Privacidad de Datos
Un vector o canal de riesgo que posibilita la sustracción o exposición no autorizada de información personal sensible, vulnerando directamente la expectativa legítima del usuario respecto a la confidencialidad de sus datos.
ENTIDAD
1 - Humano
INTENCIÓN
2 - Involuntario
TIEMPO
2 - Post-despliegue
ID del riesgo
mit602
Linea de dominio
2. Privacidad y Seguridad
2.1 > Compromiso de la privacidad por filtración o inferencia de información sensible
Estrategia de mitigacion
1. Implementación de Cifrado Robusto de Extremo a Extremo (Prioridad Alta) Establecer mecanismos de cifrado criptográfico avanzado (ej. AES-256) para toda la información personal sensible, tanto en reposo (*data at rest*) como en tránsito (*data in transit*), con el fin de garantizar la confidencialidad del dato ante una posible vulneración del canal de comunicación o almacenamiento. 2. Aplicación del Principio de Mínimo Privilegio y Autenticación Multifactor (Prioridad Alta) Desarrollar y auditar un modelo de Control de Acceso Basado en Roles (RBAC) que aplique estrictamente el Principio de Mínimo Privilegio, limitando el acceso a los datos únicamente a los usuarios y procesos que lo requieran para una función legítima, y complementando con la exigencia de Autenticación Multifactor (MFA) para el acceso a sistemas y canales que manejen información sensible. 3. Despliegue de Sistemas de Prevención de Pérdida de Datos (DLP) (Prioridad Media) Instalar y configurar soluciones de Prevención de Pérdida de Datos (DLP) para monitorear, detectar y bloquear proactivamente la transferencia o exposición no autorizada de información personal sensible a través del canal vulnerable identificado, asegurando el cumplimiento de las políticas de uso de datos.