stringtranslate.com

Controles de seguridad

Los controles de seguridad son salvaguardas o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad a la propiedad física, información, sistemas informáticos u otros activos. [1] En el campo de la seguridad de la información , dichos controles protegen la confidencialidad, integridad y disponibilidad de la información .

Los sistemas de control pueden denominarse marcos o estándares. Los marcos pueden permitir que una organización gestione controles de seguridad en distintos tipos de activos de manera uniforme.

Tipos de controles de seguridad

Los controles de seguridad se pueden clasificar según diversos criterios. Por ejemplo, se pueden clasificar según cómo, cuándo y dónde actúan en relación con una infracción de seguridad (a veces denominados tipos de control ):

Los controles de seguridad también pueden clasificarse según la implementación del control (a veces denominadas categorías de control ), por ejemplo:

Normas de seguridad de la información y marcos de control

Numerosas normas de seguridad de la información promueven buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y el diseño de la gestión de los controles de seguridad de la información. A continuación se describen algunas de las normas más conocidas.

Organización Internacional de Normalización

La norma ISO/IEC 27001:2022 se publicó en octubre de 2022. Todas las organizaciones certificadas según la norma ISO 27001:2013 están obligadas a realizar la transición a la nueva versión de la norma en un plazo de 3 años (antes de octubre de 2025).

La versión 2022 de la Norma especifica 93 controles en 4 grupos:

Agrupa estos controles en capacidades operativas de la siguiente manera:

La versión anterior de la Norma, ISO/IEC 27001 , especificaba 114 controles en 14 grupos:

Normas de seguridad de la información del Gobierno Federal de los Estados Unidos

Las Normas Federales de Procesamiento de Información (FIPS) se aplican a todas las agencias gubernamentales de los Estados Unidos. Sin embargo, ciertos sistemas de seguridad nacional, bajo la supervisión del Comité de Sistemas de Seguridad Nacional , se gestionan al margen de estas normas.

La Norma Federal de Procesamiento de Información 200 (FIPS 200), "Requisitos Mínimos de Seguridad para la Información y los Sistemas de Información Federales", especifica los controles mínimos de seguridad para los sistemas de información federales y los procesos mediante los cuales se realiza la selección de controles de seguridad en función del riesgo. El catálogo de controles mínimos de seguridad se encuentra en la Publicación Especial SP 800-53 del NIST .

FIPS 200 identifica 17 amplias familias de control:

Instituto Nacional de Normas y Tecnología

Marco de ciberseguridad del NIST

Un marco basado en la madurez dividido en cinco áreas funcionales y aproximadamente 100 controles individuales en su "núcleo".

Norma SP-800-53 del Instituto Nacional de Normas y Tecnología

Una base de datos de casi mil controles técnicos agrupados en familias y referencias cruzadas.

Conjuntos de control comercial

COBIT5

Un conjunto de control propietario publicado por ISACA. [3]

Controles CIS (CIS 18)

Anteriormente conocidos como Controles de seguridad críticos SANS, ahora oficialmente llamados Controles de seguridad críticos CIS (Controles COS). [4] Los controles CIS se dividen en 18 controles.

Los controles se dividen además en grupos de implementación (IG), que son una guía recomendada para priorizar la implementación de los controles del CIS. [5]

Telecomunicaciones

En telecomunicaciones, los controles de seguridad se definen como servicios de seguridad como parte del modelo OSI :

Estos están técnicamente alineados. [6] [7] Este modelo es ampliamente reconocido. [8] [9]

Responsabilidad de los datos (legal, regulatoria, cumplimiento)

La intersección entre el riesgo de seguridad y las leyes que establecen los estándares de cuidado es donde se define la responsabilidad de los datos. Están surgiendo algunas bases de datos para ayudar a los administradores de riesgos a investigar las leyes que definen la responsabilidad a nivel de país, provincia/estado y local. En estos conjuntos de controles, el cumplimiento de las leyes pertinentes es el verdadero mitigador del riesgo.

Marcos de control empresarial

Existe una amplia gama de marcos y estándares que analizan los controles internos de las empresas y entre ellas, entre ellos:

Véase también

Referencias

  1. ^ "¿Qué son los controles de seguridad?". www.ibm.com . Consultado el 31 de octubre de 2020 .
  2. ^ "Controles de detectives". AWS . 12 de diciembre de 2022.
  3. ^ "Marco COBIT | Riesgo y gobernanza | Gestión de TI empresarial - ISACA". cobitonline.isaca.org . Consultado el 18 de marzo de 2020 .
  4. ^ "Los 18 controles del CIS". CIS . Consultado el 8 de noviembre de 2022 .
  5. ^ "Grupos de implementación de controles de seguridad críticos del CIS". CIS . Consultado el 8 de noviembre de 2022 .
  6. ^ X.800: Arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones del CCITT
  7. ^ ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo básico de referencia – Parte 2: Arquitectura de seguridad)
  8. ^ William Stallings Crittografia e seguridad delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006 
  9. ^ Protección de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
  10. ^ "Cuadro de notificación de violaciones de seguridad". Perkins Coie . Consultado el 18 de marzo de 2020 .
  11. ^ "Leyes de notificación de violaciones de seguridad". www.ncsl.org . Consultado el 18 de marzo de 2020 .
  12. ^ "jurisdicción de ts". Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .

Enlaces externos