Rberny Orgullosamente Mexicano

Data Protection Rberny 2023

Control 3 CIS v8 – Protección de Datos

Recuerden lo que requiere el negocio en cuanto a la protección de los datos, son parte de las políticas que deberemos seguir además de lo mencionado de las normas y estándares de la protección de datos en cualquier ambiente.
Data Protection Rberny 2023
Data Protection Rberny 2023

En la actualidad se tiene la necesidad de que las empresas sitúen a la ciberseguridad en el centro de su estrategia, si no quieren tener que hacer frente a consecuencias económicas, legales y reputaciones de gran impacto.

Los que estamos en este ambiente sabemos que los controles de seguridad críticos no constituyen un mero listado, sino que son la columna vertebral de un ecosistema de ciberseguridad.

Dichos controles de seguridad críticos CIS constituyen un punto de partida para que las empresas pongan en marcha una estrategia de seguridad, así, los controles permiten a las compañías y a los expertos en ciberseguridad priorizar las diferentes áreas, en función del modelo de negocio y los recursos económicos, humanos y tecnológicos de los que se dispongan.

Retomando la ideología a seguir con los controles de CIS v8, veamos cómo operan los controles de seguridad críticos, recuerden estos controles son, ante todo, categorías que sistematizan las acciones concretas que deben implementar las organizaciones para construir una estrategia de seguridad eficaz.

Con el estudio y práctica de la guía CIS que establece para cada uno de los controles de seguridad críticos, diversas salvaguardas, estipulando a qué activos van dirigidas, ¿cuál es la función de seguridad que cumplen?, y qué tipo de empresas debe llevarlas a cabo.

De esta manera les comento que hemos visto 4 controles con anterioridad, 1,2,4 y 8, en esta ocasión veremos el control número 3, “Protección de Datos”

Protección de Datos

“Establezca y mantenga un inventario de los datos que deben protegerse, clasifíquelos en función de su nivel de confidencialidad y asegúrese de que estén debidamente protegidos, para ello debe desarrollar procesos y controles técnicos para identificar, clasificar, manejar, retener y disponer de forma segura los datos”

Tipo de datos

Hay muchos tipos de datos que una empresa puede alojar y administrar, incluidos, entre otros:

  • Datos Financieros, como datos de nómina, fiscales, bancarios, de tarjetas de crédito, etc.
  • Información de identificación personal (PII) y datos de recursos humanos para incluir números de seguro social (SSN), información de salud, direcciones, fechas de nacimiento, etc.
  • Secretos comerciales, investigación, tecnologías patentadas, otras formas de propiedad intelectual, etc.
  • Datos utilizados para admitir aplicaciones orientadas al cliente.
  • Información personal.
  • Metadatos (p. ej., tamaño de archivo, tipo de archivo, datos, fuente).
  • Información relativa a la gestión de los sistemas de información (por ejemplo, diagramas de red).
  • Información en un ERP, CRM, Microservicios, Apps para gobierno.

¿Es crítico este control CIS?

Sabemos que en la actualidad los datos están muy dispersos, ya no los tenemos en situ, ahora los datos, ya no solo están contenidos dentro de los límites de una empresa, gran parte de ellos están en la nube, en dispositivos portátiles de usuario final donde los usuarios trabajan desde casa y, a menudo, se comparten con socios o servicios en línea que pueden tenerlos en cualquier parte del mundo.

Vamos a ser consientes, sabemos lo critico de los datos confidenciales que posee una empresa relacionados con las finanzas, la propiedad intelectual y los datos de los clientes, también puede haber numerosas regulaciones internacionales para la protección de datos personales, en nuestros países y de forma internacional, en convenios regionales o zonas, que debemos seguir, no obstante, pienso que no tienen la debida difusión en todo el mundo, en las regiones y por supuesto en cada país.

Si bien es cierto que la privacidad de los datos se ha vuelto cada vez más importante y las empresas están aprendiendo que la privacidad tiene que ver con el uso y la gestión adecuados de los datos, no solo con el cifrado, se ha mostrado que los responsables debemos de tener claro que los datos se deben gestionarse adecuadamente durante todo su ciclo de vida, estoy seguro de que estas reglas de privacidad pueden ser complicadas para las empresas, sin embargo, existen fundamentos que pueden aplicarse a todos.

Una vez que los atacantes han penetrado en la infraestructura de una empresa, una de sus primeras tareas es encontrar y filtrar datos, esto es verídico, es posible que las empresas no se den cuenta de que los datos confidenciales están saliendo de su entorno porque no están monitoreando las salidas de datos.

Si bien muchos ataques ocurren en la red, otros involucran el robo físico de dispositivos portátiles de usuarios finales, ataques a proveedores de servicios u otros socios que poseen datos confidenciales, otros activos empresariales confidenciales también pueden incluir dispositivos no informáticos que brindan administración y control de sistemas físicos, como los sistemas de control de supervisión y adquisición de datos (SCADA).

La pérdida de control de la empresa sobre los datos confidenciales o protegidos es un impacto empresarial grave y, a menudo, denunciable, si bien algunos datos se ven comprometidos o se pierden como resultado del robo o el espionaje, la gran mayoría es el resultado de reglas de administración de datos malentendidas y errores del usuario.

Les recomiendo, la adopción del cifrado de datos, tanto en tránsito como en reposo, puede mitigar el compromiso de los datos y, lo que es más importante, es un requisito reglamentario para la mayoría de los datos controlados.

Sub controles (Salvaguardas)

  • 3.1: Establecer y mantener un proceso de gestión de datos.
  • 3.2: Establecer y mantener un inventario de datos.
  • 3.3: Configurar listas de control de acceso a datos.
  • 3.4: Hacer cumplir la retención de datos.
  • 3.5: Eliminación segura de datos.
  • 3.6: Cifrar datos en dispositivos de usuarios finales.
  • 3.7: Establecer y mantener un esquema de clasificación de datos.
  • 3.8: Flujos de datos de documentos.
  • 3.9: Cifrar datos en medios extraíbles.
  • 3.10: Cifrar datos confidenciales en tránsito.
  • 3.11: Cifrar datos confidenciales en reposo.
  • 3.12: Procesamiento y almacenamiento de datos de segmentos en función de la sensibilidad.
  • 3.13: Implementar una solución de prevención de pérdida de datos.
  • 3.14: Registro de acceso a datos confidenciales.

Para la protección de datos, hay muchas cosas que hacer, metodologías, marcos de actuación, framework y leyes que nos obligan a proteger exhaustivamente los datos, en ese sentido no lo abordaré, no obstante, me gustaría hacer un ejercicio donde me vaya más a detalle, puede salir un artículo muy grande, entonces trataré de seccionarlo, no antes de terminar con los controles del CIS v8.

Recuerden lo que requiere el negocio en cuanto a la protección de los datos, son parte de las políticas que deberemos seguir además de lo mencionado de las normas y estándares de la protección de datos en cualquier ambiente.

Su amigo,

Firma 2023 Rberny - Ing. Rubén Bernardo Guzmán Mercado
Firma 2023 Rberny – Ing. Rubén Bernardo Guzmán Mercado

Les sugiero los siguientes recursos:

Para la protección de los datos.

NIST® SP 800-88r1 Guides for Media Sanitization: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf            

NIST® FIPS 140-2: https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-2.pdf   

NIST® FIPS 140-3: https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-3.pdf   

Para obtener guías específicas sobre la guía para el entorno de la nube, consulte la guía complementaria de la nube de los Controles CIS:

https://www.cisecurity.org/controls/v8/

Para obtener orientación para tabletas y teléfonos inteligentes, consulte la guía complementaria de los Controles CIS: https://www.cisecurity.org/controls/v8/             

Views: 31

Etiquetas
Comparte si fue de tu agrado

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.