El tercer Control CIS pone el foco en lo que, al final, los atacantes quieren: los datos. Pero antes de blindarlos, exige un paso que casi todos se saltan: saber qué datos tienes, dónde viven y qué tan sensibles son. Porque no todos valen lo mismo. El menú de la cafetería y la base de datos de clientes no necesitan la misma protección, y tratar todo por igual lleva a dos errores caros: proteger lo trivial como si fuera crítico (desperdicio) o dejar lo crítico con la protección de lo trivial (desastre).
Clasificar antes de proteger
La pieza fundacional de este control es la clasificación: separar los datos por su nivel de sensibilidad (públicos, internos, confidenciales, y demás según tu realidad). Esto no es burocracia; es lo que permite aplicar la protección proporcionada a cada tipo. Sin clasificación, cualquier medida de protección de datos —incluido cualquier sistema de prevención de fuga (DLP)— trabaja a ciegas, porque no sabe qué debe cuidar con celo y qué puede dejar pasar. Lo explicamos a fondo en clasificación de información.
Qué pide en la práctica
- Un inventario de datos: qué información sensible manejas y dónde está almacenada (que casi siempre es en más lugares de los que crees).
- Clasificación por sensibilidad, para saber qué proteger con qué rigor.
- Controles de protección acordes: cifrado de datos sensibles, control de acceso, manejo seguro y, cuando aplica, prevención de fuga.
- Retención y disposición segura: conservar lo necesario el tiempo necesario, y destruir de forma segura lo que ya no se necesita. Guardar datos sensibles de más es cargar un riesgo sin motivo.
El aterrizaje honesto
El descubrimiento incómodo de este control es dónde terminan viviendo los datos sensibles: en correos, en hojas de cálculo locales, en carpetas compartidas sin control, en el celular de alguien, en un servicio en la nube que nadie aprobó. Mapear eso suele ser revelador y, a veces, alarmante. Pero es el trabajo que hace posible todo lo demás: no puedes cuidar bien lo que no sabes que tienes ni dónde está. Y conecta con obligaciones más amplias, como la soberanía de datos y la protección legal de la información personal. Proteger datos no empieza con una herramienta; empieza con conocerlos.