IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 3: Protección de datos, saber qué tienes antes de blindarlo

14/07/2026 2 min de lectura Rubén Espinoza

El tercer Control CIS pone el foco en lo que, al final, los atacantes quieren: los datos. Pero antes de blindarlos, exige un paso que casi todos se saltan: saber qué datos tienes, dónde viven y qué tan sensibles son. Porque no todos valen lo mismo. El menú de la cafetería y la base de datos de clientes no necesitan la misma protección, y tratar todo por igual lleva a dos errores caros: proteger lo trivial como si fuera crítico (desperdicio) o dejar lo crítico con la protección de lo trivial (desastre).

Clasificar antes de proteger

La pieza fundacional de este control es la clasificación: separar los datos por su nivel de sensibilidad (públicos, internos, confidenciales, y demás según tu realidad). Esto no es burocracia; es lo que permite aplicar la protección proporcionada a cada tipo. Sin clasificación, cualquier medida de protección de datos —incluido cualquier sistema de prevención de fuga (DLP)— trabaja a ciegas, porque no sabe qué debe cuidar con celo y qué puede dejar pasar. Lo explicamos a fondo en clasificación de información.

Qué pide en la práctica

  • Un inventario de datos: qué información sensible manejas y dónde está almacenada (que casi siempre es en más lugares de los que crees).
  • Clasificación por sensibilidad, para saber qué proteger con qué rigor.
  • Controles de protección acordes: cifrado de datos sensibles, control de acceso, manejo seguro y, cuando aplica, prevención de fuga.
  • Retención y disposición segura: conservar lo necesario el tiempo necesario, y destruir de forma segura lo que ya no se necesita. Guardar datos sensibles de más es cargar un riesgo sin motivo.

El aterrizaje honesto

El descubrimiento incómodo de este control es dónde terminan viviendo los datos sensibles: en correos, en hojas de cálculo locales, en carpetas compartidas sin control, en el celular de alguien, en un servicio en la nube que nadie aprobó. Mapear eso suele ser revelador y, a veces, alarmante. Pero es el trabajo que hace posible todo lo demás: no puedes cuidar bien lo que no sabes que tienes ni dónde está. Y conecta con obligaciones más amplias, como la soberanía de datos y la protección legal de la información personal. Proteger datos no empieza con una herramienta; empieza con conocerlos.

#ciberseguridad #cis #datos #clasificacion

Preguntas frecuentes

¿La clasificación de datos no es demasiado burocrática para una PyME?

No tiene que serlo. Para una organización pequeña, bastan unos pocos niveles simples (por ejemplo, público, interno y confidencial) aplicados con sentido común. El objetivo no es un sistema elaborado, sino saber qué información no puede filtrarse para protegerla mejor que el resto. Una clasificación sencilla y usada vale más que una compleja que nadie sigue.

¿Necesito cifrar todos mis datos?

No necesariamente todos, sino los sensibles, y por eso la clasificación va primero. Cifrar la información confidencial (en reposo y en tránsito) la protege si el medio se pierde o es interceptado. Cifrar absolutamente todo por igual añade complejidad sin proporción al riesgo. La clave es proteger cada dato según lo que vale, y el cifrado es una de las herramientas para los que lo ameritan.

¿Por qué destruir datos también es parte de protegerlos?

Porque los datos que conservas de más son un riesgo que cargas sin beneficio: si sufres una brecha, se expone también lo que ya no necesitabas. Una disposición segura (borrado o destrucción del medio) de la información que cumplió su propósito reduce lo que puede filtrarse. Guardar todo "por si acaso" indefinidamente aumenta tu exposición sin razón. Retener con criterio es parte de proteger.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)