Control CIS 3 para la protección de datos

El CIS (Centro para la Seguridad de Internet), que está formado por varios expertos de la industria y líderes de agencias gubernamentales, tiene un conjunto de 18 pautas universales e independientes de la industria, o “controles de seguridad críticos” que las organizaciones deben implementar, mantener y hacer cumplir para la ciberdefensa.

Este artículo se refiere al Control 3 del CIS, uno de los seis controles principales que el CIS considera un “control básico”.

Protección de datos vs. cifrado de datos

Los datos empresariales ya no se limitan a entornos físicos, sino que existen en las instalaciones, en la nube y en entornos híbridos — y a menudo se comparte con socios o servicios en línea de terceros. Información personal y sensible Al igual que los datos de clientes, datos financieros, datos de salud, propiedad intelectual y más, están altamente regulados por leyes de privacidad y protección y normas.

Protección de datos No se limita al cifrado de datos. Para garantizar el cumplimiento de la protección y la privacidad, las organizaciones deben ir más allá de los métodos tradicionales de ciberseguridad y centrarse en la recopilación, el uso y la seguridad adecuados de los datos. gestión, retenciónY más. Deben gestionar adecuadamente los datos durante todo su ciclo de vida.

Medidas de seguridad del control CIS 3

1. Establecer y mantener un proceso de gestión de datos
   — Función de seguridad: Identificar
   Estos procesos necesitan Abordar los niveles de sensibilidad de los datos, ¿Quién es el propietario de los datos?, límites de retención de datos, y la eliminación de datos de una organización en función de su sensibilidad.
2. Establecer y mantener un inventario de datos
   — Función de seguridad: Identificar
   La prioridad del inventario deben ser los datos sensibles.
3. Configurar listas de control de acceso a datos
   — Función de seguridad: Proteger
   Asegúrese de que cada usuario tenga permisos de acceso para los sistemas, bases de datos y aplicaciones que necesitan para hacer su trabajo, y nada más.
4. Hacer cumplir la retención de datos
   — Función de seguridad: Proteger
   Definir y hacer cumplir la retención durante períodos de tiempo mínimos y máximos.
5. Eliminar datos de forma segura
   — Función de seguridad: Proteger
   Definir y hacer cumplir la eliminación de datos de acuerdo con el nivel de sensibilidad.
6. Cifrar datos en los dispositivos del usuario final
   — Función de seguridad: Proteger
   Mitigue el riesgo de pérdida de datos en dispositivos robados o comprometidos cifrando los datos.
7. Establecer y mantener un esquema de clasificación de datos
   — Función de seguridad: Identificar
   Definir y mantener una marco de clasificación basado en la sensibilidad, clasificando los datos según etiquetas que sean relevantes para el negocio. El CIS recomienda, por ejemplo, «confidencial», «sensible» y «público».
8. Flujos de datos de documentos
   — Función de seguridad: Identificar
   Mapee cómo fluyen los datos a través de una organización para protegerlos aún más.
9. Cifrar datos en medios extraíbles
   — Función de seguridad: Proteger
   Los medios extraíbles representan un mayor riesgo de pérdida de datos por robo o violación.
10. Cifrar datos confidenciales en tránsito
    — Función de seguridad: Proteger
    Cifre los datos en tránsito y asegúrese de que el cifrado esté correctamente autenticado.
11. Cifrar datos confidenciales en reposo
    — Función de seguridad: Proteger
    Como mínimo, utilice el cifrado del lado del servidor y, además, agregue el cifrado del lado del cliente.
12. Procesamiento y almacenamiento de datos de segmentos según la sensibilidad
    — Función de seguridad: Proteger
    Asegúrese de que los datos solo se procesen y almacenen de acuerdo con su nivel de sensibilidad
13. Implementar una solución de prevención de pérdida de datos
    — Función de seguridad: Proteger
    Protéjase contra la pérdida de datos mediante el uso de herramientas automatizadas como una herramienta DLP (prevención de pérdida de datos) basada en host.
14. Registrar el acceso a datos confidenciales
    — Función de seguridad: Detectar
    Mantener registros de acceso a datos confidenciales para simplificar la respuesta a incidentes en caso de una violación.

Componentes de los controles del CIS y cumplimiento

CIS Control 3 tiene componentes que inciden directamente en el cumplimiento normativo de una serie de regulaciones de protección y privacidad, entre las que se incluyen, entre otras:

• HIPAA
• FISMA
• PCI DSS
• NIST 800-53

Las organizaciones que implementan controles CIS están en una mejor posición para cumplir con estas regulaciones. Marco de ciberseguridad del NIST, que también proporciona pautas para las empresas que intentan fortalecer su postura de seguridad, también se alinea con muchos de los componentes del CSC del CIS.

BigID, seguridad de datos y control CIS 3

Para cumplir con las salvaguardas de CIS Control 3, las empresas deben comprender sus datos de acuerdo con su sensibilidad, y esa capacidad solo se logra con conociendo tus datos — permitiendo una visibilidad completa de los datos personales, confidenciales y críticos dondequiera que existan, en la nube o en las instalaciones.

Con BigID técnicas de clasificación avanzadas y cobertura, las organizaciones pueden crear un inventario preciso, completo y actualizado de todos los activos de datos, donde sea que existan, en la nube o en las instalaciones.

BigID identifica automáticamente datos no utilizados, duplicados, similares o redundantes para reducir la exposición no deseada y minimizar los datos. Con aplicaciones adicionales para inteligencia de acceso, retención de datos, remediación de datosy registros de actividades de procesamiento (RoPA)Las organizaciones pueden:

• Detectar datos vulnerables, de alto riesgo y sobreexpuestos
• Habilite políticas de retención y reglas comerciales, y aplíquelas de manera consistente en todos los tipos y fuentes de datos.
• Priorizar los esfuerzos de remediación para identificar qué datos deben marcarse para su eliminación
• Automatizar la generación de flujos de datos que abarcan transferencias de datos

Además, BigID permite a los equipos orquestar flujos de trabajo para que las personas adecuadas puedan tomar las medidas adecuadas con los datos correctos. Tome el control y marque los datos para cifrado, remediación, eliminación y más mediante BigID y su ecosistema de integraciones con herramientas de toda su infraestructura tecnológica.

Descubra más sobre cómo BigID ayuda a las organizaciones con la protección de datos según los controles CIS. Programe una demostración hoy.

Autor

BigID

Conozca al colectivo de autores de BigID, un equipo diverso que cuenta con comercializadores de productos, expertos en la materia y redactores profundamente versados en privacidad, seguridad y gobernanza de datos. Nuestro enfoque colaborativo aprovecha una gran experiencia en el sector para elaborar contenidos perspicaces e informativos, garantizando que te mantengas informado en este panorama en constante evolución.