Control 3: Protección de datos

Por -

Control 3: Protección de datos

(CIS Control 3 – Data Protection)

Propósito del control

Objetivo: Proteger los datos sensibles en reposo y en tránsito, asegurando su confidencialidad, integridad y disponibilidad.
Resultado esperado: Los datos críticos están identificados, clasificados, cifrados y monitorizados frente a accesos no autorizados.

⚠️ Motivación:
La mayoría de los incidentes graves implican exposición de datos sensibles. Sin protección adecuada, cualquier brecha puede convertirse en una crisis legal, reputacional o financiera.

Alcance del control

Tipos de datos cubiertos:

  • Datos personales (PII)
  • Datos financieros
  • Propiedad intelectual
  • Credenciales y secretos
  • Datos médicos o regulados

Ubicaciones típicas:

  • Bases de datos
  • Documentos ofimáticos
  • Correo electrónico
  • Repositorios de código
  • Dispositivos móviles y portátiles
  • Almacenamiento en nube

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

  • Identificación de datos sensibles
  • Clasificación básica (confidencial, interno, público)
  • Cifrado de discos (BitLocker, FileVault, LUKS)
  • Políticas de uso de USB y almacenamiento externo
  • Concienciación sobre manejo de datos

Evidencias sugeridas:

  • Captura de política de clasificación
  • Configuración de cifrado de disco
  • Registro de formación en protección de datos

🟡 IG2 – Gestión activa

  • Herramientas de DLP (Data Loss Prevention)
  • Cifrado de archivos y correos (S/MIME, GPG, RMS)
  • Control de acceso basado en roles (RBAC)
  • Auditoría de accesos a datos sensibles
  • Revisión periódica de permisos

Herramientas recomendadas:

  • Microsoft Purview DLP
  • Symantec DLP, Forcepoint, Endpoint Protector
  • Azure Information Protection
  • Varonis, Netwrix Auditor

Evidencias sugeridas:

  • Alertas de DLP
  • Reportes de acceso a carpetas sensibles
  • Políticas de cifrado aplicadas

🔴 IG3 – Madurez avanzada

  • Clasificación automática de datos
  • Tokenización o enmascaramiento de datos
  • Integración con SIEM para alertas de exfiltración
  • Gestión de claves centralizada (KMS, HSM)
  • Protección de datos en entornos cloud y SaaS

Herramientas avanzadas:

  • Microsoft Purview + Sentinel
  • AWS Macie, Azure Purview, Google DLP
  • Thales CipherTrust, HashiCorp Vault
  • Cloud-native DLP (M365, GCP, AWS)

Evidencias sugeridas:

  • Diagrama de flujo de datos sensibles
  • Captura de clasificación automática
  • Alerta de SIEM por intento de exfiltración

Riesgos que mitiga

  • Fugas de información
  • Accesos indebidos a datos críticos
  • Incumplimiento normativo (GDPR, HIPAA, PCI-DSS)
  • Pérdida de reputación por brechas de datos

📘 Referencias normativas

  • CIS Controls v8 – Control 3
  • NIST SP 800-53 – AC-3, SC-12, SC-28, SC-31
  • NIST CSF – PR.DS-1 a PR.DS-5
  • ISO/IEC 27001 – A.8.2, A.9.4, A.10.1

📚 Bibliografía y recursos ampliados

Ficha

Nombre del control: Protección de Datos Sensibles (CIS Control 3)
Resumen: Los datos son el objetivo. Protegerlos es proteger la misión.

Riesgos que mitiga:

  • Fugas de información
  • Accesos indebidos
  • Incumplimiento normativo

Niveles de madurez:

  • IG1: Cifrado básico y clasificación manual
  • IG2: DLP, control de accesos, auditoría
  • IG3: Clasificación automática, SIEM, tokenización

Herramientas típicas: BitLocker, Purview, Macie, Vault, Netwrix

Evidencias recomendadas: Alertas DLP, Diagrama de flujo de datos, Reportes de acceso

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »

Índice de controles CIS

Por -
📚 Serie doctrinal: CIS Control 1 – Índice completo Objetivo: Esta entrada reúne los 18 controles del CIS Control 1 con enlaces internos y visuales para facilitar su estudio, documentación y validación cruzada en el simulador doctrinal. 📑 Índice de controles CIS 🛡️ Control 1 – Inventario y control de activos 🧰 Control 2 – Inventario de software autorizado 🔐 Control 3 – Protección de datos sensibles ⚙️ Control 4 – Configuración segura de activos 🧱 Control 5 – Gestión de cuentas y privilegios 📦 Control 6 – Mantenimiento y gestión de vulnerabilidades 🧼 Control 7 – Protección contra malware 📶 Control 8 – Gestión de puertos y protocolos 🧯 Control 9 – Limitación y control de puertos de red 🔄 Control 10 – Copias de seguridad y recuperación 🧪 Control 11 – Pruebas de seguridad y evaluación continua 🧭 Control 12 – Defensa contra ingeniería social 📋 Control 13 – Gestión de seguridad en operaciones 🔍 Control 14 – Monitoreo y análisis de logs 🚨 Control 15 – Gestió...
Read more »