DIA-4 - Ciberseguridad en Información y Datos
Control de protección de confidencialidad, integridad y disponibilidad de datos
Definición de Control
Es necesario proteger los datos de la organización contra el acceso no autorizado, la modificación, la divulgación o la destrucción, aplicando controles de acceso y cifrado acordes a su clasificación. Es necesario enmascarar o eliminar los datos sensibles en los entornos no productivos, prevenir la fuga de información mediante herramientas de monitoreo y bloqueo, y definir las responsabilidades del propietario de cada dato frente a su protección y acceso, incluyendo la atención de solicitudes de terceros o autoridades. Es necesario establecer normas de uso aceptable y procedimientos de manejo de la información, clasificarla y etiquetarla de forma consistente, y definir reglas y acuerdos formales para su transferencia, protegiendo los registros de la organización frente a pérdida o divulgación indebida.
Requisitos
Requisito 1
Protegemos los datos de la organización contra acceso no autorizado, modificación, divulgación o destrucción.
Requisito 2
Prohibimos el uso de datos reales de producción en ambientes de desarrollo o pruebas sin protección aplicada.
Requisito 3
Establecemos procedimientos formales ante solicitudes de acceso a datos por parte de autoridades o terceros.
Requisito 4
Identificamos las normas sobre cómo se puede usar de forma aceptable la información y los activos relacionados.
Requisito 5
Documentamos las normas sobre cómo se puede usar de forma aceptable la información y los activos relacionados.
Requisito 6
Aplicamos las normas sobre cómo se puede usar de forma aceptable la información y los activos relacionados.
Requisito 7
Identificamos los procedimientos para gestionar y manejar correctamente la información y los activos relacionados.
Requisito 8
Documentamos los procedimientos para gestionar y manejar correctamente la información y los activos relacionados.
Requisito 9
Aplicamos los procedimientos para gestionar y manejar correctamente la información y los activos relacionados.
Requisito 10
Clasificamos la información según qué tan confidencial, íntegra y disponible debe estar, tomando en cuenta las necesidades de seguridad de la organización y lo que esperan las partes interesadas.
Requisito 11
Desarrollamos procedimientos adecuados para etiquetar la información según el esquema de clasificación definido.
Requisito 12
Aplicamos los procedimientos para etiquetar la información según el esquema de clasificación definido.
Requisito 13
Contamos con reglas claras para transferir información a través de cualquier medio, tanto dentro de la organización como hacia otras partes externas.
Requisito 14
Contamos con procedimientos claros para transferir información a través de cualquier medio, tanto dentro de la organización como hacia otras partes externas.
Requisito 15
Contamos con acuerdos formales para transferir información a través de cualquier medio, tanto dentro de la organización como hacia otras partes externas.
Requisito 16
Protegemos los registros de la organización contra pérdida, destrucción, falsificación, accesos no autorizados y divulgaciones indebidas.
Requisito 17
Implementamos controles de acceso basados en la clasificación de datos (RBAC/ABAC) para datos confidenciales y restringidos.
Requisito 18
Ciframos los datos sensibles en reposo y en tránsito.
Requisito 19
Enmascaramos o pseudonimizamos los datos personales y sensibles antes de su uso en entornos no productivos.
Requisito 20
Implementamos soluciones DLP en endpoints y en el correo electrónico corporativo para detectar y bloquear la transmisión no autorizada de datos sensibles.
Requisito 21
Monitoreamos el acceso a datos críticos mediante Análisis del comportamiento de usuarios y entidades (UEBA) con alertas ante comportamientos anómalos.