DIA-1 - Inventario de Datos
Control de registro y clasificación del inventario de datos organizacionales
Definición de Control
Es necesario mantener un catálogo completo y actualizado de todos los datos que la organización recopila, procesa, almacena y transmite, clasificándolos según su sensibilidad y criticidad. Es necesario automatizar el descubrimiento y clasificación de datos sensibles, validar los resultados con sus propietarios, y utilizar la clasificación como base para aplicar controles de seguridad diferenciados. Es necesario registrar para cada tipo de dato su propietario, ubicación y tiempo de retención, y mantener el catálogo actualizado ante cualquier cambio.
Requisitos
Requisito 1
Mantenemos un catálogo completo y actualizado de todos los datos que la organización recopila, procesa, almacena y transmite.
Requisito 2
Clasificamos los datos según su sensibilidad y criticidad en cuatro niveles: público, interno, confidencial y restringido.
Requisito 3
Registramos para cada tipo de dato: propietario, custodio técnico, sistema de origen, ubicación, regulaciones aplicables y tiempo de retención.
Requisito 4
Utilizamos las etiquetas de clasificación como base para la aplicación de controles de seguridad diferenciados.
Requisito 5
Definimos las responsabilidades del propietario de datos (data owner) en cuanto a protección, acceso y retención.
Requisito 6
Implementamos herramientas de descubrimiento y clasificación automática de datos sensibles en repositorios estructurados y no estructurados.
Requisito 7
Validamos periódicamente con los propietarios los datos clasificados automáticamente.
Requisito 8
Actualizamos el catálogo ante nuevos proyectos y lo revisamos integralmente con frecuencia programada.