Estimados amigos de Inseguros !!!
Arrancamos el Tema 3 de los Controles CIS, y empezamos por el 3.1: tener un proceso corporativo, documentado y vigente, para la gestión del dato.
En informática, la seguridad de una empresa acaba siendo la seguridad del dato. Se puede hablar de redes, de endpoints, de cloud… pero lo que se protege (y lo que se roba) son datos. Por eso el 3.1 es la “declaración de intenciones” del Tema 3: antes de entrar en controles específicos, hay que tener el proceso base.
¿Y qué entra en “gestión del dato”? Primero, clasificar: dato público, interno, por departamento, con vigencia o sin vigencia. Segundo, inventariar: saber qué datos existen y dónde viven. Tercero, proteger: controles de acceso, trazabilidad, y medidas acordes al nivel de sensibilidad. Y cuarto, retención: cuánto tiempo se guarda y por qué, porque muchas veces la normativa lo marca (facturas años, registros de seguridad meses, correo años…).
Un matiz importante: los logs también son datos. Y muchas veces son datos sensibles. Si se guardan mal, si se dejan “por ahí”, o si no se gobierna su ciclo de vida, se convierten en un regalo para el atacante (y en un problema en auditorías). En el mundo real, una buena gestión de logs forma parte de la gestión del dato.
El ejemplo típico que aparece en el día a día: entornos con SAP, integraciones de fabricación, maquinitas que dejan TXT de telemetría, procesos de importación de facturas, albaranes, órdenes de compra… y ficheros que se van acumulando en históricos sin borrarse. Eso, además de riesgo, es un patrón clásico en auditorías y en intrusiones: ficheros de texto con información “confidencial” que ayudan a escalar.
Y luego está la gestión del dato con terceros. Cada vez menos se manda “un PDF por correo y ya está”. Se usan portales, enlaces con trazabilidad, autenticación, y auditoría de acceso: quién descargó, cuándo, desde dónde. Esto también es gestión del dato, porque define cómo se comparte, cómo se controla y cómo se demuestra.
El 3.1 no pide magia. Pide que exista y se mantenga el proceso: documentación, vigencia, y base para las subsecciones del Tema 3 (clasificación, retención, control, auditoría…). Es el punto donde la ciberseguridad deja de ser “herramientas” y pasa a ser gobernanza de la información.
Para profundizar en esto con enfoque práctico de empresa (controles CIS, seguridad de la información, auditoría y gobierno), en SeguridadSi encaja especialmente:
-
Curso de Auditoría de Ciberseguridad (Aprende a auditar tu empresa).
-
Formación de Seguridad Microsoft (Aprende Microsoft Windows y Azure en un PACK).
-
Monitorización/SIEM y respuesta (porque logs = datos, y sin trazabilidad no hay defensa seria).
Gracias por leerme !!!
