Kudo

DIA-4 - Ciberseguridad en Información y Datos

Control de protección de confidencialidad, integridad y disponibilidad de datos

Definición de Control

Es necesario proteger los datos de la organización contra el acceso no autorizado, la modificación, la divulgación o la destrucción, aplicando controles de acceso y cifrado acordes a su clasificación. Es necesario enmascarar o eliminar los datos sensibles en los entornos no productivos, prevenir la fuga de información mediante herramientas de monitoreo y bloqueo, y definir las responsabilidades del propietario de cada dato frente a su protección y acceso, incluyendo la atención de solicitudes de terceros o autoridades. Es necesario establecer normas de uso aceptable y procedimientos de manejo de la información, clasificarla y etiquetarla de forma consistente, y definir reglas y acuerdos formales para su transferencia, protegiendo los registros de la organización frente a pérdida o divulgación indebida.

Requisitos

Requisito 1

Protegemos los datos de la organización contra acceso no autorizado, modificación, divulgación o destrucción.

Requisito 2

Prohibimos el uso de datos reales de producción en ambientes de desarrollo o pruebas sin protección aplicada.

Requisito 3

Establecemos procedimientos formales ante solicitudes de acceso a datos por parte de autoridades o terceros.

Requisito 4

Identificamos las normas sobre cómo se puede usar de forma aceptable la información y los activos relacionados.

Requisito 5

Documentamos las normas sobre cómo se puede usar de forma aceptable la información y los activos relacionados.

Requisito 6

Aplicamos las normas sobre cómo se puede usar de forma aceptable la información y los activos relacionados.

Requisito 7

Identificamos los procedimientos para gestionar y manejar correctamente la información y los activos relacionados.

Requisito 8

Documentamos los procedimientos para gestionar y manejar correctamente la información y los activos relacionados.

Requisito 9

Aplicamos los procedimientos para gestionar y manejar correctamente la información y los activos relacionados.

Requisito 10

Clasificamos la información según qué tan confidencial, íntegra y disponible debe estar, tomando en cuenta las necesidades de seguridad de la organización y lo que esperan las partes interesadas.

Requisito 11

Desarrollamos procedimientos adecuados para etiquetar la información según el esquema de clasificación definido.

Requisito 12

Aplicamos los procedimientos para etiquetar la información según el esquema de clasificación definido.

Requisito 13

Contamos con reglas claras para transferir información a través de cualquier medio, tanto dentro de la organización como hacia otras partes externas.

Requisito 14

Contamos con procedimientos claros para transferir información a través de cualquier medio, tanto dentro de la organización como hacia otras partes externas.

Requisito 15

Contamos con acuerdos formales para transferir información a través de cualquier medio, tanto dentro de la organización como hacia otras partes externas.

Requisito 16

Protegemos los registros de la organización contra pérdida, destrucción, falsificación, accesos no autorizados y divulgaciones indebidas.

Requisito 17

Implementamos controles de acceso basados en la clasificación de datos (RBAC/ABAC) para datos confidenciales y restringidos.

Requisito 18

Ciframos los datos sensibles en reposo y en tránsito.

Requisito 19

Enmascaramos o pseudonimizamos los datos personales y sensibles antes de su uso en entornos no productivos.

Requisito 20

Implementamos soluciones DLP en endpoints y en el correo electrónico corporativo para detectar y bloquear la transmisión no autorizada de datos sensibles.

Requisito 21

Monitoreamos el acceso a datos críticos mediante Análisis del comportamiento de usuarios y entidades (UEBA) con alertas ante comportamientos anómalos.

On this page