Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosPlantilla
Plantilla de Política de Protección de Datos

Plantilla de Política de Protección de Datos

Tener una política de seguridad de datos documentada es una mejor práctica para toda organización, especialmente aquellas sujetas a leyes estrictas de privacidad de datos como la California Consumer Privacy Act (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE.

Las políticas de seguridad de datos suelen abordar temas como la encriptación de datos, la protección de contraseñas y el control de acceso. Sin embargo, no se limitan a medidas técnicas; también deben detallar los controles administrativos y físicos utilizados para proteger la información sensible. La política también necesita explicar los roles y funciones relacionados con la protección de datos.

A continuación se presenta una plantilla de política de seguridad de datos empresariales que puede adaptar libremente para satisfacer los requisitos únicos de seguridad y cumplimiento de su organización.

Plantilla de política de seguridad de datos

Aquí están las secciones clave que se deben incluir en su política de seguridad de datos y algunos ejemplos de políticas de seguridad de datos para que explore.

1. Propósito

En esta sección, explicas por qué esta política está en vigor y qué deben esperar las personas ahora que se está utilizando. Por ejemplo:

La empresa debe restringir el acceso a datos confidenciales y sensibles para protegerlos de ser perdidos o comprometidos, ya que cualquier incidente podría afectar negativamente a nuestros clientes y resultar en sanciones por incumplimiento y daños a nuestra reputación. Al mismo tiempo, debemos asegurar que los usuarios puedan acceder a los datos según sea necesario para que puedan trabajar de manera efectiva.

No se anticipa que esta política pueda eliminar todo robo malicioso de datos. Más bien, su objetivo principal es aumentar la conciencia del usuario y evitar escenarios de pérdida accidental, por lo que describe las mejores prácticas para la prevención de brechas de datos.

2. Alcance

2.1 En el Alcance

En esta sección, enumera todas las áreas que entran en la política, como fuentes de datos y tipos. Aquí hay un ejemplo de la sección "Alcance" de una política de protección de datos:

Esta política de seguridad de datos se aplica a todos los datos de clientes, datos personales y otros datos de la empresa definidos como sensibles por la política de Netwrix Data Classification. Por lo tanto, se aplica a cada servidor, base de datos y sistema de TI que maneje dichos datos, incluyendo cualquier dispositivo utilizado regularmente para correo electrónico, acceso a la web u otras tareas relacionadas con el trabajo. Todo usuario que interactúe con los servicios de TI de la empresa también está sujeto a esta política.

2.2 Fuera de Alcance

Esta sección es donde se define lo que está excluido de su política de seguridad de datos. Por ejemplo:

La información clasificada como Pública no está sujeta a esta política. Otros datos pueden ser excluidos de la política por la gerencia de la empresa basándose en necesidades comerciales específicas, como que la protección de los datos sea demasiado costosa o compleja.

3. Política

Este es el cuerpo de la política donde se establecen todos los requisitos de la misma. Aquí hay un ejemplo:

3.1 Principios

La empresa proporcionará a todos los empleados y terceros contratados el acceso a la información que necesitan para llevar a cabo sus responsabilidades de la manera más efectiva y eficiente posible.

3.2 General

a. Cada usuario deberá ser identificado por un ID de usuario único para que las personas puedan ser responsables de sus acciones.

b. El uso de identidades compartidas solo está permitido cuando son adecuadas, como en cuentas de formación o cuentas de servicio.

c. Cada usuario deberá leer esta política de seguridad de datos y firmar una declaración que indique que comprenden las condiciones de acceso.

d. Los registros de acceso de usuario pueden utilizarse para proporcionar evidencia en investigaciones de incidentes de seguridad.

e. El acceso se otorgará basado en el principio de Privileged Access Management, lo que significa que a cada usuario, aplicación y servicio se le otorgarán los menores privilegios necesarios para completar sus tareas.

3.3 Control de Acceso de Autorización

El acceso a los recursos y servicios de TI de la empresa se realizará a través de una cuenta de usuario única y una contraseña compleja. Las cuentas son proporcionadas por el departamento de TI basándose en los registros de RRHH.

El Service Desk de TI gestiona las contraseñas. Los requisitos de longitud, complejidad y caducidad de las contraseñas se establecen en la política de contraseñas de la empresa.

El control de acceso basado en roles (RBAC) se utilizará para asegurar el acceso a todos los recursos basados en archivos en dominios de Active Directory.

3.4 Acceso a la red

a. Todos los empleados y contratistas recibirán acceso a la red de acuerdo con los procedimientos de control de acceso empresarial y el principio de mínimo privilegio.

b. Todo el personal y los contratistas con acceso remoto a las redes de la empresa deberán autenticarse únicamente mediante el mecanismo de autenticación VPN.

c. La segregación de redes se implementará según lo recomendado por la investigación de seguridad de red de la empresa. Los administradores de red agruparán los servicios de información, usuarios y sistemas de información según corresponda para lograr la segregación requerida.

d. Se implementarán controles de enrutamiento de red para respaldar la política de control de acceso.

3.5 Responsabilidades del usuario

a. Todos los usuarios deben bloquear sus pantallas siempre que se alejen de sus escritorios para reducir el riesgo de acceso no autorizado.

b. Todos los usuarios deben mantener su lugar de trabajo libre de cualquier información sensible o confidencial cuando se ausenten.

c. Todos los usuarios deben mantener sus contraseñas confidenciales y no compartirlas.

3.6 Aplicación y Acceso a la Información

a. Todo el personal de la empresa y los contratistas tendrán acceso a los datos y aplicaciones necesarios para sus responsabilidades laborales.

b. Todo el personal de la empresa y los contratistas solo podrán acceder a datos y sistemas sensibles si existe una necesidad comercial para hacerlo y tienen la aprobación de la alta gerencia.

c. Los sistemas sensibles deben estar física o lógicamente aislados para restringir el acceso solo al personal autorizado.

3.7 Acceso a Información Confidencial o Restringida

a. El acceso a datos clasificados como 'Confidencial' o 'Restringido' se limitará a personas autorizadas cuyas responsabilidades laborales lo requieran, según lo determinado por la Política de Seguridad de Datos o la alta gerencia.

b. La responsabilidad de implementar restricciones de acceso recae en el departamento de Seguridad Informática.

4. Directrices Técnicas

Las directrices técnicas en su plantilla de política de protección de datos deben especificar todos los requisitos para los controles técnicos utilizados para otorgar acceso a los datos. Aquí hay un ejemplo:

Los métodos de control de acceso a utilizarse incluirán:

  • Auditoría de intentos de inicio de sesión en cualquier dispositivo de la red empresarial
  • Permisos NTFS de Windows para archivos y carpetas
  • Modelo de acceso basado en roles
  • Derechos de acceso al servidor
  • Permisos de cortafuegos
  • Zona de red y ACLs de VLAN
  • Derechos de autenticación web
  • Derechos de acceso a la base de datos y ACLs
  • Cifrado en reposo y en tránsito
  • Segregación de red

El control de acceso se aplica a todas las redes, servidores, estaciones de trabajo, portátiles, dispositivos móviles, aplicaciones web, sitios web, almacenamiento en la nube y servicios.

5. Requisitos de informes

Esta sección describe los requisitos para informar cualquier incidente que ocurra. Todos los empleados deben estar obligados a aprender cómo reportar incidentes.

a. Los informes diarios de incidentes serán producidos por el departamento de Seguridad Informática o el Equipo de Respuesta a Incidentes.

b. El departamento de Seguridad Informática deberá producir informes semanales detallando todos los incidentes y enviarlos al gerente o director de TI.

c. Los incidentes de alta prioridad descubiertos por el departamento de Seguridad Informática deberán ser escalados inmediatamente al gerente de TI.

d. El departamento de Seguridad Informática también deberá producir un informe mensual que muestre el número de incidentes de seguridad informática y el porcentaje de estos que fueron resueltos.

6. Propiedad y Responsabilidades

Aquí, debe indicarse quién posee qué y quién es responsable de qué acciones y controles. Estos son algunos roles comunes:

  • Los propietarios de datos son empleados que tienen la responsabilidad principal de mantener la información que poseen, como un ejecutivo, gerente de departamento o líder de equipo.
  • Administrador de Seguridad de la Información es un empleado designado por la gerencia de TI que brinda soporte administrativo para implementar, supervisar y coordinar procedimientos y sistemas de seguridad relacionados con recursos de información específicos.
  • Los usuarios incluyen a todas las personas con acceso a recursos de información, como empleados, fiduciarios, contratistas, consultores, empleados temporales y voluntarios.
  • El Equipo de Respuesta a Incidentes será presidido por un ejecutivo e incluirá empleados de departamentos como Infraestructura de TI, Seguridad de Aplicaciones de TI, Legal, Servicios Financieros y Recursos Humanos.

7. Aplicación

Este párrafo debe indicar claramente las penalizaciones por violaciones del control de acceso para que no haya lugar a malentendidos. Por ejemplo:

Cualquier usuario que se encuentre en violación de esta política está sujeto a acciones disciplinarias, hasta e incluyendo la terminación del empleo. Cualquier socio o contratista externo que se encuentre en violación puede tener su conexión de red terminada.

8. Definiciones

Este párrafo define cualquier término técnico utilizado en la política para que los lectores sepan exactamente a qué se refiere. Aquí hay algunos ejemplos:

  • Lista de control de acceso (ACL): Una lista de entradas de control de acceso (ACE). Cada ACE en una ACL identifica a un fideicomisario y especifica los derechos de acceso permitidos, denegados o auditados para ese fideicomisario.
  • Base de datos: Una colección organizada de datos, generalmente almacenada y accedida electrónicamente desde un sistema informático.
  • Cifrado: El proceso de codificar un mensaje u otra información de modo que solo las partes autorizadas puedan acceder a ella.
  • Firewall: Una tecnología utilizada para aislar una red de otra. Los Firewalls pueden ser independientes o estar incluidos en otros dispositivos, como enrutadores o servidores.
  • Segregación de red: La separación de la red en unidades lógicas o funcionales llamadas zonas. La segregación ayuda a prevenir que los actores de amenazas se muevan lateralmente a través de la red.
  • Control de acceso basado en roles (RBAC): Un modelo para otorgar privilegios basado en las funciones laborales de un usuario.
  • Servidor: Un programa de computadora o dispositivo que proporciona funcionalidad para otros programas o dispositivos, llamados clientes.
  • Red privada virtual (VPN): Una conexión segura de red privada a través de una red pública.
  • VLAN (virtual LAN): Un agrupamiento lógico de dispositivos en el mismo dominio de difusión.

9. Documentos relacionados

Esta sección enumera todos los documentos relacionados con la política y proporciona enlaces a los mismos. Esta lista puede incluir enlaces a la siguiente información:

10. Historial de revisiones

Una política de protección de datos debe ser revisada regularmente y ampliada para cubrir nuevos activos y operaciones a medida que se añaden a su negocio. Cada cambio debe ser documentado, como se ilustra a continuación.

Versión


Fecha

Autor

Cambios

1.0

12 de junio de 2019

J.Smith, Gerente de TI

Versión inicial

2.0

14 de julio de 2022

J. Smith, Gerente de TI

Lista de Definiciones Actualizada

Conclusión

Estos ejemplos de políticas de protección de datos están diseñados para proporcionar un marco para crear una política única que funcione para su organización. Esfuércese por equilibrar una fuerte protección de datos con la productividad y comodidad del usuario, y asegúrese de que su política sea accesible, concisa y fácil de entender.

Netwrix Auditor

Dirija sus esfuerzos de protección de datos hacia la salvaguarda de sus activos más críticos

Obtener una demostración

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management