Establecer y Mantener un Proceso de Gestión de Datos
Descripción
Establecer y mantener un proceso de gestión de datos. En el proceso, abordar la sensibilidad de los datos, el propietario de los datos, el manejo de datos, los límites de retención de datos y los requisitos de eliminación, basándose en los estándares de sensibilidad y retención de la empresa. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de gobernanza de datos y cumplimiento con DLP, protección de información, etiquetas de sensibilidad y gestión de riesgo interno
Microsoft · Suscripción por usuario (E5/independiente)
Prevención de pérdida de datos empresarial que cubre endpoint, red, almacenamiento y canales en la nube con inspección de contenido basada en políticas
Broadcom · Licencia empresarial
Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint
Netskope · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Proliferación Incontrolada de Datos Sensibles
ConfidencialidadSin un proceso de gestión de datos, los datos sensibles proliferan en ubicaciones no controladas incluyendo unidades personales, servicios de TI en la sombra y recursos compartidos no seguros.
Violación Regulatoria por Manejo de Datos No Definido
ConfidencialidadLa ausencia de niveles de sensibilidad de datos definidos y requisitos de manejo lleva a violaciones de GDPR, HIPAA o PCI DSS cuando los datos regulados se procesan sin las salvaguardas apropiadas.
Acumulación de Datos que Aumenta el Impacto de Brechas
ConfidencialidadSin requisitos de retención y eliminación de datos, las organizaciones retienen datos indefinidamente, aumentando masivamente el volumen y la sensibilidad de los datos expuestos durante una brecha.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Proceso Formal de Gestión de Datos
Sin procedimientos establecidos de gestión de datos, no existen reglas consistentes sobre cómo se clasifican, manejan, retienen o eliminan los datos en toda la empresa.
Propiedad y Responsabilidad de Datos No Definidas
La ausencia de propietarios de datos designados significa que nadie es responsable de garantizar que los datos sensibles reciban la protección adecuada a lo largo de su ciclo de vida.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |