3.13
IG3

Implementar una Solución de Prevención de Pérdida de Datos

Grupo de Control: 3. Protección de Datos
Tipo de Activo: Datos
Función de Seguridad: Proteger

Descripción

Implementar una herramienta automatizada, como una herramienta de Prevención de Pérdida de Datos (DLP) basada en host, para identificar todos los datos sensibles almacenados, procesados o transmitidos a través de activos empresariales, incluyendo aquellos ubicados en el sitio o en un proveedor de servicios remoto, y actualizar el inventario de datos sensibles de la empresa.

Lista de Verificación de Implementación

1
Evaluar los controles de protección actualmente implementados
2
Configurar e implementar los controles de seguridad requeridos
3
Probar la efectividad de los controles en un entorno de no producción
4
Implementar en producción y verificar la funcionalidad
5
Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Plataforma de gobernanza de datos y cumplimiento con DLP, protección de información, etiquetas de sensibilidad y gestión de riesgo interno

Microsoft · Suscripción por usuario (E5/independiente)
Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint

Netskope · Suscripción por usuario
Forcepoint DLP Forrester Wave Strong Performer, Data Security 2023

Plataforma de seguridad centrada en datos con DLP en endpoint, red, nube y correo electrónico con protección adaptativa al riesgo

Forcepoint · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Exfiltración de Datos a Gran Escala Sin Detección

Confidencialidad

Los atacantes exfiltran gigabytes de datos sensibles por correo electrónico, cargas en la nube o canales encubiertos sin activar ninguna alerta porque ninguna solución DLP monitorea los datos salientes.

Robo de Datos por Persona Interna mediante Canales Aprobados

Confidencialidad

Una persona interna maliciosa copia datos sensibles a correo personal, almacenamiento en la nube o medios extraíbles en masa, sin ser detectado porque ninguna herramienta automatizada monitorea el movimiento de datos sensibles.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Controles Automatizados de Prevención de Pérdida de Datos

Sin una solución DLP, la organización no tiene un mecanismo automatizado para detectar, alertar o bloquear la transmisión no autorizada de datos sensibles por cualquier canal.

Ubicaciones de Datos Sensibles Desconocidas

Sin capacidades de escaneo DLP, la organización no puede descubrir dónde residen realmente los datos sensibles, dejando copias no rastreadas desprotegidas en toda la empresa.

Requisitos de Evidencia

Tipo Elemento de Evidencia Frecuencia de Recolección
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Clasificación y Manejo de Datos
Control 3
Política de Prevención de Pérdida de Datos
Control 3

Salvaguardas Relacionadas en el Control 3

3.1 Establecer y Mantener un Proceso de Gestión de Datos
3.2 Establecer y Mantener un Inventario de Datos
3.3 Configurar Listas de Control de Acceso a Datos
3.4 Aplicar Retención de Datos
3.5 Eliminar Datos de Forma Segura
3.6 Cifrar Datos en Dispositivos de Usuario Final
3.7 Establecer y Mantener un Esquema de Clasificación de Datos
3.8 Documentar Flujos de Datos
3.9 Cifrar Datos en Medios Extraíbles
3.10 Cifrar Datos Sensibles en Tránsito
3.11 Cifrar Datos Sensibles en Reposo
3.12 Segmentar el Procesamiento y Almacenamiento de Datos según su Sensibilidad
3.14 Registrar el Acceso a Datos Sensibles
3.12 3.14