Principio de necesidad de conocer (Need-to-Know)
¿Qué es Principio de necesidad de conocer (Need-to-Know)?
Principio de necesidad de conocer (Need-to-Know)Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado.
El need-to-know complementa el minimo privilegio anadiendo un filtro tematico sobre el nivel de habilitacion. Tener acceso Secret no autoriza a leer cualquier documento Secret; hace falta un motivo operativo documentado para acceder precisamente a esa informacion. Su origen es militar y de inteligencia, y lo exigen ISO/IEC 27002, NIST SP 800-53 y muchas normas como HIPAA o el RGPD. En la practica se implementa con clasificacion de datos, RBAC/ABAC, accesos justo a tiempo, enmascaramiento y registros de auditoria que revisan quien consulto datos sensibles y por que.
● Ejemplos
- 01
Personal de RR. HH. con habilitacion no puede leer el expediente medico de un companero sin un caso documentado.
- 02
Los DBA solo ven numeros de tarjeta enmascarados salvo aprobacion explicita para una investigacion.
● Preguntas frecuentes
¿Qué es Principio de necesidad de conocer (Need-to-Know)?
Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Principio de necesidad de conocer (Need-to-Know)?
Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado.
¿Cómo defenderse de Principio de necesidad de conocer (Need-to-Know)?
Las defensas contra Principio de necesidad de conocer (Need-to-Know) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.