IG2 IG3

Segmentar el Procesamiento y Almacenamiento de Datos según su Sensibilidad

Grupo de Control: 3. Protección de Datos

Tipo de Activo: Red

Función de Seguridad: Proteger

Descripción

Segmentar el procesamiento y almacenamiento de datos según la sensibilidad de los datos. No procesar datos sensibles en activos empresariales destinados a datos de menor sensibilidad.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Plataforma de gobernanza de datos y cumplimiento con DLP, protección de información, etiquetas de sensibilidad y gestión de riesgo interno

Microsoft · Suscripción por usuario (E5/independiente)

Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint

Netskope · Suscripción por usuario

Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

Prevención de pérdida de datos empresarial que cubre endpoint, red, almacenamiento y canales en la nube con inspección de contenido basada en políticas

Broadcom · Licencia empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Movimiento Lateral de Datos de Bajo Valor a Datos de Alto Valor

Confidencialidad

Los atacantes comprometen un sistema de baja seguridad en una red plana y pivotean directamente a servidores que procesan datos financieros, de salud o clasificados sensibles sin ninguna barrera de segmentación.

Violación de Límites de Cumplimiento

Confidencialidad

Los datos regulados (datos de titulares de tarjetas PCI, PHI de HIPAA) se procesan en el mismo segmento de red que los sistemas de propósito general, expandiendo el alcance de cumplimiento y aumentando la exposición a auditorías.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Arquitectura de Red Plana para Todos los Niveles de Sensibilidad de Datos

Sin segmentación basada en la sensibilidad de datos, todos los sistemas comparten la misma zona de confianza de red, lo que significa que un compromiso en cualquier lugar proporciona acceso a los datos más sensibles.

Procesamiento de Datos Sensibles en Activos No Reforzados

Cuando los datos sensibles se procesan en sistemas de propósito general no designados o reforzados para ese nivel de sensibilidad, reciben controles de seguridad inadecuados.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Prevención de Pérdida de Datos

Control 3

Salvaguardas Relacionadas en el Control 3

3.1 Establecer y Mantener un Proceso de Gestión de Datos

3.2 Establecer y Mantener un Inventario de Datos

3.3 Configurar Listas de Control de Acceso a Datos

3.4 Aplicar Retención de Datos

3.5 Eliminar Datos de Forma Segura

3.6 Cifrar Datos en Dispositivos de Usuario Final

3.7 Establecer y Mantener un Esquema de Clasificación de Datos

3.8 Documentar Flujos de Datos

3.9 Cifrar Datos en Medios Extraíbles

3.10 Cifrar Datos Sensibles en Tránsito

3.11 Cifrar Datos Sensibles en Reposo

3.13 Implementar una Solución de Prevención de Pérdida de Datos

3.14 Registrar el Acceso a Datos Sensibles