Estimados amigos de Inseguros !!!
En el Tema 3 (Datos) de los Controles CIS, el control 3.7 entra directo a un clásico que sigue provocando incidentes en 2026: medios extraíbles. USB, discos externos y cualquier almacenamiento que pueda salir físicamente de la organización.
La idea del control es simple: si se usan medios extraíbles, los datos tienen que ir cifrados. No “protegidos con contraseña” en un zip, sino cifrados como debe ser. Porque el problema no es que alguien “adivine” una clave, el problema es que un USB perdido con datos en claro es una fuga inmediata. Y en muchos sectores esto ni siquiera es discutible: es incumplimiento.
Esto además se mezcla con una realidad operativa: hay empresas donde el USB está prohibido… pero luego existe el “USB del técnico”, el “USB del proveedor”, el “USB de la fábrica” o el “USB de mantenimiento”. Y ahí es donde el control 3.7 aporta valor: no se trata de un discurso moral, se trata de cerrar el agujero real con un procedimiento claro.
El enfoque que suele funcionar es por capas: primero, definir si se permite o no. Segundo, si se permite, que sea con cifrado obligatorio y, si se puede, con dispositivos corporativos gestionados. Y tercero, tener trazabilidad: qué se conecta, quién lo conecta y para qué. Porque en el mundo real, el USB no solo es fuga de datos. También es vector de entrada: malware, herramientas, ejecución accidental, y “cosas” que nadie puede auditar.
Por eso, el 3.7 no vive aislado. Conecta con el 3.6 (cifrado en endpoint), con controles de inventario y con controles de ejecución (aplicación, listas blancas, etc.). La idea es que el dato no salga “fácil”, y que si sale, salga protegido.
En resumen: si hay USB, hay cifrado, y además hay política y control. Es una medida pequeña en el papel, pero muy grande en impacto cuando la organización tiene datos sensibles y movilidad real.
Para seguir aterrizando estos controles con enfoque práctico de empresa (gobierno del dato, evidencias, cifrado y medidas operables), en www.seguridadsi.com están los cursos de ciberseguridad para profesionales.
Gracias por leerme !!!
