificación no es algo único. A medida que los datos recorren su ciclo de vida — creación, almacenamiento, uso, intercambio, archivado, destrucción — su etiqueta rige el manejo en cada etapa, incluida la eliminación segura para que los datos sensibles no se filtren a través de soportes dados de baja.

Qué buscan los entrevistadores

Una justificación clara de «las etiquetas permiten controles proporcionales», la separación propietario-custodio (rendición de cuentas del negocio frente a implementación técnica), y la comprensión de que la clasificación fluye hacia el manejo, la retención y la destrucción a lo largo de todo el ciclo de vida de los datos.

Posibles preguntas de seguimiento

  • ¿Cómo impulsa la clasificación los requisitos de manejo, retención y eliminación?
  • ¿Cuál es la diferencia entre los esquemas de clasificación gubernamentales y comerciales?
  • ¿Cómo apoya la clasificación de datos el mínimo privilegio y la DLP?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.