Medidas de protección para un sistema
Los controles de seguridad son salvaguardas o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad a la propiedad física, información, sistemas informáticos u otros activos. [1] En el campo de la seguridad de la información , dichos controles protegen la confidencialidad, integridad y disponibilidad de la información .
Los sistemas de control pueden denominarse marcos o estándares. Los marcos pueden permitir que una organización gestione controles de seguridad en distintos tipos de activos de manera uniforme.
Tipos de controles de seguridad
Los controles de seguridad se pueden clasificar según diversos criterios. Por ejemplo, se pueden clasificar según cómo, cuándo y dónde actúan en relación con una infracción de seguridad (a veces denominados tipos de control ):
- Los controles preventivos tienen como objetivo evitar que se produzca un incidente, por ejemplo, bloqueando el acceso a intrusos no autorizados;
- Los controles de detección tienen como objetivo identificar, caracterizar y registrar un incidente, por ejemplo, aislar el comportamiento sospechoso de un actor malicioso en una red; [2]
- Los controles compensatorios mitigan los daños continuos de un incidente activo, por ejemplo, apagar un sistema al detectar malware .
- Después del evento, los controles correctivos tienen como objetivo restaurar el daño causado por el incidente, por ejemplo recuperando la organización a su estado normal de funcionamiento lo más eficientemente posible.
Los controles de seguridad también pueden clasificarse según la implementación del control (a veces denominadas categorías de control ), por ejemplo:
- Controles físicos , por ejemplo, cercas, puertas, cerraduras y extintores de incendios;
- Controles procedimentales o administrativos , por ejemplo, procesos de respuesta a incidentes , supervisión de la gestión, concientización y capacitación en seguridad;
- Controles técnicos o lógicos , por ejemplo, autenticación de usuarios (inicio de sesión) y controles de acceso lógico , software antivirus , firewalls ;
- Controles legales y reglamentarios o de cumplimiento , por ejemplo, leyes , políticas y cláusulas de privacidad.
Normas de seguridad de la información y marcos de control
Numerosas normas de seguridad de la información promueven buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y el diseño de la gestión de los controles de seguridad de la información. A continuación se describen algunas de las normas más conocidas.
Organización Internacional de Normalización
La norma ISO/IEC 27001:2022 se publicó en octubre de 2022. Todas las organizaciones certificadas según la norma ISO 27001:2013 están obligadas a realizar la transición a la nueva versión de la norma en un plazo de 3 años (antes de octubre de 2025).
La versión 2022 de la Norma especifica 93 controles en 4 grupos:
- A.5: Controles organizacionales
- A.6: Controles de personas
- A.7: Controles físicos
- A.8: Controles tecnológicos
Agrupa estos controles en capacidades operativas de la siguiente manera:
- Gobernancia
- Gestión de activos
- Protección de la información
- Seguridad de los recursos humanos
- Seguridad física
- Seguridad del sistema y de la red
- Seguridad de la aplicación
- Configuración segura
- Gestión de identidad y acceso
- Gestión de amenazas y vulnerabilidades
- Continuidad
- Seguridad de las relaciones con los proveedores
- Legal y cumplimiento
- Gestión de eventos de seguridad de la información; y
- Garantía de seguridad de la información
La versión anterior de la Norma, ISO/IEC 27001 , especificaba 114 controles en 14 grupos:
- A.5: Políticas de seguridad de la información
- A.6: Cómo se organiza la seguridad de la información
- A.7: Seguridad de los recursos humanos: controles que se aplican antes, durante o después del empleo.
- A.8: Gestión de activos
- A.9: Controles de acceso y gestión del acceso de usuarios
- A.10: Tecnología criptográfica
- A.11: Seguridad física de los sitios y equipos de la organización
- A.12: Seguridad operacional
- A.13: Comunicaciones seguras y transferencia de datos
- A.14: Adquisición, desarrollo y soporte seguros de sistemas de información
- A.15: Seguridad para proveedores y terceros
- A.16: Gestión de incidentes
- A.17: Continuidad del negocio/recuperación ante desastres (en la medida en que afecte la seguridad de la información)
- A.18: Cumplimiento: con requisitos internos, como políticas, y con requisitos externos, como leyes.
Normas de seguridad de la información del Gobierno Federal de los Estados Unidos
Las Normas Federales de Procesamiento de Información (FIPS) se aplican a todas las agencias gubernamentales de los Estados Unidos. Sin embargo, ciertos sistemas de seguridad nacional, bajo la supervisión del Comité de Sistemas de Seguridad Nacional , se gestionan al margen de estas normas.
La Norma Federal de Procesamiento de Información 200 (FIPS 200), "Requisitos Mínimos de Seguridad para la Información y los Sistemas de Información Federales", especifica los controles mínimos de seguridad para los sistemas de información federales y los procesos mediante los cuales se realiza la selección de controles de seguridad en función del riesgo. El catálogo de controles mínimos de seguridad se encuentra en la Publicación Especial SP 800-53 del NIST .
FIPS 200 identifica 17 amplias familias de control:
- Control de acceso de CA
- Concientización y capacitación sobre AT
- Auditoría y rendición de cuentas de la UA
- Evaluación y autorización de seguridad de CA (abreviatura histórica)
- Gestión de configuración de CM
- Planificación de contingencias de CP
- Identificación y autenticación de IA
- Respuesta a incidentes de IR
- Mantenimiento MA
- Protección de medios MP
- PE Protección Física y Ambiental
- Planificación PL
- Seguridad del personal de PS
- Evaluación de riesgo de AR
- Adquisición de sistemas y servicios de SA
- Protección de sistemas y comunicaciones SC
- Sistema SI e integridad de la información
Instituto Nacional de Normas y Tecnología
Marco de ciberseguridad del NIST
Un marco basado en la madurez dividido en cinco áreas funcionales y aproximadamente 100 controles individuales en su "núcleo".
Norma SP-800-53 del Instituto Nacional de Normas y Tecnología
Una base de datos de casi mil controles técnicos agrupados en familias y referencias cruzadas.
- A partir de la Revisión 3 de 800-53, se identificaron los controles de gestión de programas. Estos controles son independientes de los controles del sistema, pero son necesarios para un programa de seguridad eficaz.
- A partir de la Revisión 4 de 800-53, se identificaron ocho familias de controles de privacidad para alinear los controles de seguridad con las expectativas de privacidad de la ley federal.
- A partir de la Revisión 5 de 800-53, los controles también abordan la privacidad de los datos según lo define el Marco de Privacidad de Datos del NIST.
Conjuntos de control comercial
COBIT5
Un conjunto de control propietario publicado por ISACA. [3]
- Gobernanza de TI empresarial
- Evaluar, Dirigir y Monitorear (EDM) – 5 procesos
- Gestión de TI empresarial
- Alinear, Planificar y Organizar (APO) – 13 procesos
- Construir, Adquirir e Implementar (BAI): 10 procesos
- Entregar, Servir y Dar Soporte (DSS): 6 procesos
- Monitorizar, evaluar y valorar (MEA): 3 procesos
Controles CIS (CIS 18)
Anteriormente conocidos como Controles de seguridad críticos SANS, ahora oficialmente llamados Controles de seguridad críticos CIS (Controles COS). [4] Los controles CIS se dividen en 18 controles.
- Control CIS 1: Inventario y control de activos empresariales
- CIS Control 2: Inventario y control de activos de software
- Control CIS 3: Protección de datos
- CIS Control 4: Configuración segura de activos y software empresariales
- CIS Control 5: Gestión de cuentas
- CIS Control 6: Gestión del control de acceso
- CIS Control 7: Gestión continua de vulnerabilidades
- CIS Control 8: Gestión de registros de auditoría
- CIS Control 9: Protección de correo electrónico y navegadores web
- CIS Control 10: Defensas contra malware
- CIS Control 11: Recuperación de datos
- CIS Control 12: Gestión de infraestructura de red
- CIS Control 13: Monitoreo y defensa de redes
- CIS Control 14: Concientización y capacitación en seguridad
- CIS Control 15: Gestión de proveedores de servicios
- CIS Control 16: Seguridad del software de aplicación
- CIS Control 17: Gestión de la respuesta a incidentes
- Control CIS 18: Pruebas de penetración
Los controles se dividen además en grupos de implementación (IG), que son una guía recomendada para priorizar la implementación de los controles del CIS. [5]
Telecomunicaciones
En telecomunicaciones, los controles de seguridad se definen como servicios de seguridad como parte del modelo OSI :
- Recomendación UIT-T X.800.
- Norma ISO 7498-2
Estos están técnicamente alineados. [6] [7] Este modelo es ampliamente reconocido. [8] [9]
Responsabilidad de los datos (legal, regulatoria, cumplimiento)
La intersección entre el riesgo de seguridad y las leyes que establecen los estándares de cuidado es donde se define la responsabilidad de los datos. Están surgiendo algunas bases de datos para ayudar a los administradores de riesgos a investigar las leyes que definen la responsabilidad a nivel de país, provincia/estado y local. En estos conjuntos de controles, el cumplimiento de las leyes pertinentes es el verdadero mitigador del riesgo.
- Cuadro de notificación de violaciones de seguridad de Perkins Coie: un conjunto de artículos (uno por estado) que definen los requisitos de notificación de violaciones de datos entre los estados de EE. UU. [10]
- Leyes de notificación de violaciones de seguridad de NCSL: una lista de estatutos estatales de EE. UU. que definen los requisitos de notificación de violaciones de datos. [11]
- Jurisdicción ts: una plataforma de investigación de ciberseguridad comercial con cobertura de más de 380 leyes federales y estatales de EE. UU. que impactan la ciberseguridad antes y después de una infracción. La jurisdicción ts también se relaciona con el Marco de Ciberseguridad del NIST. [12]
Marcos de control empresarial
Existe una amplia gama de marcos y estándares que analizan los controles internos de las empresas y entre ellas, entre ellos:
Véase también
Referencias
- ^ "¿Qué son los controles de seguridad?". www.ibm.com . Consultado el 31 de octubre de 2020 .
- ^ "Controles de detectives". AWS . 12 de diciembre de 2022.
- ^ "Marco COBIT | Riesgo y gobernanza | Gestión de TI empresarial - ISACA". cobitonline.isaca.org . Consultado el 18 de marzo de 2020 .
- ^ "Los 18 controles del CIS". CIS . Consultado el 8 de noviembre de 2022 .
- ^ "Grupos de implementación de controles de seguridad críticos del CIS". CIS . Consultado el 8 de noviembre de 2022 .
- ^ X.800: Arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones del CCITT
- ^ ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo básico de referencia – Parte 2: Arquitectura de seguridad)
- ^
William Stallings Crittografia e seguridad delle reti Seconda edizione ISBN 88-386-6377-7
Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
- ^ Protección de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
- ^ "Cuadro de notificación de violaciones de seguridad". Perkins Coie . Consultado el 18 de marzo de 2020 .
- ^ "Leyes de notificación de violaciones de seguridad". www.ncsl.org . Consultado el 18 de marzo de 2020 .
- ^ "jurisdicción de ts". Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .
Enlaces externos
- Revisión 4 de la norma NIST SP 800-53
- Instrucción 8500.2 del Departamento de Defensa
- Términos de la FISMApedia