Principio de necesidad de conocer (Need-to-Know)
¿Qué es Principio de necesidad de conocer (Need-to-Know)?
Principio de necesidad de conocer (Need-to-Know)Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado.
El need-to-know complementa el minimo privilegio anadiendo un filtro tematico sobre el nivel de habilitacion. Tener acceso Secret no autoriza a leer cualquier documento Secret; hace falta un motivo operativo documentado para acceder precisamente a esa informacion. Su origen es militar y de inteligencia, y lo exigen ISO/IEC 27002, NIST SP 800-53 y muchas normas como HIPAA o el RGPD. En la practica se implementa con clasificacion de datos, RBAC/ABAC, accesos justo a tiempo, enmascaramiento y registros de auditoria que revisan quien consulto datos sensibles y por que.
● Ejemplos
- 01
Personal de RR. HH. con habilitacion no puede leer el expediente medico de un companero sin un caso documentado.
- 02
Los DBA solo ven numeros de tarjeta enmascarados salvo aprobacion explicita para una investigacion.
● Preguntas frecuentes
¿Qué es Principio de necesidad de conocer (Need-to-Know)?
Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Principio de necesidad de conocer (Need-to-Know)?
Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado.
¿Cómo funciona Principio de necesidad de conocer (Need-to-Know)?
El need-to-know complementa el minimo privilegio anadiendo un filtro tematico sobre el nivel de habilitacion. Tener acceso Secret no autoriza a leer cualquier documento Secret; hace falta un motivo operativo documentado para acceder precisamente a esa informacion. Su origen es militar y de inteligencia, y lo exigen ISO/IEC 27002, NIST SP 800-53 y muchas normas como HIPAA o el RGPD. En la practica se implementa con clasificacion de datos, RBAC/ABAC, accesos justo a tiempo, enmascaramiento y registros de auditoria que revisan quien consulto datos sensibles y por que.
¿Cómo defenderse de Principio de necesidad de conocer (Need-to-Know)?
Las defensas contra Principio de necesidad de conocer (Need-to-Know) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 854
Principio de mínimo privilegio
Principio de seguridad que otorga a cada usuario, proceso o servicio sólo los privilegios mínimos imprescindibles para cumplir su función.
- compliance№ 1007
Separacion de funciones (SoD)
Principio de control que divide una tarea sensible entre varias personas o sistemas para que ningun actor pueda completarla por si solo.
- identity-access№ 946
Control de acceso basado en roles (RBAC)
Modelo de autorización que asigna permisos a roles en lugar de directamente a los usuarios, de modo que los usuarios heredan accesos por su rol.
- identity-access№ 074
Control de acceso basado en atributos (ABAC)
Modelo de autorización que evalúa políticas sobre atributos del sujeto, el recurso, la acción y el entorno para decidir si se permite una solicitud de acceso.
- privacy№ 276
Clasificación de datos
Proceso de etiquetar la información según su sensibilidad y valor para aplicar de forma coherente los controles de protección, tratamiento y retención adecuados.
- identity-access№ 861
Gestión de accesos privilegiados (PAM)
Conjunto de prácticas y herramientas que aseguran, controlan, monitorizan y auditan el acceso a cuentas y sistemas con privilegios administrativos elevados.