by drmunozcl
Share
Por drmunozcl
Compartir
En el contexto actual donde la información es uno de los activos más valiosos de una organización, las fugas de datos (data leaks o data loss) representan una de las amenazas más críticas para la seguridad y la reputación corporativa. El control 8.12 de la ISO/IEC 27001:2022, titulado “Prevención de Fuga de Datos”, establece medidas para proteger la información contra divulgación no autorizada, ya sea intencional o accidental.
Objetivo del Control 8.12
«Se deben prevenir fugas de información a través de medios físicos, lógicos o de comunicaciones.»
Este control busca evitar que la información confidencial, sensible o clasificada se filtre hacia fuera de los límites autorizados, ya sea por un empleado, proveedor o atacante externo.
Pasos para la Implementación del Control 8.12
1. Evaluación de Riesgos y Clasificación de la Información
Antes de aplicar controles, es esencial saber qué se debe proteger:
-
Clasifica la información (por ejemplo: pública, interna, confidencial, restringida).
-
Realiza un análisis de riesgo enfocado en fugas de datos: ¿Qué activos son vulnerables? ¿Quién tiene acceso?
-
Determina los escenarios de fuga: envío por email, dispositivos USB, impresión, capturas de pantalla, aplicaciones en la nube, descargas, etc.
2. Políticas Claras de Prevención y Uso Aceptable
Define e implementa políticas como:
-
Política de uso aceptable de sistemas y dispositivos.
-
Política de uso de dispositivos personales (BYOD).
-
Política de intercambio de información y clasificación.
Las políticas deben dejar explícito lo que está permitido, prohibido y monitoreado, incluyendo consecuencias ante incumplimiento.
3. Implementación de Tecnologías DLP (Data Loss Prevention)
Las herramientas DLP ayudan a detectar, monitorear y bloquear fugas de datos a nivel de:
a. Endpoint DLP
Protege estaciones de trabajo y portátiles controlando:
-
Copias a dispositivos USB.
-
Capturas de pantalla.
-
Impresiones no autorizadas.
b. DLP en red o gateway
Analiza tráfico de correo electrónico, web y FTP para:
-
Detectar envío de información sensible.
-
Aplicar reglas de bloqueo o cuarentena.
-
Registrar incidentes para auditoría.
c. DLP en la nube (CASB o SaaS DLP)
Permite controlar el uso indebido de aplicaciones como Google Workspace, Microsoft 365, Dropbox, etc.
Ejemplos de soluciones DLP: Microsoft Purview, Symantec DLP, Forcepoint, Trellix, Endpoint Protector, etc.
4. Controles Técnicos Complementarios
a. Cifrado
-
Aplica cifrado de datos en reposo y en tránsito.
-
Usa cifrado en unidades USB y discos portátiles.
b. Control de accesos
-
Aplica el principio de mínimo privilegio.
-
Implementa autenticación multifactor (MFA).
c. Control de impresión y pantallas
-
Restringe impresión de documentos sensibles.
-
Limita uso de herramientas como capturas o grabación de pantalla en dispositivos corporativos.
d. Control de aplicaciones y navegación
-
Usa listas blancas de aplicaciones.
-
Bloquea subidas de archivos a sitios web no autorizados.
5. Concientización y Capacitación
Los usuarios suelen ser el punto más débil frente a fugas accidentales. Es clave:
-
Educar sobre la identificación de información confidencial.
-
Capacitar sobre el uso correcto del correo, dispositivos y servicios cloud.
-
Enseñar a reconocer intentos de ingeniería social o phishing.
6. Monitoreo, Registro y Respuesta a Incidentes
-
Configura alertas automáticas ante comportamientos sospechosos (por ejemplo: envío masivo de archivos desde una laptop).
-
Integra la solución DLP con un SIEM o sistema de gestión de incidentes.
-
Establece un procedimiento de respuesta ante fuga, que incluya contención, análisis forense, notificación y acciones correctivas.
Buenas Prácticas
-
Realiza auditorías periódicas para validar la eficacia del control.
-
Evalúa nuevas superficies de fuga al adoptar tecnologías como IA, mensajería en tiempo real, etc.
-
Considera controles sobre canales no tradicionales: redes sociales, teléfonos móviles, apps de mensajería (WhatsApp, Telegram).
Conclusión
La prevención de fugas de datos no es solo una medida técnica, sino una combinación de cultura organizacional, procesos, controles y tecnología. El control 8.12 de ISO/IEC 27001:2022 ayuda a establecer una base sólida para asegurar la confidencialidad y el cumplimiento normativo, mientras fortalece la confianza de los clientes y socios comerciales.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con
La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su
El control 8.10 de la norma ISO/IEC 27001:2022 se titula “Eliminación de información” y pertenece al conjunto de controles del dominio 8: Controles de Seguridad para la Gestión de Activos. Su propósito es asegurar que la información se elimine de forma segura cuando ya no se requiere, evitando el acceso no autorizado, la divulgación indebida
El día de ayer participe en una auditoría de adaptación de ISO27001:2013 a ISO27001:2022. A continuación comento algunas de las cosas revisadas por el auditor: Se revisa el sistema de gestión de riesgos y que la mitigación de riesgo contemple correctamente la implementación de controles ISO27001:2022 Se revisa que la declaración de aplicabilidad este actualizada
