Información No Clasificada Controlada (CUI) y Cumplimiento con el NIST

Fortra Data Classification Suite Configuración para CUI permite el intercambio seguro de activos CUI entre agencias gubernamentales, contratistas y subcontratistas. 

Mira DCS para la demostración de CUI SOLICITA UNA DEMO EN DIRECTO

¿Qué es la Información No Clasificada Controlada (CUI) y el Programa CUI?

La capacidad cada vez mayor para compartir información es un arma de doble filo. Por un lado, comunicarse y trabajar de forma más eficiente es mucho más fácil, pero también significa menos control sobre la información compartida y más personas consultando datos. Esta tendencia, junto con marcas, políticas y procedimientos ad hoc y específicos de cada agencia, llevó a la necesidad de que el gobierno de EE. UU. desarrollara un marco de clasificación estandarizado que protegiera la Información No Clasificada Controlada (CUI) sin obstaculizar su intercambio autorizado. El programa CUI del gobierno federal, implementado en 2010, estandariza la forma en que todas las agencias gubernamentales y entidades militares de EE. UU. manejan la información no clasificada que requiere protección. Aclara y limita qué tipo de información proteger, refuerza la legislación y regulaciones existentes y promueve el intercambio autorizado de información. 

Sin embargo, antes de entrar en los detalles del programa CUI y en los pasos que pueden tomar las organizaciones para garantizar que el CUI esté correctamente asegurado, primero necesitamos entender qué es el CUI. La Administración Nacional de Archivos y Registros (NARA), que supervisa el Programa CUI del Gobierno de EE. UU., define CUI como "información que requiere controles de salvaguarda o difusión conforme a y conforme a la ley, regulaciones y políticas gubernamentales aplicables." En pocas palabras, CUI son datos creados o poseídos por el gobierno federal de EE. UU., que no están clasificados pero que están obligados o permitidos para ser protegidos por la ley, regulación o política. Esto puede incluir, pero no se limita a, lo siguiente: 

  • Información Personal Identificable (PII) 
  • Información Personal Identificable Sensible (SPII) 
  • Información Empresarial Propietaria (PBI), o actualmente conocida en EE. UU. 
  • Agencia de Protección Ambiental (EPA) como Negocio Confidencial 
  • Información (CBI) 
  • Información Técnica Controlada No Clasificada (UCTI) 
  • Sensible pero no clasificado (SBU) 
  • Solo para uso oficial (FOUO) 
  • Sensible a la aplicación de la ley (LES) 

Navega por las complejidades de CUI con confianza

Mira DCS para la demostración de CUI

¿A quién se dirige el Programa CUI?

Las marcas CUI deben ser implementadas no solo por agencias federales, sino también por contratistas y subcontratistas que puedan estar manejando información gubernamental. Para todos los contratistas y subcontratistas del Departamento de Defensa de EE. UU., el Departamento de Defensa (DoD) ha publicado pasos prescriptivos para garantizar el cumplimiento de los requisitos que protegen la CUI. A través del Suplemento de Regulación Federal de Adquisiciones de Defensa del DoD (DFARS) 252.204-7012, la implementación de los controles identificados en la Publicación Especial 800-171 del Instituto Nacional de Normas y Tecnología (NIST SP 800-171),"Protección de la Información No Clasificada Controlada en Sistemas y Organizaciones de Información No Federales", debe estar en vigor a partir del 31 de diciembre de 2017.  

Otras agencias del poder ejecutivo también pueden exigir a entidades no federales, incluidos contratistas, que sigan el cumplimiento NIST SP 800-171 al compartir CUI mediante contratos, memorandos de entendimiento o normas de adquisición. El NIST SP 800-171 proporciona un conjunto estandarizado de requisitos para todas las necesidades de seguridad del CUI, adaptado a sistemas no federales. La principal diferencia entre el Programa CUI y el NIST SP 800-171 es que el Programa CUI estableció un marco estandarizado de CUI solo para militares y gobiernos, mientras que el NIST SP 800-171 se implementó más tarde y es específico para contratistas y otras entidades no federales. 


Descubre cómo podemos ayudarte a satisfacer las necesidades de cumplimiento bajo el NIST SP 800-71.

VER LA HOJA DE DATOS 
 

Marcaciones, categorías y políticas CUI

CUI markings

El núcleo del programa CUI se expresó en la Orden Ejecutiva (EO) 13556 , que pedía "Un programa abierto y uniforme para gestionar toda la información no clasificada..." siendo un componente clave que todo el CUI esté etiquetado con marcas visuales apropiadas que indiquen cómo las partes posteriores deben tratar los datos regulados. El marco utiliza marcas para alertar a los poseedores de la presencia de CUI y, cuando se emplean marcas de porción, identificar la información exacta o la parte que necesita protección. Además, estas marcas también alertan a los titulares sobre cualquier control de difusión y protección de CUI que deba aplicarse. 

Cómo funcionan las marcas CUI

El Manual de Marcado CUI, publicado por NARA, describe cómo deben aparecer visualmente las marcas CUI en documentos y correos electrónicos. Actualmente hay 125 categorías de CUI, cada una con sus propias marcas. Además de la gran cantidad de marcas que las organizaciones deben comprender y utilizar, NARA ha publicado directrices detalladas sobre cómo deben estar formateadas. Las marcas en las banderas deben incluir marcas CUI para cada categoría de información contenida en el documento, así como marcas que dicten los protocolos de difusión y liberación. Las marcas también deben aparecer en un orden determinado, y algunas tienen información correspondiente que debe incluirse como pie de página del documento con lenguaje legal adicional, información de contacto y otros detalles. Existen reglas similares para los correos electrónicos.

Categorías y subcategorías CUI

Aunque las marcas indican qué tipo de información hay en el documento o correo electrónico, son las categorías CUI las que determinan cómo debe gestionarse la información y proporcionan instrucciones sobre su difusión. Se recomienda el uso de tres categorías CUI, que deben ser claramente visibles en el encabezado y pie de página de los documentos relevantes: 

CUI Básico

Requiere medidas estándar de protección que reduzcan los riesgos de divulgación no autorizada o inadvertida. Se permite la difusión en la medida en que se cree razonablemente que favorecería la ejecución de un propósito lícito u oficial.  

CUI especificado

Requiere medidas de protección con protecciones específicas, como marcas, salvaguardas físicas reforzadas y limitar quién puede acceder a la información, que reduzcan el riesgo de divulgación no autorizada o involuntaria. El material debe contener instrucciones adicionales sobre qué difusión está permitida.  

Difusión limitada

Requiere medidas de protección más estrictas que las CUI Básicas y Especificadas CUI, ya que la divulgación involuntaria o no autorizada de la CUI supondría el riesgo de daños sustanciales. Este material contendrá instrucciones adicionales sobre él o sobre qué difusión está permitida. 

Consecuencias por incumplimiento

Las organizaciones que no tomen medidas para cumplir con el marco CUI corren el riesgo de perder contratos existentes o de perder oportunidades futuras. No proteger adecuadamente el CUI también tiene sus implicaciones: una filtración de datos que exponga a un cliente o incumpla una normativa podría provocar daños reputacionales, multas económicas, sanciones adicionales, demandas y pérdida de negocio/ingresos. Aunque estas marcas y políticas establecen controles uniformes y estandarizados para la forma en que se gestiona el CUI, el proceso de implementación de estas marcas CUI en los datos de las agencias es complejo, lleva mucho tiempo y a veces no está claro.  

Además, con tantas categorías y directrices tan complejas que seguir, el error humano puede ser un problema. Es fácil que un usuario pase por alto contenido sensible dentro de un documento y no etiquete correctamente esa información. Al no marcar correctamente la parte de Difusión del documento, este podría compartirse accidentalmente con partes no autorizadas. 

¿Cómo Data Classification mantiene seguro el CUI?

How DC keeps CUI secure

La clasificación de datos preconfigurada, diseñada específicamente para manejar CUI, agiliza el proceso tanto para el correo electrónico como para los documentos, facilitando a los usuarios la implementación del marco CUI de forma precisa y consistente. Cuando se guarda un documento o se envía un correo electrónico, el contenido se escanea en busca de datos sensibles y se aplican automáticamente las marcas CUI correspondientes. Además de las marcas visuales requeridas por el marco CUI, las etiquetas se incrustan en las propiedades del archivo como metadatos. Estos metadatos dirigen las acciones de soluciones posteriores de seguridad empresarial y gestión de datos, como Data Loss Prevention (DLP) y Colaboración Segura, permitiendo que CUI sea accedido o utilizado únicamente conforme a las reglas correspondientes a su clasificación. Para garantizar que el CUI se gestiona adecuadamente, las organizaciones deben ser capaces de rastrear actividades de CUI ilegales, no autorizadas o inapropiadas. Utilizar herramientas de monitorización e informes te ayuda a rastrear cómo se accede, utiliza y clasifica el CUI en tu organización. Esto no solo ayuda a cumplir con el CUI, sino que puede mostrar oportunidades donde puede ser necesaria la formación de los usuarios y mejorar la conciencia sobre CUI.  

A medida que el marco CUI continúa cambiando, el uso de herramientas de monitorización e informes proporcionará la inteligencia necesaria para evolucionar el enfoque en línea con los cambios. En última instancia, es responsabilidad del titular de CUI respetar las marcas CUI y garantizar una protección adecuada. Implementar una solución de software que aplique automáticamente las marcas CUI garantiza que CUI se mantenga dentro del dominio aprobado y sea visto solo por la audiencia adecuada, al tiempo que permite a los usuarios interactuar y compartir información con confianza para aumentar la colaboración y aumentar la productividad. En el mundo digital actual de información compartida, una solución preconfigurada para identificar, detectar y responder a CUI en procesos empresariales cotidianos, documentos y correos electrónicos es fundamental para cualquier organización que pueda encontrarse con CUI en su sector.

¿Por qué elegir el DCS de Fortra para la configuración CUI?

Las organizaciones pueden posicionarse para el cumplimiento tomando medidas para dominar los principios de clasificación de datos e implementar los procesos, herramientas y formación que permitan un etiquetado coherente y preciso según lo definido en su política de gobernanza de datos y exigido por el NIST SP 800-171. Gracias a esta capacidad, las organizaciones pueden demostrar fácilmente que disponen de la capacidad de reconocer y gestionar el CUI con los metadatos y marcas visuales adecuadas según la definición del registro NARA. Al adoptar este marco, las organizaciones no solo demostrarán su capacidad para proteger los datos regulados, sino que también mejorarán su capacidad para competir por nuevas oportunidades que almacenen, procesan o transmiten CUI. La suite de productos líderes en clasificación de datos de Fortra apoya el cumplimiento de las normativas del NIST mediante: 

Security warning badge

Garantizar un control adecuado de información confidencial o sensible 

Security warning badge

Clasificar o etiquetar datos con etiquetas visuales (y metadatos) para resaltar cualquier requisito especial de manejo 

Security warning badge

Alertar a los usuarios cuando datos personales salen de la organización para advertir o impedir que envíen mensajes que contengan información sensible 

Security warning badge

Educar a los usuarios sobre la sensibilidad de los datos asegurando el cumplimiento de la política corporativa

Configuración de Fortra para CUI

Descubre cómo facilitamos que tu agencia aplique de forma precisa y segura las marcas CUI que cumplan con todas las normativas para proteger adecuadamente la información gubernamental sensible.

VER LA HOJA DE DATOS