Propósito del Control 8.11
El enmascaramiento de datos es una técnica utilizada para proteger datos confidenciales (normalmente cualquier dato que pueda considerarse información de identificación personal (PII)) más allá de los protocolos de seguridad de la información estándar de una organización, como el control de acceso, etc.
El enmascaramiento de datos se menciona a menudo en directrices y leyes legales, reglamentarias y reglamentarias que rigen el almacenamiento y el acceso a la información de empleados, clientes, usuarios y proveedores.
Tabla de Atributos de Control 8.11
Control 8.11 es un preventivo controlar eso modifica el riesgo sugiriendo una serie de técnicas de enmascaramiento de datos que salvaguardan la PII y ayudan a la organización a cumplir con lo que les exigen las autoridades legales y las agencias reguladoras.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Protección de la información | #Proteccion |
Propiedad del Control 8.11
El enmascaramiento de datos es un proceso técnico complejo que implica alterar información confidencial y evitar que los usuarios identifiquen a los interesados mediante una variedad de medidas.
Si bien esto es en sí mismo una tarea administrativa, la naturaleza del enmascaramiento de datos está directamente relacionada con la capacidad de una organización para cumplir con las leyes, regulaciones y directrices estatutarias relativas al almacenamiento, acceso y procesamiento de datos. Como tal, la propiedad debe residir en el Director de Información de Seguridad, o equivalente organizacional.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cumplimiento
Control 8.11 pide a las organizaciones que consideren el enmascaramiento de datos a través del alcance de dos técnicas principales: seudonimización y/o anonimización. Ambos métodos están diseñados para disfrazar el verdadero propósito de la PII mediante la disociación, es decir, ocultando el vínculo entre los datos sin procesar y el sujeto (normalmente una persona).
Las organizaciones deben tener mucho cuidado para garantizar que ningún dato comprometa la identidad del sujeto.
Al utilizar cualquiera de estas técnicas, las organizaciones deben considerar:
- El nivel de seudonimización y/o anonimización requerido, en relación con la naturaleza de los datos.
- Cómo se accede a los datos enmascarados.
- Cualquier acuerdo vinculante que restrinja el uso de los datos a enmascarar.
- Mantener los datos enmascarados separados de cualquier otro tipo de datos, para evitar que el interesado sea fácilmente identificado.
- Registrar cuándo se recibieron los datos y cómo se proporcionaron a fuentes internas o externas.
Orientación – Técnicas adicionales
La seudonimización y la anonimización no son los únicos métodos disponibles para las organizaciones que buscan enmascarar PII o datos confidenciales. Control 8.11 describe otros cinco métodos que se pueden utilizar para reforzar la seguridad de los datos:
- Cifrado basado en claves.
- Anular o eliminar caracteres dentro del conjunto de datos.
- Números y fechas variables.
- Reemplazo de valores en los datos.
- Enmascaramiento de valores basado en hash.
Orientación: principios de enmascaramiento de datos
El enmascaramiento de datos es una parte importante de la política de una organización para proteger la PII y salvaguardar la identidad de las personas sobre las que guarda datos.
Además de las técnicas anteriores, las organizaciones deben considerar las siguientes sugerencias al diseñar su estrategia para el enmascaramiento de datos:
- Implementar técnicas de enmascaramiento que sólo revelen la cantidad mínima de datos a cualquiera que lo utilice.
- 'Ocultar' (ocultar) ciertos datos a petición del sujeto y permitir que solo ciertos miembros del personal accedan a las secciones que sean relevantes para ellos.
- Construir su operación de enmascaramiento de datos en torno a pautas legales y regulatorias específicas.
- Cuando se implementa la seudonimización, el algoritmo que se utiliza para "desenmascarar" los datos se mantiene seguro y protegido.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
Ninguno. Control 8.11 no tiene precedentes en ISO 27002:2013 ya que es nuevo.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda verificar su proceso SGSI a medida que avanza para asegurarse de que cumple con los requisitos de ISO 27002:2022.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
