El indicador de confidencialidad y privacidad se relaciona siempre con acciones que controlan quién accede a la información y cómo se protege. Normalmente se mide por la existencia y grado de implementación de políticas y controles específicos sobre los datos.
Acciones típicas del indicador
- Definir y aplicar políticas formales de privacidad y confidencialidad (quién puede ver qué datos, en qué condiciones y con qué propósito).
- Implementar controles de acceso (usuarios, roles, contraseñas, MFA) y cifrado de la información, tanto en tránsito como en reposo.
- Informar claramente a los titulares de los datos sobre su uso y proteger los datos personales conforme a la normativa aplicable.
En exámenes o cuestionarios
Cuando la pregunta aparece como opción múltiple, suele ser correcta la opción que hable de “políticas de privacidad y confidencialidad”, “protección de datos personales” o “controles de acceso y cifrado”, y no acciones generales de TI que no estén directamente ligadas a limitar el acceso o uso indebido de la información.
