1. Propósito
Establecer requisitos para prevenir la exfiltración, divulgación o destrucción no autorizada de los datos sensibles de [ORGANIZATION].
2. Alcance
Esta política se aplica a todos los datos Confidenciales y Restringidos procesados, almacenados o transmitidos por [ORGANIZATION], en todos los endpoints, redes y entornos en la nube.
3. Política
3.1 Controles DLP
[ORGANIZACION] deberá implementar controles de prevención de pérdida de datos (DLP) para detectar y prevenir la transferencia no autorizada de datos sensibles a través de límites de red, dispositivos de endpoint y servicios en la nube.
Las políticas DLP deberán configurarse para monitorear y/o bloquear: archivos adjuntos de correo electrónico que contengan patrones de datos sensibles, cargas a servicios de almacenamiento en la nube no autorizados, impresión de datos Restringidos, copia de datos sensibles a medios extraíbles y capturas de pantalla de datos Restringidos cuando sea técnicamente factible.
Las reglas DLP deberán ajustarse regularmente para minimizar los falsos positivos manteniendo la efectividad de detección, con revisión al menos [PERSONALIZAR: trimestral/mensual].
3.2 Control de Acceso a Datos Sensibles
El acceso a datos Confidenciales y Restringidos deberá restringirse a usuarios autorizados con una necesidad empresarial documentada, siguiendo el principio de mínimo privilegio.
El acceso remoto a datos Restringidos deberá requerir autenticación multifactor y deberá limitarse a dispositivos gestionados por [ORGANIZACION].
El acceso a datos deberá registrarse y los registros de acceso deberán revisarse [PERSONALIZAR: semanal/mensualmente] para detectar patrones anómalos.
3.3 Respuesta a Incidentes de Pérdida de Datos
Todas las alertas DLP deberán triarse dentro de [PERSONALIZAR: 4/8/24] horas de la detección.
Los incidentes confirmados de pérdida de datos deberán escalarse inmediatamente a [PERSONALIZAR: CISO/Equipo de Respuesta a Incidentes] y manejarse según la Política de Respuesta a Incidentes.
La notificación de violación de datos deberá cumplir con todas las leyes y regulaciones aplicables dentro de los plazos requeridos, coordinada por [PERSONALIZAR: Legal/Oficial de Privacidad].
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos