IG1 IG2 IG3

Cifrar Datos en Dispositivos de Usuario Final

Grupo de Control: 3. Protección de Datos

Tipo de Activo: Dispositivos

Función de Seguridad: Proteger

Descripción

Cifrar datos en dispositivos de usuario final que contengan datos sensibles. Los ejemplos de implementación pueden incluir: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Plataforma de gobernanza de datos y cumplimiento con DLP, protección de información, etiquetas de sensibilidad y gestión de riesgo interno

Microsoft · Suscripción por usuario (E5/independiente)

Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint

Netskope · Suscripción por usuario

Forcepoint DLP Forrester Wave Strong Performer, Data Security 2023

Plataforma de seguridad centrada en datos con DLP en endpoint, red, nube y correo electrónico con protección adaptativa al riesgo

Forcepoint · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Robo de Datos de Laptop Perdida o Robada

Confidencialidad

Un laptop sin cifrar es robado o perdido durante un viaje, exponiendo todos los datos sensibles almacenados incluyendo credenciales, registros de clientes y propiedad intelectual al ladrón.

Extracción Forense de Datos de Dispositivos Confiscados

Confidencialidad

Adversarios con acceso físico a dispositivos de usuario final sin cifrar extraen datos sensibles arrancando desde medios externos o retirando las unidades de almacenamiento para análisis fuera de línea.

Robo de Datos por Persona Interna mediante Acceso Físico

Confidencialidad

Un empleado que se va o es malicioso accede a datos sin cifrar en su dispositivo fuera de línea, evadiendo los controles de acceso basados en red y las herramientas de DLP.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Almacenamiento de Dispositivo de Usuario Final Sin Cifrar

Sin cifrado de disco completo en laptops, computadoras de escritorio y dispositivos móviles, el acceso físico al dispositivo otorga acceso irrestricto a todos los datos almacenados.

Sin Aplicación de Cifrado en Dispositivos BYOD

Los dispositivos personales que acceden a datos empresariales carecen de políticas de cifrado obligatorio, dejando los datos sensibles desprotegidos si el dispositivo se pierde, roba o compromete.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Cifrado

Control 3

Estándares de Cifrado Aceptables

Control 3

Salvaguardas Relacionadas en el Control 3

3.1 Establecer y Mantener un Proceso de Gestión de Datos

3.2 Establecer y Mantener un Inventario de Datos

3.3 Configurar Listas de Control de Acceso a Datos

3.4 Aplicar Retención de Datos

3.5 Eliminar Datos de Forma Segura

3.7 Establecer y Mantener un Esquema de Clasificación de Datos

3.8 Documentar Flujos de Datos

3.9 Cifrar Datos en Medios Extraíbles

3.10 Cifrar Datos Sensibles en Tránsito

3.11 Cifrar Datos Sensibles en Reposo

3.12 Segmentar el Procesamiento y Almacenamiento de Datos según su Sensibilidad

3.13 Implementar una Solución de Prevención de Pérdida de Datos

3.14 Registrar el Acceso a Datos Sensibles