Estimados amigos de Inseguros !!!
En el Tema 3 (Datos) de los Controles CIS, el control 3.6 es literal y muy concreto: cifrar los datos en el dispositivo del usuario final. Cuando CIS dice “dispositivo”, es fácil pensar solo en ficheros en un portátil, pero el concepto va un poco más allá: el dato tiene que estar almacenado en un sitio cifrado, y eso aplica tanto en endpoint como en infraestructura.
En el mundo endpoint, el ejemplo típico es el portátil. Da igual si es Windows, Linux o Mac: el disco (o partición) tiene que ir cifrado. En Windows, BitLocker; en Linux, particiones con LUKS; en Mac, su equivalente de cifrado. El motivo es obvio: si se pierde el portátil, no basta con “tener contraseña de inicio de sesión”. Si el disco no va cifrado, un atacante puede sacar el disco, conectarlo por USB a otro equipo y leer el contenido. La diferencia práctica está en el cifrado y en cómo se protege la clave (por ejemplo, asociada a TPM).
Este control también tiene una lectura clara en cloud y en compliance alto. Cuando se mira NIS2 o ENS Alto, aparece el mismo patrón: discos cifrados (particiones/bloques) y, en escenarios exigentes, cifrado con clave gestionada por la organización (no por el proveedor), y con rotación periódica (por ejemplo, cada seis meses). La razón práctica es que existen escenarios en los que un atacante con acceso a la plataforma puede llegar a clonar un disco (snapshots/hipervisor) y llevarse el dato “por debajo”, aunque el sistema operativo esté bien.
Y no es solo disco. También aplica a bases de datos: es muy normal que haya acceso a un SQL Server (o equivalente) y que el dataset esté “en claro”. El control empuja a que los conjuntos de datos estén cifrados, porque el objetivo es proteger el dato en reposo, no solo el acceso lógico.
Lo mismo con almacenamiento: si se trabaja con una cabina o almacenamiento compartido, la idea es idéntica: que por debajo exista cifrado del dato. Y bajando a lo cotidiano: pendrives. Si se usan, deben ir cifrados. Un USB sin cifrar es literalmente el caso de libro de fuga de información.
CIS 3.6 es sencillo de leer y fácil de justificar: cifrado del dato en reposo, en endpoint y donde aplique, con enfoque de cumplimiento cuando toca. La parte difícil no es entenderlo, es recorrer el entorno, ver el nivel real de cumplimiento y convertirlo en roadmap.
Para seguir aterrizando Controles CIS en entornos reales (auditoría, gobierno del dato y medidas aplicables a empresa), en www.seguridadsi.com hay cursos de ciberseguridad online para profesionales orientados a práctica.
Gracias por leerme !!!
