by drmunozcl
Share
Por drmunozcl
Compartir
En el contexto de la norma ISO/IEC 27001:2022, el control 8.11 – Enmascaramiento de datos establece la necesidad de proteger los datos sensibles mediante técnicas de enmascaramiento, especialmente cuando estos se usan fuera de entornos productivos o están expuestos a usuarios sin privilegios adecuados.
Este control es clave para preservar la confidencialidad de la información, minimizar riesgos en pruebas, desarrollo o analítica, y cumplir con regulaciones como el RGPD o la Ley 21.719 en Chile.
¿Qué es el enmascaramiento de datos?
El enmascaramiento de datos consiste en reemplazar información sensible por datos ficticios o irreversibles, preservando el formato y estructura original, de modo que los datos sean útiles para pruebas o análisis, pero no revelen información real.
Ejemplo:
Reemplazar un RUT real12.345.678-9por98.765.432-1, manteniendo el formato válido.
Objetivo del Control 8.11
-
Evitar exposición de datos reales en ambientes de desarrollo, testing o analítica.
-
Proteger información personal o sensible ante terceros, proveedores o personal interno no autorizado.
-
Minimizar el impacto en caso de fugas de datos fuera de producción.
Tipos comunes de datos que deben enmascararse
-
Datos personales (nombres, RUT/DNI, correos, teléfonos)
-
Datos financieros (números de cuenta, tarjetas)
-
Direcciones físicas
-
Credenciales o identificadores internos
-
Información médica o de salud
Estrategias de enmascaramiento de datos
-
Sustitución aleatoria
Reemplazar datos reales con valores ficticios pero coherentes (ej: nombres aleatorios). -
Enmascaramiento por patrón
Mostrar parcialmente el dato y ocultar el resto. Ej:XXXX-XXXX-1234. -
Ofuscación
Alterar los datos de forma irreversible sin perder integridad estructural. -
Tokenización
Reemplazar datos por un identificador o token, donde solo un sistema tiene el mapeo real. -
Enmascaramiento dinámico (runtime masking)
Mostrar diferentes vistas de los datos según el perfil del usuario (muy útil para BI o soporte técnico).
Pasos para implementar el control 8.11
1. Identificar los activos y datos sensibles
Realiza una clasificación de la información (control 5.12) e identifica qué datos deben ser enmascarados. Prioriza aquellos que se usan en:
-
Ambientes de desarrollo o testing
-
Análisis de datos y BI
-
Servicios expuestos a terceros (API, dashboards)
-
Proyectos con proveedores externos
2. Definir una política de enmascaramiento de datos
Establece criterios claros en una política formal que incluya:
-
Cuándo y dónde se debe aplicar enmascaramiento
-
Qué técnicas se deben usar por tipo de dato
-
Roles responsables de ejecutar y validar el proceso
-
Proceso de auditoría o revisión periódica
3. Aplicar herramientas y controles técnicos
Selecciona herramientas apropiadas para automatizar el enmascaramiento según el entorno:
-
Bases de datos: Oracle Data Masking, SQL Server Dynamic Data Masking, scripts SQL personalizados.
-
ETL / BI: Power BI Row-Level Security + máscaras, Data Factory, Talend.
-
Aplicaciones: Middleware para interceptar y transformar los datos antes de ser enviados.
-
DevOps: Pipelines que limpian los datos al clonar entornos.
4. Realizar pruebas y validaciones
-
Verifica que los datos enmascarados mantengan coherencia y usabilidad.
-
Asegúrate de que no puedan ser revertidos fácilmente.
-
Documenta los resultados y asegúrate de que los usuarios finales no tienen acceso a datos reales sin justificación.
Evidencias documentales recomendadas
-
Política de enmascaramiento de datos
-
Registros de ejecución de procesos de enmascaramiento
-
Informes de validación
-
Logs de acceso a datos sensibles
-
Matrices de clasificación de información
Conclusión
El enmascaramiento de datos es una práctica esencial para cumplir con los principios de confidencialidad y minimización de riesgo en el tratamiento de datos. La implementación del control 8.11 no solo fortalece el SGSI, sino que permite a las organizaciones operar con seguridad en contextos como desarrollo, analítica, soporte o integraciones con terceros.
Cumplir con este control también puede ayudarte en auditorías de privacidad, cumplimiento legal y certificaciones adicionales (como ISO/IEC 27701, PCI DSS o SOC 2).
Puedes leer más sobre enmascaramiento y protección de datos en la siguiente: Guía técnica.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con
La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su
En el contexto actual donde la información es uno de los activos más valiosos de una organización, las fugas de datos (data leaks o data loss) representan una de las amenazas más críticas para la seguridad y la reputación corporativa. El control 8.12 de la ISO/IEC 27001:2022, titulado “Prevención de Fuga de Datos”, establece medidas
El control 8.10 de la norma ISO/IEC 27001:2022 se titula “Eliminación de información” y pertenece al conjunto de controles del dominio 8: Controles de Seguridad para la Gestión de Activos. Su propósito es asegurar que la información se elimine de forma segura cuando ya no se requiere, evitando el acceso no autorizado, la divulgación indebida
