Controles de Seguridad Críticos CIS v8: 3.Mejore la estrategia de protección de datos de su organización

Nov 18, 2022 | Cumplimiento Normativa Ciberseguridad, Protección del Dato

Conozca en profundidad el control de seguridad CIS 3 v8, un conjunto de salvaguardas de seguridad para ayudar a las organizaciones en la protección de datos, los nuevos cambios respecto a v7, todas las recomendaciones y cómo implantarlas de forma eficaz.

TABLA DE CONTENIDOS

 

Las fugas de datos en 2022

IBM y el instituto Ponemon publicaron un un informe sobre el coste de una fuga de datos en 2022, encuestando 550 infracciones con datos recopilados de más de 3.600 entrevistas en 17 países. Los resultados muestran que una fuga de datos promedio costó US $ 4.35 millones en 2022, lo que indica que las cifras han aumentado aún más de los $ 4.24 millones registrados en 2021.

Cada año, las estadísticas sobre el coste de las fugas de datos indican que las cifras siguen aumentando en al menos un 2,6 por ciento, y se espera que los números se disparen en los próximos años. En los EE.UU., las cifras son drásticamente diferentes, ya que el costo promedio de una fuga de datos fue de $ 9.44M, más del doble del promedio mundial. ¿Sabe cómo se obtiene la estimación del coste de la pérdida por filtración de datos?

El informe de IBM también mostraba las causas de la mayoría de las filtraciones: las credenciales robadas o comprometidas representaron el 19% de las filtraciones, el phishing fue responsable del 16% y la mala configuración de la nube causó el 15% de las filtraciones.

Es esencial que las organizaciones implementen una estrategia sólida de protección de datos para reducir la posibilidad de una fuga de datos, que a menudo conduce a pérdidas financieras. Los Controles CIS es una colección de las mejores prácticas de seguridad informática para mitigar los ciberataques a sistemas y redes.
 

Controles CIS v8 y el Control 3 – Protección de Datos

Los controles de seguridad críticos de CIS (CIS Controls) son un conjunto de salvaguardas de seguridad para ayudar a las organizaciones a mitigar los ciberataques más frecuentes contra sistemas y redes. Estos controles se revisan de forma regular para hacer frente a las amenazas cibernéticas en constante evolución y mantenerse al día con los sistemas y tecnologías modernas.

Más específicamente, el control CIS número 3 se centra en garantizar la protección de datos tanto en el almacenamiento como cuando se transmiten por cualquier medio, incluyendo la gestión de datos para dispositivos móviles y equipos. Los controles trazan procesos y técnicas para identificar, clasificar, manejar, retener y eliminar datos de forma segura cara a minimizar los riesgos de una fuga de datos.

No es ninguna novedad que los datos de una organización ya no están restringidos a su perímetro. Algunos datos ahora se almacenan en la nube, se comparten con partners, se transfieren a través de dispositivos móviles, etc. Esta explosión de colaboración de los datos los abre a más riesgos de ataque, lo que hace que la protección de datos se haya convertido en una prioridad para las organizaciones.

Aunque el cifrado garantiza la protección de datos, en reposo y en tránsito, no ofrece mucha ayuda frente a actores maliciosos que acceden al contenido una vez descifrado. El control CIS número 3 establece una estrategia holística para fortalecer la seguridad de las organizaciones y posibles ciberataques en el ámbito de la protección de datos.
 

Cambios en comparación con v7 donde la Protección de Datos es ahora el Control 3

CIS Control v8 es una revisión exhaustiva de la v7 y contiene actualizaciones de salvaguardia para mejorar la seguridad de los datos y reducir los riesgos de una fuga de datos. Algunos de los cambios incluyen:

– La inclusión del control de Gestión de Proveedores de Servicios: Un nuevo control que aborda la sensibilidad de los datos en las plataformas SaaS, incluido su almacenamiento y procesamiento.

– Mover la protección de datos del puesto número 13 al número 3 y agregar cinco nuevas salvaguardas a este control. Estas cinco nuevas salvaguardas se centran en la gestión e identificación de datos con un enfoque más seguro para minimizarlas vulnerabilidades.

Otros cambios involucraron Controles, como Controles 4,5,6,14, etc.
 

 

¿Qué garantías de protección de datos incluye CIS Control 3?

A continuación, se presentan las 14 salvaguardas del Control CIS 3.


 
 
 
 
 

3.1: Establecer y mantener un proceso de gestión de datos

Las organizaciones deben establecer un proceso eficaz de gestión de datos que tenga en cuenta la sensibilidad, propiedad, almacenamiento, retención, copia de seguridad y eliminación de datos. El proceso de gestión de datos debe alinearse con las regulaciones específicas de las organizaciones revisarse anualmente.
 

3.2: Establecer y mantener un inventario de datos

El inventario describe el tipo de datos que se generan en la organización, el grado de sensibilidad y cómo se retienen y consumen. Debe reflejar tanto datos estructurados (por ejemplo, datos almacenados en bases de datos) como datos no estructurados (por ejemplo, documentos y fotos) para garantizar una política integral de protección de datos.
 

3.3: Configurar listas de control de acceso a datos

Restringir el acceso de cada usuario es una parte crucial de la seguridad de los datos, y cada usuario solo debe tener acceso a los datos, aplicaciones y sistemas de la red de la organización que necesita para hacer su trabajo. Tener acceso a otros datos que no sean los que necesitan (especialmente datos confidenciales) aumenta el riesgo de una fuga de datos y un posible compromiso de su seguridad, ya sea deliberada o accidentalmente.

Se debe realizar una revisión periódica de los permisos de acceso para detectar y eliminar rápidamente cualquier permiso no autorizado que tenga un usuario, como cuando hay un cambio de departamento o rol.
 

3.4: Aplicar la retención de datos

Los datos deben tener plazos mínimos y máximos para controlar el grado en que deben conservarse los diferentes tipos de datos. Para garantizar el pleno cumplimiento, debe considerar la posibilidad de automatizar el proceso de retención de datos para que ciertos tipos de datos no permanezcan más allá de su período de caducidad debido al olvido.
 

3.5: Desechar los datos de forma segura

Ya sea que necesite deshacerse de los datos porque son antiguos e irrelevantes o debido a las regulaciones, garantizar una eliminación segura es crucial para evitar el acceso no autorizado a los datos. Debe deshacerse de los datos de acuerdo con su sensibilidad, asegurándose de que los datos confidenciales se eliminen por completo de manera que ningún usuario pueda acceder.
 

3.6: Cifrar datos en dispositivos de usuario final

En ciertos escenarios, los dispositivos de la empresa se ven comprometidos por amenazas internas o externas. El cifrado de datos en los dispositivos de los usuarios finales ayuda a evitar el uso indebido de los datos cuando surgen tales escenarios, lo que agrega una capa adicional de seguridad a su organización. Herramientas de cifrado como Windows BitLocker, Linux dm-crypt y Apple FileVault, pueden ayudarnos a la protección de datos en reposo o en caso de pérdidas, pero no son suficientes si queremos mantener los datos cifrados de nuestra organización en los dispositivos de terceros usuarios.
 

3.7: Establecer y mantener un esquema de clasificación de datos

No todos los datos de su organización están en el mismo nivel. Algunos son sensibles, mientras que otros no lo son. Establecer y mantener un esquema de clasificación de datos le ayuda a distinguir los datos sensibles de los datos no sensibles, de modo que pueda proporcionar más protección a los confidenciales. Incluso los datos no confidenciales también pueden clasificarse como privados o públicos para mejorar la protección de datos.

Las organizaciones deben revisar su esquema de clasificación de datos anualmente o cada vez que haya un cambio significativo en la política.
 

3.8: Flujos de datos de documentos

Las organizaciones deben controlar el movimiento y el flujo de datos dentro y fuera de la empresa para detectar correctamente las vulnerabilidades que podrían debilitar su ciberseguridad. Debe revisar la documentación anualmente y aplicar las actualizaciones necesarias siempre que se produzca un cambio significativo que pueda afectar a esta protección.
 

3.9: Cifrar datos en medios extraíbles

Las organizaciones deben prepararse para escenarios de robo de dispositivos cifrando los datos en discos duros externos, unidades flash y otros medios extraíbles. Estos dispositivos también pueden extraviarse y eventualmente aterrizar en las manos equivocadas, pero con el cifrado, puede estar seguro de que los datos no serán mal utilizados o explotados.
 

3.10: Cifrar datos confidenciales en tránsito

Las organizaciones deben cifrar los datos críticos en tránsito para garantizar una protección óptima dondequiera que vayan los datos. Las opciones de cifrado populares para las empresas son Open Secure Shell (OpenSSH) y Transport Layer Security (TLS). Todos los cifrados también deben estar adecuadamente autenticados. Por ejemplo, OpenSSH valida las claves de host e investiga cualquier advertencia de conexión, mientras que TLS utiliza identificadores DNS válidos con certificados firmados por una autoridad de certificación confiable y válida.
 

3.11: Cifrar datos confidenciales en reposo

Los datos confidenciales en reposo, ya sea en servidores, bases de datos o aplicaciones, deben cifrarse con al menos cifrado de capa de almacenamiento. Se pueden implementar métodos de de cifrado adicionales para garantizar que solo los usuarios autorizados puedan ver y usar los datos, incluso si el dispositivo de almacenamiento cae en las manos equivocadas.
 

3.12: Segmentar el procesamiento y almacenamiento de datos en función de la sensibilidad

El procesamiento y almacenamiento de datos debe segmentarse en función de la clasificación de datos para garantizar que los datos confidenciales se traten con más precaución que los datos menos sensibles. Evite procesar datos confidenciales en activos empresariales que administren datos menos confidenciales al mismo tiempo. Hacer esto evitará que un hacker acceda automáticamente a todos los datos de la empresa una vez que obtenga acceso a algunos datos menos confidenciales.
 

3.13: Implementar una solución de prevención de pérdida de datos

La protección contra la pérdida de datos (DLP) es un potente sistema automatizado para proteger los datos in situ y remotos de la filtración accidental. La herramienta identifica todos los datos confidenciales procesados, almacenados o transmitidos a través de los activos de la empresa y actualiza el inventario de datos. Más información sobre DLP frente a IRM aquí.
 

3.14: Registrar el acceso a datos confidenciales

Todas las acciones de datos confidenciales deben registrarse, incluido el acceso, la modificación y la eliminación, ya que esto es esencial para la detección y respuesta oportunas a la actividad maliciosa. Las investigaciones posteriores al ataque y la detección de los culpables de infracciones para una rendición de cuentas adecuada también requieren que los registros de acceso a los datos se lleven a cabo por completo.
 
 

Un enfoque de seguridad centrado en los datos puede ayudarle a implementar el control CIS 3

Las organizaciones que implementan seguridad centrada en datos pueden implementar mejor el control CIS 3 porque sus tecnologías, procesos y políticas se enfocan en proteger todo el ciclo de vida de los datos, incluida su ubicación, recopilación, transferencia, almacenamiento y visibilidad.
 
Los elementos clave de un sistema de seguridad eficaz centrado en los datos incluyen los siguientes:

1. Identificación, descubrimiento y clasificación de información sensible

El objetivo principal de un atacante interno o externo es acceder a la información más confidencial de la empresa, ya que tienen los mayores beneficios. También pueden ir tras otros datos, por ejemplo, datos de regulación como EU-GDPR, PCI u otros. A menudo, estos datos se almacenan en repositorios específicos conocidos solo por el equipo de la empresa; Sin embargo, se pueden compartir, poniendo en riesgo los datos. Las organizaciones interesadas en implementar controles de seguridad centrados en los datos necesitan herramientas y tecnologías que ayuden a identificar dónde están sus datos, clasificarlos y mantenerlos protegidos en función del nivel de sensibilidad y confidencialidad. Conoce las ventajas de la clasificación de datos potenciada por IA y el aprendizaje automático.
 

2. Protección centrada en los datos

Los controles de seguridad centrados en los datos se centran en proteger la información allí donde se encuentre. Independientemente si está dentro o fuera del perímetro de seguridad de la red corporativa.
 

3. Auditoría y seguimiento del acceso a los datos

Las organizaciones deben analizar el uso de los datos y determinar si los patrones de comportamiento de los usuarios están dentro del estándar aceptable para conocer el nivel de riesgo asociado con los datos en cualquier momento.
 

4. Administración y gestión de políticas de datos

Los empleados van y vienen, pero los datos de la empresa siguen siendo relevantes en todo momento. Un enfoque de seguridad centrado en los datos permite a las organizaciones determinar quién debe o no debe tener acceso a ciertos datos, dependiendo de sus políticas. Por lo tanto, cuando deja de colaborar con alguien o descubre que está en riesgo, revoca inmediatamente el acceso a los datos, los destruye o evita que salgan de la red corporativa.
 

 

¿Cómo puede ayudar SealPath a implementar el control 3 de CIS?

Cuando se trata de mejorar la estrategia de protección de datos de su organización, SealPath puede ofrecer un sistema de seguridad centrado en los datos que protege y monitorea eficazmente sus datos en reposo, en tránsito y en uso. Por lo tanto, independientemente de dónde viajen sus datos, no solo es consciente de su ciclo de vida, sino que aún tiene un control absoluto sobre ellos y puede revocar el acceso a los mismos en caso de un riesgo de sufrir una brecha de seguridad.

SealPath le ofrece Information Rights Management (IRM) / Enterprise Digital Rights Management (E-DRM) / Enterprise Information Protection and Control (IPC) sobre todos sus datos, evitando un incidente de fuga de información. Por otro lado SealPath Data Classification permite clasificación de información impulsada por Inteligencia Artificial y Aprendizaje Automático.
 
SealPath le da el poder de controlar los datos dondequiera que estén, incluso si están fuera de del perímetro de seguridad de la red, fuera de la nube corporativa, etc. Combina control de identidad + cifrado + auditoría + control remoto y los lleva más allá de la esfera del cifrado tradicional.

Algunas de las capacidades de esta tecnología incluyen la capacidad de:
• Proporcionar protección que viaja con la información
• Supervisar el acceso a la información y limitar los permisos sobre la documentación (Sólo Ver, Editar, Imprimir, etc.).
• Revocar el acceso, independientemente de dónde se almacenen los datos
• Monitorear accesos, intentos de acceso bloqueados, y cualquier evento sobre los datos.
• Clasificación de datos impulsada por Inteligencia Artificial y Aprendizaje Automático.

Con SealPath la protección puedes ser gestionada y aplicada por el usuario o administrada por el administrador para proteger ciertas carpetas en servidores de ficheros, la nube, etc. De esta forma la protección es inmediata y los documentos descargados de la nube o extraídos de las carpetas de red, se mantendrán bajo el control de la organización.

Estas tecnologías pueden integrarse con herramientas de clasificación para que los datos clasificados dentro o fuera de la red corporativa o la nube queden protegidos automáticamente, en función de su nivel de confidencialidad, DLP o CASB.

Encuentre más información en la siguiente página o contáctenos para ayudarle a cumplir con el control CIS número 3.