IG2 IG3

Establecer y Mantener un Esquema de Clasificación de Datos

Grupo de Control: 3. Protección de Datos

Tipo de Activo: Datos

Función de Seguridad: Identificar

Descripción

Establecer y mantener un esquema general de clasificación de datos para la empresa. Las empresas pueden usar etiquetas como "Sensible", "Confidencial" y "Público", y clasificar sus datos de acuerdo con esas etiquetas. Revisar y actualizar el esquema de clasificación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Plataforma de gobernanza de datos y cumplimiento con DLP, protección de información, etiquetas de sensibilidad y gestión de riesgo interno

Microsoft · Suscripción por usuario (E5/independiente)

Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

Prevención de pérdida de datos empresarial que cubre endpoint, red, almacenamiento y canales en la nube con inspección de contenido basada en políticas

Broadcom · Licencia empresarial

Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint

Netskope · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Manejo Inadecuado de Datos Sensibles por Clasificación Desconocida

Confidencialidad

Los empleados comparten, almacenan o transmiten datos altamente sensibles usando canales inseguros porque no existe un esquema de clasificación para comunicar el nivel de sensibilidad de los datos.

Protección Insuficiente para Datos de Alto Valor

Confidencialidad

Sin etiquetas de clasificación, todos los datos reciben el mismo nivel base de protección, dejando los datos altamente sensibles con controles inadecuados mientras se sobreprotegen los datos de bajo valor.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Esquema de Clasificación de Datos

Sin etiquetas de clasificación y criterios definidos, los empleados no tienen un marco para determinar cómo manejar los datos, lo que lleva a una protección inconsistente y frecuentemente inadecuada.

Incapacidad para Aplicar Protecciones de Datos Basadas en Riesgo

Sin clasificación, los controles de seguridad no pueden aplicarse proporcionalmente basándose en la sensibilidad de los datos, resultando en costos excesivos o protección insuficiente.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Clasificación y Manejo de Datos

Control 3

Salvaguardas Relacionadas en el Control 3

3.1 Establecer y Mantener un Proceso de Gestión de Datos

3.2 Establecer y Mantener un Inventario de Datos

3.3 Configurar Listas de Control de Acceso a Datos

3.4 Aplicar Retención de Datos

3.5 Eliminar Datos de Forma Segura

3.6 Cifrar Datos en Dispositivos de Usuario Final

3.8 Documentar Flujos de Datos

3.9 Cifrar Datos en Medios Extraíbles

3.10 Cifrar Datos Sensibles en Tránsito

3.11 Cifrar Datos Sensibles en Reposo

3.12 Segmentar el Procesamiento y Almacenamiento de Datos según su Sensibilidad

3.13 Implementar una Solución de Prevención de Pérdida de Datos

3.14 Registrar el Acceso a Datos Sensibles