A.8.25 / A.8.33 ISO 27002:2022 + NIST SP 800-218 + Ley 1581 Art. 4(f)
¿El ambiente de Staging opera únicamente con datos anonimizados/pseudonimizados y existe una rutina técnica automatizada de Data Masking para poblar dicho ambiente?
Acceder al ambiente de Staging mediante el cliente SQL provisto por el equipo técnico. Ejecutar queries de muestra sobre tablas de terceros (conductores, clientes, nóminas, facturas) y verificar si los datos son reales o enmascarados. Revisar metadatos del schema y políticas de Data Masking declaradas.
Resultado de queries en Staging mostrando si los datos son reales o enmascarados. Captura de los metadatos del entorno de Staging. Si se encuentran datos PII reales (cédulas, nombres completos, teléfonos, salarios), constituye incumplimiento del Art. 4(f) Ley 1581 y hallazgo crítico.
El contexto de OmniControl documenta como hallazgo técnico explícito: 'volcado directo de bases de datos de producción completas hacia el entorno de Staging sin aplicar técnicas de enmascaramiento'. Esto vulnera Art. 4(f) Ley 1581 y es debilidad D2 del DOFA.
- 01¿Las cédulas y números de identificación están enmascarados?
- 02¿Los nombres completos están en formato real o anonimizado?
- 03¿Los teléfonos y correos electrónicos son reales o ficticios?
- 04¿El metadata del schema declara una política de Data Masking activa?
- 05¿Existe evidencia de un job programado de anonimización?
- 06¿La frecuencia de sincronización desde producción está documentada?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.