Cifrar Datos Sensibles en Reposo
Descripción
Cifrar datos sensibles en reposo en servidores, aplicaciones y bases de datos que contengan datos sensibles. El cifrado en la capa de almacenamiento, también conocido como cifrado del lado del servidor, cumple con el requisito mínimo de esta Salvaguarda. Los métodos de cifrado adicionales pueden incluir cifrado en la capa de aplicación, también conocido como cifrado del lado del cliente, donde el acceso al dispositivo(s) de almacenamiento de datos no permite el acceso a los datos en texto claro.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de gobernanza de datos y cumplimiento con DLP, protección de información, etiquetas de sensibilidad y gestión de riesgo interno
Microsoft · Suscripción por usuario (E5/independiente)
Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint
Netskope · Suscripción por usuario
Prevención de pérdida de datos empresarial que cubre endpoint, red, almacenamiento y canales en la nube con inspección de contenido basada en políticas
Broadcom · Licencia empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Brecha de Base de Datos que Expone Registros en Texto Plano
ConfidencialidadLos atacantes que explotan inyección SQL o credenciales de base de datos comprometidas acceden a datos sensibles almacenados en texto plano, exfiltrando inmediatamente PII, PHI o registros financieros utilizables.
Robo de Medios de Respaldo con Datos Sin Cifrar
ConfidencialidadLos respaldos de servidores que contienen datos sensibles sin cifrar son robados o eliminados inadecuadamente, proporcionando a los atacantes acceso completo a registros sensibles históricos.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Datos Sensibles Almacenados en Texto Plano en Servidores y Bases de Datos
Sin cifrado en reposo, comprometer un servidor, base de datos o sistema de almacenamiento otorga acceso directo a todos los datos sensibles sin ninguna barrera adicional.
Sin Cifrado a Nivel de Aplicación para Datos de Alto Valor
Depender solo del cifrado a nivel de almacenamiento significa que cualquiera con acceso legítimo al almacenamiento (administradores, cuentas de servicio comprometidas) puede leer los datos sensibles.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |