¿Qué es un control compensatorio para el cifrado de datos en reposo?

Un control compensatorio es una medida de seguridad alternativa que se utiliza cuando el control principal, como el cifrado de datos en reposo, no es viable. Debe proporcionar un nivel de protección comparable abordando los mismos riesgos, como la confidencialidad de los datos si se pierde o se roba un dispositivo de almacenamiento. Algunos ejemplos son la prevención de fuga de datos (DLP), los controles de acceso estrictos y el enmascaramiento de datos.

¿Aceptan los auditores controles compensatorios en marcos como ISO/IEC 27001:2022?

Sí, los auditores aceptan controles compensatorios eficaces y bien documentados. Esperarán ver una evaluación formal de riesgos que justifique la necesidad del control, evidencias de que se aplica de forma consistente (por ejemplo, registros e informes) y pruebas de que mitiga eficazmente el riesgo original. La clave es demostrar un enfoque maduro basado en riesgos, no una excusa para una deficiencia de control.

¿Cómo se relacionan los controles compensatorios con el cumplimiento del RGPD de la UE?

El artículo 32 del RGPD de la UE exige medidas técnicas y organizativas apropiadas para proteger los datos personales. Aunque el cifrado es una medida recomendada, no es estrictamente obligatorio en todos los casos. Si el cifrado de datos en reposo no es posible, un conjunto robusto de controles compensatorios, como la seudonimización, el enmascaramiento de datos y la supervisión estricta de accesos, puede ayudar a demostrar la diligencia debida y cumplir el requisito de proporcionar un nivel de seguridad adecuado.

¿Cuáles son los errores más comunes al implantar controles compensatorios?

Los errores habituales incluyen documentación deficiente, no obtener la aceptación formal del riesgo por parte de la dirección de negocio, implantar controles que no cubren todos los vectores de amenaza (por ejemplo, olvidar los servicios de sincronización en la nube) y no probar periódicamente su eficacia. Un control que solo existe sobre el papel no proporciona protección real y no satisfará a un auditor.

¿Puede la prevención de fuga de datos (DLP) sustituir realmente al cifrado de datos en reposo?

La DLP no sustituye al cifrado, pero puede ser un control compensatorio muy potente. El cifrado hace que los datos sean ilegibles si se roban. La DLP busca impedir que los datos se roben en primer lugar, mediante la supervisión y el bloqueo de transferencias de datos no autorizadas. Combinada con otras capas, como controles de acceso estrictos y seguridad física, crea una defensa sólida que puede proporcionar un nivel de protección comparable al cifrado para casos de uso específicos y documentados.

NIS2 DORA GDPR NIST COBIT 2019

¿El cifrado de datos en reposo no es viable? Guía para CISO sobre controles compensatorios sólidos

Clarysec Editors

November 25, 2025

18 min read

#Gestión de riesgos #Auditoría #SGSI #Protección de datos #Controles compensatorios

Diagrama de flujo que ilustra el proceso en tres fases del CISO para implantar controles compensatorios al cifrado de datos en reposo, incluida la evaluación de riesgos, las defensas en capas (DLP, enmascaramiento de datos y control de acceso) y la documentación de auditoría en los marcos ISO 27001, RGPD de la UE y NIST.

El hallazgo del auditor aterrizó en la mesa de la CISO Sarah Chen con un golpe familiar. Una base de datos heredada crítica y generadora de ingresos, el corazón operativo de la línea de fabricación de la compañía, no admitía cifrado moderno de datos en reposo. Su arquitectura subyacente tenía una década de antigüedad y el proveedor había dejado de proporcionar parches de seguridad hacía tiempo. El auditor, con razón, lo marcó como un riesgo alto. La recomendación: “Cifrar todos los datos sensibles en reposo mediante algoritmos estándar del sector”.

Para Sarah, esto no era solo un problema técnico; era una crisis de continuidad de negocio. Actualizar el sistema supondría meses de indisponibilidad y millones en costes, algo inaceptable para el consejo de administración. Pero dejar sin cifrar un repositorio de propiedad intelectual sensible era un riesgo inaceptable, una desviación clara de su Sistema de Gestión de la Seguridad de la Información (SGSI).

Este escenario refleja la realidad de la ciberseguridad: las soluciones perfectas son poco frecuentes y el cumplimiento no puede ponerse en pausa. Ocurre cuando archivos críticos de copia de seguridad se almacenan en sistemas heredados, cuando un proveedor SaaS clave alega “limitaciones técnicas” o cuando aplicaciones de alto rendimiento dejan de funcionar por la sobrecarga del cifrado. La respuesta de manual, “basta con cifrarlo”, suele chocar con una realidad compleja.

Entonces, ¿qué ocurre cuando el control principal prescrito queda descartado? No se acepta el riesgo sin más. Se construye una defensa más inteligente y resiliente mediante controles compensatorios. No se trata de poner excusas; se trata de demostrar una gestión de la seguridad madura, basada en riesgos y capaz de resistir el escrutinio más exigente en auditoría.

Por qué el cifrado de datos en reposo es un requisito crítico

El cifrado de datos en reposo es un control fundamental en todos los marcos de seguridad modernos, incluidos ISO/IEC 27001:2022, el artículo 32 del RGPD de la UE, NIS2, DORA y NIST SP 800-53 SC-28. Su finalidad es sencilla, pero crítica: hacer que los datos almacenados sean ilegibles si fallan las defensas físicas o lógicas. Una cinta de copia de seguridad perdida o un servidor robado que contenga datos sin cifrar no es solo un error técnico; con frecuencia es una brecha de seguridad de los datos legalmente notificable.

Los riesgos son claros y significativos:

Robo o pérdida de soportes portátiles, como unidades USB y cintas de copia de seguridad.
Exposición de datos desde dispositivos no gestionados, olvidados o heredados.
Imposibilidad de aplicar cifrado nativo de disco o de base de datos en contextos específicos de SaaS, nube, OT o sistemas heredados.
Riesgos de recuperación de datos si las claves de cifrado se pierden o se gestionan incorrectamente.

Estos requisitos no son solo técnicos; son mandatos legales. El artículo 32 del RGPD de la UE y los artículos 5 y 10 de DORA reconocen expresamente el cifrado como una “medida técnica apropiada”. NIS2 lo sitúa como una base para garantizar la integridad de los sistemas y de la información. Cuando esta defensa principal no es viable, la carga de la prueba se desplaza a la organización, que debe demostrar que sus medidas alternativas son igual de eficaces.

Pasar de una única casilla de verificación a una defensa en capas

La reacción instintiva ante un hallazgo de auditoría como el de Sarah suele ser el pánico. Pero un SGSI bien estructurado anticipa estas situaciones. El primer movimiento de Sarah no fue llamar al equipo de infraestructura; fue abrir la Política de Controles Criptográficos de su organización, un documento construido con las plantillas empresariales de Clarysec. Navegó directamente hasta una cláusula que proporcionaba la base de su estrategia.

Según la Política de Controles Criptográficos, la sección 7.2.3 describe explícitamente el proceso para definir:

“Controles compensatorios específicos que deben aplicarse”

Esta cláusula es una gran aliada para cualquier CISO. Reconoce que un enfoque único para la seguridad es defectuoso y proporciona una vía aprobada para abordar el riesgo. La política no opera de forma aislada. Tal como se indica en la cláusula 10.5, está directamente vinculada a la Política de Clasificación y Etiquetado de Datos, que “define los niveles de clasificación (por ejemplo, Confidencial, datos regulados) que activan requisitos específicos de cifrado”.

Esta vinculación es crítica. Los datos de la base de datos heredada se habían clasificado como “Confidencial”, motivo por el cual se señaló la falta de cifrado. A partir de ahí, la misión de Sarah estaba clara: construir una fortaleza de controles compensatorios lo suficientemente robusta como para mitigar el riesgo de exposición hasta un nivel aceptable.

Diseñar una estrategia defendible con Zenith Blueprint

El cifrado es una piedra angular de la seguridad moderna, pero como explica Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec en el paso 21, el control 8.24 Uso de la criptografía no consiste simplemente en “activar el cifrado”. Consiste en “integrar la criptografía en el diseño, la política y la gestión del ciclo de vida de la organización”.

Cuando falla una parte del diseño (la base de datos heredada), deben compensarlo los aspectos de política y ciclo de vida. El equipo de Sarah utilizó este marco para diseñar una defensa multicapa basada en impedir que los datos abandonaran su contenedor seguro, aunque no estuviera cifrado.

Control compensatorio 1: prevención de fuga de datos (DLP)

Si no puedes cifrar los datos donde residen, debes asegurarte de que no puedan salir. El equipo de Sarah desplegó una solución de prevención de fuga de datos (DLP) para actuar como guardián digital. No era una simple regla de red; era un control sofisticado, sensible al contenido.

Con Zenith Controls: la guía de cumplimiento cruzado de Clarysec, configuraron el sistema DLP conforme a las orientaciones del control 8.12 Prevención de fuga de datos de ISO/IEC 27001:2022. Las reglas se basaron directamente en 5.12 Classification of information. Cualquier dato que coincidiera con los esquemas de la información “Confidencial” de la base de datos heredada se bloqueaba automáticamente para impedir su transferencia por correo electrónico, cargas web o incluso copia y pegado en otras aplicaciones.

Como explica Zenith Controls:

“La prevención de fuga de datos (DLP) depende fundamentalmente de una clasificación de datos precisa. El control 5.12 garantiza que los datos se etiqueten conforme a su sensibilidad… La DLP es una forma especializada de monitorización continua, centrada en el movimiento de datos… El control 8.12 puede aplicar políticas de cifrado para los datos que salen de la organización, garantizando que, incluso si los datos son exfiltrados, permanezcan ilegibles para partes no autorizadas.”

Este control se reconoce en múltiples marcos y se mapea con el art. 32 del RGPD de la UE, el art. 21 de NIS2, el art. 10 de DORA y NIST SP 800-53 SI-4. Al implantarlo, el equipo de Sarah creó una potente burbuja de protección, asegurando que los datos sin cifrar permanecieran aislados.

Control compensatorio 2: enmascaramiento de datos para uso no productivo

Uno de los mayores riesgos para los datos heredados es su uso en otros entornos. El equipo de desarrollo necesitaba con frecuencia datos del sistema de fabricación para probar nuevas funcionalidades de la aplicación. Entregarles datos confidenciales sin cifrar quedaba totalmente descartado.

Aquí, Sarah recurrió al paso 20 de Zenith Blueprint, que cubre 8.11 Data masking. La guía señala que los auditores preguntarán de forma directa: “¿Utilizan alguna vez datos personales reales en sistemas de prueba? En caso afirmativo, ¿cómo se protegen?”.

Siguiendo esta orientación, el equipo de Sarah implantó un procedimiento estricto de enmascaramiento de datos. Cualquier extracción de datos solicitada por el equipo de desarrollo debía pasar por un proceso automatizado que seudonimizaba o anonimizaba los campos sensibles. Los nombres de clientes, fórmulas propietarias y métricas de producción se reemplazaban por datos realistas pero ficticios. Este único control eliminó una superficie de riesgo enorme, garantizando que los datos sensibles nunca abandonaran su entorno de producción altamente controlado en su forma original.

Control compensatorio 3: controles físicos y lógicos reforzados

Una vez abordadas la fuga de datos y el uso no productivo, la última capa de defensa se centró en el propio sistema. Basándose en los principios de 7.10 Storage media de Zenith Controls, el equipo de Sarah trató el servidor físico como un activo de alta seguridad. Aunque el control 7.10 suele asociarse con soportes extraíbles, sus principios de gestión del ciclo de vida y seguridad física son perfectamente aplicables.

Como señala Zenith Controls sobre este tema:

“ISO/IEC 27002:2022 proporciona orientación completa en la cláusula 7.10 para gestionar de forma segura los soportes de almacenamiento durante todo su ciclo de vida. La norma aconseja a las organizaciones mantener un registro de todos los soportes extraíbles…”

Aplicando esta lógica, el servidor se trasladó a un rack dedicado y cerrado con llave en el centro de datos, accesible solo para dos ingenieros sénior nominales. El acceso físico requería registro de entrada y estaba monitorizado mediante CCTV. En el plano de red, el servidor se ubicó en una VLAN segmentada “heredada”. Las reglas de cortafuegos se configuraron para denegar todo el tráfico por defecto, con una única regla explícita que permitía la comunicación solo desde el servidor de aplicaciones designado y por un puerto específico. Este aislamiento extremo redujo drásticamente la superficie de ataque y convirtió los datos sin cifrar en invisibles e inaccesibles.

Afrontar la auditoría: presentar una estrategia defendible desde varias perspectivas

Cuando el auditor regresó para el seguimiento, Sarah no presentó excusas. Presentó un Plan de Tratamiento de Riesgos completo, con documentación, registros y demostraciones en vivo de los controles compensatorios de su equipo. Una auditoría no es un evento único; es una conversación observada desde distintas perspectivas, y un CISO debe estar preparado para cada una.

La perspectiva del auditor de ISO/IEC 27001: El auditor quería comprobar la eficacia operativa. El equipo de Sarah demostró cómo el sistema DLP bloqueaba un correo electrónico no autorizado, mostró la ejecución del script de enmascaramiento de datos y proporcionó registros de acceso físico cruzados con tickets de trabajo.

La perspectiva del RGPD de la UE y la privacidad: El auditor preguntó cómo se aplicaba la minimización de datos. Sarah mostró los scripts automatizados de borrado seguro de datos en caché y el proceso de seudonimización para cualquier dato que saliera del sistema de producción, alineado con el artículo 25 del RGPD de la UE (protección de datos desde el diseño y por defecto). La Política de Controles Criptográficos para pymes asigna explícitamente al DPO la responsabilidad de “garantizar que los controles de cifrado se alineen con las obligaciones de protección de datos establecidas en el artículo 32 del RGPD de la UE”.

La perspectiva NIS2/DORA: Esta perspectiva se centra en la resiliencia operativa. Sarah presentó resultados de pruebas de copia de seguridad y restauración para el sistema aislado y anexos de seguridad del proveedor para el software heredado, demostrando una gestión de riesgos proactiva conforme a lo exigido por el artículo 21 de NIS2 y el artículo 9 de DORA.

La perspectiva NIST/COBIT: Un auditor que utiliza estos marcos busca gobierno y métricas. Sarah presentó el Registro de Riesgos actualizado, que mostraba la aceptación formal del riesgo residual (COBIT APO13). Mapeó la DLP con NIST SP 800-53 SI-4 (Supervisión del sistema), la segmentación de red con SC-7 (Protección de perímetro) y los controles de acceso con AC-3 y AC-4, demostrando que, aunque SC-28 (Protección de la información en reposo) no se cumplía directamente, existía un conjunto equivalente de controles.

Evidencias clave para auditores sobre controles compensatorios

Para comunicar su estrategia de forma eficaz, el equipo de Sarah preparó evidencias adaptadas a lo que buscan los auditores.

Perspectiva de auditoría	Evidencia requerida	Prueba de auditoría habitual
ISO/IEC 27001	Entradas del Registro de Riesgos, registros de excepciones a las políticas, reglas DLP, inventarios de soportes de almacenamiento	Revisar registros de riesgos y excepciones, solicitar registros de acciones DLP; trazar el ciclo de vida de los soportes.
RGPD de la UE	Procedimientos de enmascaramiento de datos, preparación para la notificación de brechas, registros de eliminación de datos	Revisar conjuntos de datos de muestra (enmascarados frente a no enmascarados), probar desencadenantes DLP, simular un escenario de brecha de seguridad.
NIS2/DORA	Resultados de pruebas de copia de seguridad y restauración, evaluaciones de seguridad de proveedores, simulacros de respuesta a incidentes	Simular un intento de exportación de datos; revisar procesos de manejo de copias de seguridad; probar controles DLP sobre datos críticos.
NIST/COBIT	Registros de supervisión técnica, documentación de integración de políticas, entrevistas al personal	Simular exfiltración de datos, comparar la política con el procedimiento, entrevistar a custodios de datos clave y propietarios de sistemas.

Al anticipar estas distintas perspectivas, Sarah convirtió una posible no conformidad en una demostración de madurez de la seguridad.

Resumen práctico para tu próxima auditoría

Para que la estrategia fuera clara y defendible, el equipo de Sarah creó una tabla resumen en su Plan de Tratamiento de Riesgos. Es un enfoque que cualquier organización puede adoptar.

Riesgo	Control principal (no viable)	Estrategia de controles compensatorios	Recurso de Clarysec	Evidencia para el auditor
Divulgación no autorizada de datos en reposo	Cifrado completo de disco (AES-256)	1. Prevención de fuga de datos (DLP): Supervisar y bloquear todos los intentos no autorizados de exfiltración de datos según contenido y contexto.	Zenith Controls (8.12)	Configuración de la política DLP, registros de alertas, procedimientos de respuesta a incidentes.
		2. Control de acceso lógico estricto: Aislar el servidor en una red segmentada con reglas de cortafuegos de “denegar todo” y acceso a cuentas de servicio altamente restringido.	Zenith Controls (8.3)	Diagramas de red, conjuntos de reglas de cortafuegos, revisiones de acceso de usuarios, política de credenciales de cuentas de servicio.
		3. Seguridad física reforzada: Alojar el servidor en un rack dedicado y cerrado con llave, con acceso físico registrado y monitorizado.	Zenith Controls (7.10)	Registros de acceso al centro de datos, registros de imágenes de CCTV, hojas de retirada y devolución de llaves del rack.
Uso de datos sensibles en entornos no productivos	Cifrado de copias de datos de prueba	Enmascaramiento de datos: Implantar un procedimiento formal para seudonimizar o anonimizar todas las extracciones de datos antes de su uso en pruebas o desarrollo.	Zenith Blueprint (Paso 20)	Documento formal del Procedimiento de Enmascaramiento de Datos, demostración de scripts de enmascaramiento, conjunto de datos de muestra enmascarado.

Cumplimiento cruzado de un vistazo

Una estrategia sólida de controles compensatorios es defendible en todos los marcos principales. Zenith Controls de Clarysec proporciona el mapeo cruzado necesario para garantizar que tus defensas sean comprendidas y aceptadas universalmente.

Marco	Cláusula/referencia clave	Cómo se reconocen los controles compensatorios
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	El enfoque basado en riesgos permite controles alternativos como DLP, gestión de soportes de almacenamiento y enmascaramiento de datos cuando están justificados.
RGPD de la UE	Art. 5(1)(f), 25, 32	Exige medidas técnicas “apropiadas”; la seudonimización, los controles de acceso y la DLP pueden cumplir esta función si el cifrado no es viable.
NIS2	Art. 21, 23	Exige un enfoque basado en riesgos; los controles en capas como DLP, protección de copias de seguridad y comprobaciones de proveedores son tratamientos de riesgo válidos.
DORA	Art. 5, 9, 10, 28	Pone el foco en la resiliencia operativa; la DLP, el control de acceso y el registro robusto son claves para proteger los datos financieros, con o sin cifrado.
NIST SP 800-53	SC-28, MP-2 a MP-7, AC-3/4, SI-4	Permite controles compensatorios; la DLP (SI-4), las restricciones de acceso (AC-3) y el seguimiento de soportes (serie MP) pueden abordar los riesgos de los datos sin cifrar.
COBIT	DSS05, APO13, MEA03	Se centra en el gobierno y la medición; la aceptación del riesgo documentada (APO13) y la supervisión de controles compensatorios (MEA03) demuestran la diligencia debida.

Conclusión: convierte tu eslabón más débil en una fortaleza

La historia de la base de datos heredada que no podía cifrarse no es una historia de fracaso. Es una historia de gestión de riesgos madura e inteligente. Al negarse a aceptar una respuesta simple de “no se puede hacer”, el equipo de Sarah transformó una vulnerabilidad significativa en una muestra de sus capacidades de defensa en profundidad. Demostraron que la seguridad no consiste en marcar una única casilla denominada “cifrado”. Consiste en comprender el riesgo y construir una defensa razonada, en capas y auditable para mitigarlo.

Tu organización tendrá inevitablemente su propia versión de esta base de datos heredada. Cuando la encuentres, no la veas como un obstáculo. Considérala una oportunidad para construir un programa de seguridad más resiliente y defendible.

¿Listo para construir tu propio marco de control sólido y preparado para auditorías? Empieza por la base adecuada.

Revisa tu ecosistema de políticas con los completos kits de herramientas de políticas de Clarysec.
Explora Zenith Blueprint: hoja de ruta de 30 pasos para auditores para guiar tu implantación.
Aprovecha Zenith Controls: la guía de cumplimiento cruzado para garantizar que tus defensas resistan el escrutinio desde cualquier ángulo.

Ponte en contacto con Clarysec para un taller a medida o una evaluación completa de cumplimiento cruzado. Porque, en el panorama regulatorio actual, la preparación es el único control que importa.

Referencias:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council