El enmascaramiento de datos es una técnica utilizada para proteger datos confidenciales (normalmente cualquier dato que pueda considerarse información de identificación personal (PII)) más allá de los protocolos de seguridad de la información estándar de una organización, como el control de acceso, etc.
El enmascaramiento de datos se menciona a menudo en directrices y leyes legales, reglamentarias y reglamentarias que rigen el almacenamiento y el acceso a la información de empleados, clientes, usuarios y proveedores.
Control 8.11 es un preventivo controlar eso modifica el riesgo sugiriendo una serie de técnicas de enmascaramiento de datos que salvaguardan la PII y ayudan a la organización a cumplir con lo que les exigen las autoridades legales y las agencias reguladoras.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Protección de la información | #Proteccion |
El enmascaramiento de datos es un proceso técnico complejo que implica alterar información confidencial y evitar que los usuarios identifiquen a los interesados mediante una variedad de medidas.
Si bien esto es en sí mismo una tarea administrativa, la naturaleza del enmascaramiento de datos está directamente relacionada con la capacidad de una organización para cumplir con las leyes, regulaciones y directrices estatutarias relativas al almacenamiento, acceso y procesamiento de datos. Como tal, la propiedad debe residir en el Director de Información de Seguridad, o equivalente organizacional.
Control 8.11 pide a las organizaciones que consideren el enmascaramiento de datos a través del alcance de dos técnicas principales: seudonimización y/o anonimización. Ambos métodos están diseñados para disfrazar el verdadero propósito de la PII mediante la disociación, es decir, ocultando el vínculo entre los datos sin procesar y el sujeto (normalmente una persona).
Las organizaciones deben tener mucho cuidado para garantizar que ningún dato comprometa la identidad del sujeto.
Al utilizar cualquiera de estas técnicas, las organizaciones deben considerar:
La seudonimización y la anonimización no son los únicos métodos disponibles para las organizaciones que buscan enmascarar PII o datos confidenciales. Control 8.11 describe otros cinco métodos que se pueden utilizar para reforzar la seguridad de los datos:
El único cumplimiento
solución que necesitas
Reserva tu demostración
El enmascaramiento de datos es una parte importante de la política de una organización para proteger la PII y salvaguardar la identidad de las personas sobre las que guarda datos.
Además de las técnicas anteriores, las organizaciones deben considerar las siguientes sugerencias al diseñar su estrategia para el enmascaramiento de datos:
Ninguno. Control 8.11 no tiene precedentes en ISO 27002:2013 ya que es nuevo.
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda verificar su proceso SGSI a medida que avanza para asegurarse de que cumple con los requisitos de ISO 27002:2022.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
