Cumplimiento de los estándares NDMO del Reino de Arabia Saudí

SOLICITA UNA DEMO MIRA UNA DEMO

¿Qué son los estándares NDMO?

Como parte de la iniciativa Visión 2030, el Reino de Arabia Saudí (Arabia Saudí) adoptó los Estándares Nacionales de Gestión de Datos y Protección de Datos Personales, un marco diseñado para proteger información gubernamental sensible, garantizar la confianza pública y regular la gestión de datos en sus entidades públicas.

Desarrolladas por la Oficina Nacional de Gestión de Datos (NDMO), el regulador nacional del Reino, las Normas están diseñadas para proteger los datos personales y gubernamentales, definidos como:

  • Datos personales | Cualquier elemento de datos, por sí solo o en relación con otros datos disponibles, que permita la identificación de un ciudadano saudí.
  • Datos gubernamentales | Datos en bruto o procesados que son recibidos, producidos o poseídos por entidades públicas, independientemente de la fuente, forma o naturaleza. 

¿A quién se aplican los estándares de NDMO?

Los Estándares NDMO se aplican a todas las entidades públicas dentro del Reino de Arabia Saudí, así como a todos los "socios comerciales que manejan datos gubernamentales". Estos socios comerciales son responsables de aplicar los Estándares a todos los datos gubernamentales dentro de su jurisdicción.

Los Estándares cubren los datos gubernamentales en todas sus formas:

  • Registros en papel
  • Correos electrónicos
  • Datos almacenados en formato electrónico
  • Grabaciones de voz
  • Videos
  • Mapas
  • Fotos
  • Scripts
  • Documentos manuscritos

O cualquier otro tipo de dato registrado. 

Los 15 dominios

El documento de Normas de Gestión de Datos y Protección de Datos Personales define los requisitos para 15 dominios. Se resumen de la siguiente manera:

  • Gobernanza de Datos
    Autoridad sobre la planificación de las prácticas de gestión de datos de la organización a través de personas, procesos y tecnologías.
  • Catálogo de datos y metadatos
    Permitir un acceso efectivo a metadatos integrados de alta calidad.
  • Calidad de los datos
    Mejorar la calidad de los datos de la organización hasta que se ajusten a los requisitos del cliente.
  • Operaciones de datos
    Maximizar el valor de los datos a lo largo de su ciclo de vida mediante medidas optimizadas de almacenamiento de datos.
  • Gestión de documentos y contenidos
    Regula la captura, almacenamiento, acceso y uso de contenido almacenado fuera de bases de datos relacionales.
  • Arquitectura y modelado de datos
    Establecer estructuras para garantizar un procesamiento de datos de extremo a extremo entre (y dentro de) las entidades.
  • Gestión de Datos de Referencia y Maestros
    Establece un punto de referencia común para todos los datos críticos vinculándolos a un único archivo maestro.
  • Business Intelligence y Analítica
    Analiza los datos de la organización para extraer ideas y sacar conclusiones.
  • Compartición de datos e interoperabilidad
    La recopilación de datos de diferentes fuentes y soluciones integradas que facilitan una comunicación armoniosa entre diversos componentes de TI.
  • Realización de Valor de Datos
    Extraer continuamente datos para encontrar oportunidades de ahorro de costes o generación de ingresos.
  • Datos abiertos
    Datos organizativos que, si se hicieran públicos, podrían fomentar el crecimiento económico, acelerar la innovación o mejorar la transparencia.
  • Libertad de Información
    Proporcionar a los ciudadanos saudíes una forma de acceder a información gubernamental, saber cómo acceder a la información gubernamental y presentar una apelación en caso de disputa.
  • Data Classification
    Categorizar los datos para que puedan ser utilizados y protegidos de forma eficiente. Data Classification niveles se asignan en función del daño potencial causado por el compromiso o el mal manejo de dichos datos.
  • Protección de Datos Personales
    Proteger el derecho de un ciudadano saudí a que sus datos personales se gestionen y estén protegidos correctamente.
  • Seguridad y protección de datos
    Los métodos empleados (personas, procesos, tecnología) para proteger los datos de una entidad. Este dominio en particular está mandatado por la Autoridad Nacional de Ciberseguridad de Arabia Saudí. 

Principios rectores

Según el Documento, los Estándares están fundamentados en los siguientes ocho Principios Rectores, que subrayan los 15 dominios mencionados anteriormente. Se resumen así:

  • Datos como activo nacional | Los datos gubernamentales deben ser descubribles y protegidos, con potencial de monetización.
  • Protección de Datos desde el Diseño | Crear procesos proactivos que protejan la privacidad de las personas y su derecho a consentir o rechazar según las leyes de Arabia Saudita.
  • Abierto por defecto | Asegurarse de que la mayoría de los datos gubernamentales estén disponibles por defecto, salvo que la no divulgación esté suficientemente justificada.
  • Uso ético de los datos | Construir prácticas éticas de datos basadas en la equidad, la trazabilidad y la contribución al "Bien Común".
  • Diseño con propósito | Adoptar procesos de uso, recopilación, procesamiento y compartición de datos centrados en las personas.
  • Resultados basados en datos | Construir un sector público de próxima generación donde las decisiones se basen en información sobre datos.
  • Cultura del aprendizaje | Asegurarse de que el talento saudí crezca lo suficiente como para cubrir las necesidades competitivas de mercado y gestión de datos.
  • Datos de confianza | Construir confianza entre el gobierno y el público garantizando la seguridad de los datos o siendo transparentes sobre el nivel de seguridad de los datos. 

Cumplimiento y aplicación

Las entidades cubiertas deben realizar una auditoría de cumplimiento una vez al año y devolver los resultados al NDMO en el tercer trimestre. El NDMO consolidará y publicará los resultados a las partes interesadas a nivel de entidad, sector y gobierno.

En cada nivel de especificación, se asignará un 100% o 0% binario, ya sea aprobado o suspendido. A cargo de la auditoría de cumplimiento estará el Director de Datos, y se aportarán pruebas en el informe para respaldar las puntuaciones cuando corresponda.

En función de los resultados de las auditorías, el NDMO se reserva el derecho de realizar auditorías adicionales ad hoc a entidades seleccionadas según sea necesario.

Pilares del ciclo de vida de los datos

Los Estándares están diseñados para proteger los datos a lo largo de su ciclo de vida. Ese ciclo de vida se divide en cinco etapas clave. 

 

Data Lifecycle Pillars

Crédito: documento de Normas de Gestión de Datos y Protección de Datos Personales de NDMO .

 

Gobernanza de Datos

Las reglas generales que dictarán los procesos, políticas y procedimientos posteriores de gestión de datos.

Assetación de datos

El proceso de asignar valor a los datos en función de características como la función y la calidad. 

Uso de datos

Cómo se utilizan los datos dentro de la organización; en este caso, el gobierno. 

Data Classification y disponibilidad

Poner los datos a disposición de la ciudadanía saudí y clasificarlos según lo crucial que es su seguridad para la seguridad nacional saudí, la estabilidad gubernamental y otros factores.

Protección de datos

La obligación de proteger la información personal y gubernamental saudí, y los medios para hacerlo.

La necesidad de la NDMO Data Classification

Data Classification es de especial importancia para el objetivo general de mantener procesos en los que se puedan proteger datos públicos sensibles.

Requisitos de clasificación

Deben establecerse normas de seguridad en función de la importancia de la información, o en otras palabras, del daño que se causará si ese dato en particular se ve comprometido. Esto se determina y se logra mediante Data Classification.

Como indican los estándares, "Data Classification implica la categorización de los datos para que puedan ser utilizados y protegidos de forma eficiente. Data Classification niveles se asignan tras una evaluación de impacto que determina los posibles daños causados por el mal manejo de datos o el acceso no autorizado a los mismos."

Además, detallan cómo cada Entidad debe registrar una lista de todos los activos identificados en el proceso de Data Classification. Ese registro debe incluir:

  • Una lista de activos identificados.
  • Niveles de clasificación asignados a cada activo.
  • Las fechas asignadas a esos niveles de clasificación.
  • La duración de esas clasificaciones.
  • Niveles de clasificación aprobados durante la revisión.
  • Las fechas de la revisión de los niveles de clasificación. 

Data Classification Proceso

Para lograr los diseños Data Classification anteriores, es necesario implementar un proceso Data Classification estructurado. Los profesionales deben:

  1. Identifica todos los datos de las entidades.
  2. Asignar a las partes responsables de realizar Data Classification.
  3. Realizar el proceso de evaluación de impacto.
    1. Identifica la categoría afectada (interés nacional, organizaciones, individuos, medio ambiente, etc.)
    2. Determina el nivel de impacto (alto, medio, bajo o ninguno).
  4. Considera el cumplimiento de las normativas existentes (solo si el impacto es "bajo").
  5. Evalúa los beneficios de la divulgación frente a los posibles impactos negativos (solo si no existen consecuencias de cumplimiento por divulgar los datos).
  6. Revisa el nivel de clasificación una última vez para comprobar su integridad y precisión.
  7. Aplica los controles correspondientes.

Este proceso es importante porque la seguridad debe equilibrarse con recursos y un entorno fácil de usar. Establecer qué datos necesitan los controles más estrictos (y a menudo costosos en recursos y que consumen mucho tiempo) permite poner la máxima potencia de fuego de seguridad en esos lugares y evitar que otros tipos de datos tengan políticas innecesariamente pesadas.

Fortraes Data Classification

La solución Data Classification Suite (DCS) de Fortraayuda a los equipos tanto del sector público como privado a alcanzar sus objetivos de cumplimiento.

Con una potente clasificación basada en contexto, Fortra DCS combina:

  • Coincidencia de patrones
  • Categorización por aprendizaje automático
  • Detección automatizada de PII

Para una protección que va más allá del simple etiquetado, las organizaciones pueden aprovechar Data ClassificationdeFortra para informar a su personal y sus políticas sobre qué datos deben protegerse y cómo hacerlo. Para permitir esto, los atributos de metadatos se integran en correos electrónicos, archivos y documentos en cada etapa del ciclo de vida del contenido, aplicándose automáticamente señales visuales para delimitar el contenido sensible al cumplimiento.

Los principales beneficios incluyen:

  1. Protección para tipos de archivos ampliados, incluyendo JPG, PDFs y más.
  2. Integración con las herramientas que tu equipo utiliza cada día, ya sea en entornos Windows o Mac.
  3. La capacidad de asegurar una amplia gama de composiciones de archivos propias o en la nube.
  4. Un motor de políticas flexible que soporta condiciones personalizadas para cada organización.
  5. Archivos enriquecidos con metadatos aplicados por DCS que informan mejor los servicios posteriores como CASB y DLP.

Y más, incluyendo diferenciadores únicos que diferencian a Fortra DCS de la competencia. Entre ellas se encuentran:

  • Cumplimiento especial de HIPAA | Los datos de facturación no pueden compartirse con otros departamentos como enfermería, informática u operaciones.
  • Protección Bancaria Única | La banca tiene prohibido compartir con la correduría de la misma organización para evitar infracciones de la SEC.
  • Seguridad RGPD estricta para PII | Los datos originados dentro de la UE son bloqueados por nuestra solución DLP para que no puedan entrar en geografías restringidas.
  • Responsabilidad por Informe de Retención | A veces se generan informes de retención para limpiar datos, necesariamente utilizando almacenamiento de pago y poniendo en riesgo a la organización. Nuestra solución DCS ayuda a prevenir este tipo de ocurrencias.

Data Classification es solo una de las muchas formas en que los Estándares Nacionales de Gestión de Datos y Protección de Datos Personales de la NDMO de Arabia Saudita garantizan que los datos públicos estén debidamente protegidos para el futuro. Pero es una de las más cruciales cuando se tiene un papel vital dentro del contexto más amplio de la protección de datos.

Infórmate más sobre los Estándares NDMO y descubre soluciones adicionales de protección de datos de Fortra.

Recursos relacionados