Controles de seguridad

Los controles de seguridad son salvaguardas o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad a la propiedad física, información, sistemas informáticos u otros activos. ^[1] En el campo de la seguridad de la información , dichos controles protegen la confidencialidad, integridad y disponibilidad de la información .

Los sistemas de control pueden denominarse marcos o estándares. Los marcos permiten que una organización gestione los controles de seguridad en distintos tipos de activos de manera uniforme.

Tipos de controles de seguridad

Los controles de seguridad se pueden clasificar según diversos criterios. Por ejemplo, se pueden clasificar según cómo, cuándo y dónde actúan en relación con una infracción de seguridad (a veces denominados tipos de control ):

Los controles preventivos tienen como objetivo evitar que se produzca un incidente, por ejemplo, bloqueando el acceso a intrusos no autorizados;
Los controles de detección tienen como objetivo identificar, caracterizar y registrar un incidente, por ejemplo, aislar el comportamiento sospechoso de un actor malicioso en una red; ^[2]
Los controles compensatorios mitigan los daños continuos de un incidente activo, por ejemplo, apagar un sistema al detectar malware .
Después del evento, los controles correctivos tienen como objetivo restaurar el daño causado por el incidente, por ejemplo recuperando la organización a su estado normal de funcionamiento lo más eficientemente posible.

Los controles de seguridad también pueden clasificarse según la implementación del control (a veces denominadas categorías de control ), por ejemplo:

Controles físicos , por ejemplo, cercas, puertas, cerraduras y extintores de incendios;
Controles procedimentales o administrativos , por ejemplo, procesos de respuesta a incidentes , supervisión de la gestión, concientización y capacitación en seguridad;
Controles técnicos o lógicos , por ejemplo, autenticación de usuarios (inicio de sesión) y controles de acceso lógico , software antivirus , firewalls ;
Controles legales y reglamentarios o de cumplimiento , por ejemplo, leyes , políticas y cláusulas de privacidad.

Normas de seguridad de la información y marcos de control

Numerosas normas de seguridad de la información promueven buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y el diseño de la gestión de los controles de seguridad de la información. A continuación se describen algunas de las normas más conocidas.

Organización Internacional de Normalización

La norma ISO/IEC 27001:2022 se publicó en octubre de 2022. Todas las organizaciones certificadas según la norma ISO 27001:2013 están obligadas a realizar la transición a la nueva versión de la norma en un plazo de 3 años (antes de octubre de 2025).

La versión 2022 de la Norma especifica 93 controles en 4 grupos:

A.5: Controles organizacionales
A.6: Controles de personas
A.7: Controles físicos
A.8: Controles tecnológicos

Agrupa estos controles en capacidades operativas de la siguiente manera:

Gobernancia
Gestión de activos
Protección de la información
Seguridad de los recursos humanos
Seguridad física
Seguridad del sistema y de la red
Seguridad de la aplicación
Configuración segura
Gestión de identidad y acceso
Gestión de amenazas y vulnerabilidades
Continuidad
Seguridad de las relaciones con los proveedores
Legal y cumplimiento
Gestión de eventos de seguridad de la información; y
Garantía de seguridad de la información

La versión anterior de la Norma, ISO/IEC 27001 , especificaba 114 controles en 14 grupos:

A.5: Políticas de seguridad de la información
A.6: Cómo se organiza la seguridad de la información
A.7: Seguridad de los recursos humanos: controles que se aplican antes, durante o después del empleo.
A.8: Gestión de activos
A.9: Controles de acceso y gestión del acceso de usuarios
A.10: Tecnología criptográfica
A.11: Seguridad física de los sitios y equipos de la organización
A.12: Seguridad operacional
A.13: Comunicaciones seguras y transferencia de datos
A.14: Adquisición, desarrollo y soporte seguros de sistemas de información
A.15: Seguridad para proveedores y terceros
A.16: Gestión de incidentes
A.17: Continuidad del negocio/recuperación ante desastres (en la medida en que afecte la seguridad de la información)
A.18: Cumplimiento: con requisitos internos, como políticas, y con requisitos externos, como leyes.

Normas de seguridad de la información del Gobierno Federal de los Estados Unidos

Las Normas Federales de Procesamiento de Información (FIPS) se aplican a todas las agencias gubernamentales de los Estados Unidos. Sin embargo, ciertos sistemas de seguridad nacional, bajo la supervisión del Comité de Sistemas de Seguridad Nacional , se gestionan al margen de estas normas.

La Norma Federal de Procesamiento de Información 200 (FIPS 200), "Requisitos Mínimos de Seguridad para la Información y los Sistemas de Información Federales", especifica los controles mínimos de seguridad para los sistemas de información federales y los procesos mediante los cuales se realiza la selección de controles de seguridad en función del riesgo. El catálogo de controles mínimos de seguridad se encuentra en la Publicación Especial SP 800-53 del NIST .

FIPS 200 identifica 17 amplias familias de control:

Control de acceso de CA
Concientización y capacitación sobre AT
Auditoría y rendición de cuentas de la UA
Evaluación y autorización de seguridad de CA (abreviatura histórica)
Gestión de configuración de CM
Planificación de contingencias de CP
Identificación y autenticación de IA
Respuesta a incidentes de IR
Mantenimiento MA
Protección de medios MP
PE Protección Física y Ambiental
Planificación PL
Seguridad del personal de PS
Evaluación de riesgo de AR
Adquisición de sistemas y servicios de SA
Protección de sistemas y comunicaciones SC
Sistema SI e integridad de la información

Instituto Nacional de Normas y Tecnología

Marco de ciberseguridad del NIST

Un marco basado en la madurez dividido en cinco áreas funcionales y aproximadamente 100 controles individuales en su "núcleo".

Norma SP-800-53 del Instituto Nacional de Normas y Tecnología

Una base de datos de casi mil controles técnicos agrupados en familias y referencias cruzadas.

A partir de la Revisión 3 de 800-53, se identificaron los controles de gestión de programas. Estos controles son independientes de los controles del sistema, pero son necesarios para un programa de seguridad eficaz.
A partir de la Revisión 4 de 800-53, se identificaron ocho familias de controles de privacidad para alinear los controles de seguridad con las expectativas de privacidad de la ley federal.
A partir de la Revisión 5 de 800-53, los controles también abordan la privacidad de los datos según lo define el Marco de Privacidad de Datos del NIST.

Conjuntos de control comercial

COBIT5

Un conjunto de control propietario publicado por ISACA. ^[3]

Gobernanza de TI empresarial
- Evaluar, Dirigir y Monitorear (EDM) – 5 procesos
Gestión de TI empresarial
- Alinear, Planificar y Organizar (APO) – 13 procesos
- Construir, Adquirir e Implementar (BAI): 10 procesos
- Entregar, Servir y Dar Soporte (DSS): 6 procesos
- Monitorizar, evaluar y valorar (MEA): 3 procesos

Controles CIS (CIS 18)

Anteriormente conocidos como Controles de seguridad críticos SANS, ahora oficialmente llamados Controles de seguridad críticos CIS (Controles COS). ^[4] Los controles CIS se dividen en 18 controles.

Control CIS 1: Inventario y control de activos empresariales
CIS Control 2: Inventario y control de activos de software
Control CIS 3: Protección de datos
CIS Control 4: Configuración segura de activos y software empresariales
CIS Control 5: Gestión de cuentas
CIS Control 6: Gestión del control de acceso
CIS Control 7: Gestión continua de vulnerabilidades
CIS Control 8: Gestión de registros de auditoría
CIS Control 9: Protección de correo electrónico y navegadores web
CIS Control 10: Defensas contra malware
CIS Control 11: Recuperación de datos
CIS Control 12: Gestión de infraestructura de red
CIS Control 13: Monitoreo y defensa de redes
CIS Control 14: Concientización y capacitación en seguridad
CIS Control 15: Gestión de proveedores de servicios
CIS Control 16: Seguridad del software de aplicación
CIS Control 17: Gestión de la respuesta a incidentes
Control CIS 18: Pruebas de penetración

Los controles se dividen además en grupos de implementación (IG), que son una guía recomendada para priorizar la implementación de los controles del CIS. ^[5]

Telecomunicaciones

En telecomunicaciones, los controles de seguridad se definen como servicios de seguridad como parte del modelo OSI :

Recomendación UIT-T X.800.
Norma ISO 7498-2

Estos están técnicamente alineados. ^[6]^[7] Este modelo es ampliamente reconocido. ^[8]^[9]

Responsabilidad de los datos (legal, regulatoria, cumplimiento)

La intersección entre el riesgo de seguridad y las leyes que establecen los estándares de cuidado es donde se define la responsabilidad de los datos. Están surgiendo algunas bases de datos para ayudar a los administradores de riesgos a investigar las leyes que definen la responsabilidad a nivel de país, provincia/estado y local. En estos conjuntos de controles, el cumplimiento de las leyes pertinentes es el verdadero mitigador del riesgo.

Cuadro de notificación de violaciones de seguridad de Perkins Coie: un conjunto de artículos (uno por estado) que definen los requisitos de notificación de violaciones de datos entre los estados de EE. UU. ^[10]
Leyes de notificación de violaciones de seguridad de NCSL: una lista de estatutos estatales de EE. UU. que definen los requisitos de notificación de violaciones de datos. ^[11]
Jurisdicción ts: una plataforma de investigación de ciberseguridad comercial con cobertura de más de 380 leyes federales y estatales de EE. UU. que impactan la ciberseguridad antes y después de una infracción. La jurisdicción ts también se relaciona con el Marco de Ciberseguridad del NIST. ^[12]

Marcos de control empresarial

Existe una amplia gama de marcos y estándares que analizan los controles internos de las empresas y entre ellas, entre ellos:

16 de septiembre de 2016
Norma ISAE 3402
Estándar de seguridad de datos de la industria de tarjetas de pago
Ley de Portabilidad y Responsabilidad del Seguro Médico
COBIT 4/5
Los 20 mejores de la CEI
Marco de ciberseguridad del NIST

Véase también

Control de acceso
Seguridad de la aviación
Contramedida
Defensa en profundidad
Diseño ambiental
Seguridad de la información
Seguridad física
Riesgo
Seguridad
Ingeniería de seguridad
Gestión de seguridad
Servicios de seguridad
Modelo Gordon-Loeb para inversiones en ciberseguridad

Referencias

^ "¿Qué son los controles de seguridad?". www.ibm.com . Consultado el 31 de octubre de 2020 .
^ "Controles de detectives". AWS . 12 de diciembre de 2022.
^ "Marco COBIT | Riesgo y gobernanza | Gestión de TI empresarial - ISACA". cobitonline.isaca.org . Consultado el 18 de marzo de 2020 .
^ "Los 18 controles del CIS". CIS . Consultado el 8 de noviembre de 2022 .
^ "Grupos de implementación de controles de seguridad críticos del CIS". CIS . Consultado el 8 de noviembre de 2022 .
^ X.800: Arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones del CCITT
^ ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo básico de referencia – Parte 2: Arquitectura de seguridad)
^ William Stallings Crittografia e seguridad delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
^ Protección de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
^ "Cuadro de notificación de violaciones de seguridad". Perkins Coie . Consultado el 18 de marzo de 2020 .
^ "Leyes de notificación de violaciones de seguridad". www.ncsl.org . Consultado el 18 de marzo de 2020 .
^ "jurisdicción de ts". Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .

Enlaces externos

Revisión 4 de la norma NIST SP 800-53
Instrucción 8500.2 del Departamento de Defensa
Términos de la FISMApedia