Medidas de protección para un sistema.
Los controles de seguridad son salvaguardias o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad para la propiedad física, la información, los sistemas informáticos u otros activos. [1] En el ámbito de la seguridad de la información , dichos controles protegen la confidencialidad, integridad y disponibilidad de la información .
Los sistemas de controles pueden denominarse marcos o estándares. Los marcos pueden permitir que una organización administre controles de seguridad en diferentes tipos de activos de manera consistente.
Tipos de controles de seguridad
Los controles de seguridad se pueden clasificar según varios criterios. Por ejemplo, los controles se pueden clasificar según cómo/cuándo/dónde actúan en relación con una violación de seguridad (a veces denominados tipos de control ):
- Los controles preventivos tienen como objetivo evitar que ocurra un incidente, por ejemplo, bloqueando el acceso a intrusos no autorizados;
- Los controles de detección tienen como objetivo identificar, caracterizar y registrar un incidente, por ejemplo, aislar el comportamiento sospechoso de un actor malicioso en una red; [2]
- Los controles de compensación mitigan los daños continuos de un incidente activo, por ejemplo, apagar un sistema al detectar malware .
- Después del evento, los controles correctivos tienen como objetivo restaurar el daño causado por el incidente, por ejemplo, recuperando la organización al estado de trabajo normal de la manera más eficiente posible.
Los controles de seguridad también se pueden clasificar según la implementación del control (a veces denominadas categorías de control ), por ejemplo:
- Controles físicos : por ejemplo, vallas, puertas, cerraduras y extintores de incendios;
- Controles administrativos o de procedimiento : por ejemplo, procesos de respuesta a incidentes , supervisión de la gestión, concienciación y formación en materia de seguridad;
- Controles técnicos o lógicos : por ejemplo, autenticación de usuario (inicio de sesión) y controles de acceso lógico , software antivirus , cortafuegos ;
- Controles legales y regulatorios o de cumplimiento , por ejemplo, leyes , políticas y cláusulas de privacidad.
Estándares de seguridad de la información y marcos de control.
Numerosos estándares de seguridad de la información promueven buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y el diseño para la gestión de los controles de seguridad de la información. A continuación se describen algunos de los estándares más conocidos.
Organización de Estándares Internacionales
ISO/IEC 27001:2022 se publicó en octubre de 2022. Todas las organizaciones certificadas según ISO 27001:2013 están obligadas a realizar la transición a la nueva versión de la norma en un plazo de 3 años (antes de octubre de 2025).
La versión 2022 de la Norma especifica 93 controles en 4 grupos:
- A.5: Controles organizacionales
- A.6: Controles de personas
- A.7: Controles físicos
- A.8: Controles tecnológicos
Agrupa estos controles en capacidades operativas de la siguiente manera:
- Gobernancia
- Gestión de activos
- Protección de la información
- Seguridad de los recursos humanos
- Seguridad física
- Seguridad del sistema y de la red.
- Seguridad de la aplicación
- Configuración segura
- Gestión de identidad y acceso.
- Gestión de amenazas y vulnerabilidades
- Continuidad
- Seguridad en las relaciones con proveedores
- Legal y cumplimiento
- Gestión de eventos de seguridad de la información; y
- Garantía_de_seguridad_de_la_información
La versión anterior de la Norma, ISO/IEC 27001 , especificaba 114 controles en 14 grupos:
- A.5: Políticas de seguridad de la información
- A.6: Cómo se organiza la seguridad de la información
- A.7: Seguridad de los recursos humanos: controles que se aplican antes, durante o después del empleo.
- A.8: Gestión de activos
- A.9: Controles de acceso y gestión del acceso de usuarios
- A.10: Tecnología criptográfica
- A.11: Seguridad física de las instalaciones y equipos de la organización
- A.12: Seguridad operativa
- A.13: Comunicaciones seguras y transferencia de datos
- A.14: Adquisición, desarrollo y soporte seguro de sistemas de información
- A.15: Seguridad para proveedores y terceros
- A.16: Gestión de incidentes
- A.17: Continuidad del negocio/recuperación ante desastres (en la medida que afecte la seguridad de la información)
- A.18: Cumplimiento: de requisitos internos, como políticas, y de requisitos externos, como leyes.
Estándares de seguridad de la información del gobierno federal de EE. UU.
Los Estándares Federales de Procesamiento de Información (FIPS) se aplican a todas las agencias gubernamentales de EE. UU. Sin embargo, ciertos sistemas de seguridad nacional, bajo el ámbito del Comité de Sistemas de Seguridad Nacional , se gestionan fuera de estos estándares.
El Estándar federal de procesamiento de información 200 (FIPS 200), "Requisitos mínimos de seguridad para la información y los sistemas de información federales", especifica los controles de seguridad mínimos para los sistemas de información federales y los procesos mediante los cuales se produce la selección de controles de seguridad basada en el riesgo. El catálogo de controles mínimos de seguridad se encuentra en la Publicación Especial NIST SP 800-53.
FIPS 200 identifica 17 amplias familias de controles:
- Control de acceso de CA
- Concientización y capacitación en AT
- Auditoría y rendición de cuentas de la UA
- Evaluación y autorización de seguridad de CA (abreviatura histórica)
- Gestión de configuración CM
- Planificación de contingencias de CP
- Identificación y autenticación de IA
- Respuesta a incidentes de infrarrojos
- Mantenimiento MA
- Protección de medios MP
- PE Protección Física y Ambiental
- Planificación de PL
- Seguridad del personal de PS
- Evaluación de riesgos de AR
- Adquisición de Sistemas y Servicios SA
- Protección de comunicaciones y sistemas SC
- Sistema SI e integridad de la información
Instituto Nacional de Estándares y Tecnología
Marco de ciberseguridad del NIST
Un marco basado en la madurez dividido en cinco áreas funcionales y aproximadamente 100 controles individuales en su "núcleo".
NIST SP-800-53
Una base de datos de cerca de mil controles técnicos agrupados en familias y referencias cruzadas.
- A partir de la Revisión 3 de 800-53, se identificaron controles de gestión de programas. Estos controles son independientes de los controles del sistema, pero son necesarios para un programa de seguridad eficaz.
- A partir de la Revisión 4 de 800-53, se identificaron ocho familias de controles de privacidad para alinear los controles de seguridad con las expectativas de privacidad de la ley federal.
- A partir de la Revisión 5 de 800-53, los controles también abordan la privacidad de los datos según lo define el Marco de privacidad de datos del NIST.
Conjuntos de control comerciales
COBIT5
Un conjunto de control propietario publicado por ISACA. [3]
- Gobernanza de la TI empresarial
- Evaluar, Dirigir y Monitorear (EDM) – 5 procesos
- Gestión de TI empresarial
- Alinear, Planificar y Organizar (APO) – 13 procesos
- Construir, adquirir e implementar (BAI): 10 procesos
- Entrega, servicio y soporte (DSS): 6 procesos
- Monitorear, Evaluar y Valorar (MEA) - 3 procesos
Controles CIS (CIS 18)
Anteriormente conocidos como controles de seguridad críticos SANS, ahora se llaman oficialmente controles de seguridad críticos CIS (controles COS). [4] Los Controles CIS se dividen en 18 controles.
- Control CIS 1: Inventario y Control de Activos Empresariales
- CIS Control 2: Inventario y Control de Activos de Software
- Control CIS 3: Protección de datos
- CIS Control 4: Configuración segura de software y activos empresariales
- Control CIS 5: Gestión de cuentas
- Control CIS 6: Gestión del control de acceso
- Control CIS 7: Gestión continua de vulnerabilidades
- Control CIS 8: Gestión de registros de auditoría
- CIS Control 9: Protecciones de correo electrónico y navegador web
- Control CIS 10: Defensas contra malware
- Control CIS 11: Recuperación de datos
- Control CIS 12: Gestión de infraestructura de red
- CIS Control 13: Monitoreo y defensa de la red
- CIS Control 14: Concientización sobre seguridad y capacitación en habilidades
- Control CIS 15: Gestión de proveedores de servicios
- CIS Control 16: Seguridad del software de aplicaciones
- Control CIS 17: Gestión de respuesta a incidentes
- Control CIS 18: Pruebas de penetración
Los controles se dividen a su vez en Grupos de Implementación (IG), que son una guía recomendada para priorizar la implementación de los controles del CIS. [5]
Telecomunicaciones
En telecomunicaciones, los controles de seguridad se definen como servicios de seguridad como parte del modelo OSI :
- Recomendación UIT-T X.800.
- ISO ISO 7498-2
Estos están técnicamente alineados. [6] [7] Este modelo es ampliamente reconocido. [8] [9]
Responsabilidad de los datos (legal, regulatoria, cumplimiento)
La intersección del riesgo de seguridad y las leyes que establecen estándares de cuidado es donde se define la responsabilidad de los datos. Están surgiendo un puñado de bases de datos para ayudar a los gestores de riesgos a investigar las leyes que definen la responsabilidad a nivel nacional, provincial/estatal y local. En estos conjuntos de control, el cumplimiento de las leyes pertinentes son los verdaderos mitigadores de riesgos.
- Cuadro de notificación de violaciones de seguridad de Perkins Coie: un conjunto de artículos (uno por estado) que definen los requisitos de notificación de violaciones de datos entre los estados de EE. UU. [10]
- Leyes de notificación de violaciones de seguridad del NCSL: una lista de estatutos estatales de EE. UU. que definen los requisitos de notificación de violaciones de datos. [11]
- Jurisdicción ts: una plataforma comercial de investigación de ciberseguridad con cobertura de más de 380 leyes estatales y federales de EE. UU. que afectan la ciberseguridad antes y después de una infracción. Su jurisdicción también se corresponde con el Marco de ciberseguridad del NIST. [12]
Marcos de control empresarial
Existe una amplia gama de marcos y estándares que analizan los controles internos de las empresas y entre empresas, entre los que se incluyen:
Ver también
Referencias
- ^ "¿Qué son los controles de seguridad?". www.ibm.com . Consultado el 31 de octubre de 2020 .
- ^ "Controles de detectives". AWS . 12 de diciembre de 2022.
- ^ "Marco COBIT | Riesgo y gobernanza | Gestión de TI empresarial - ISACA". cobitonline.isaca.org . Consultado el 18 de marzo de 2020 .
- ^ "Los 18 controles de la CEI". CEI . Consultado el 8 de noviembre de 2022 .
- ^ "Grupos de implementación de controles de seguridad críticos de la CEI". CEI . Consultado el 8 de noviembre de 2022 .
- ^ X.800: arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones CCITT
- ^ ISO 7498-2 (Sistemas de procesamiento de información - Interconexión de sistemas abiertos - Modelo de referencia básico - Parte 2: Arquitectura de seguridad)
- ^
William Stallings Crittografia e seguridad delle reti Seconda edizione ISBN 88-386-6377-7
Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
- ^ Seguridad de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
- ^ "Cuadro de notificación de violaciones de seguridad". Perkins Coie . Consultado el 18 de marzo de 2020 .
- ^ "Leyes de notificación de infracciones de seguridad". www.ncsl.org . Consultado el 18 de marzo de 2020 .
- ^ "su jurisdicción". Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .
enlaces externos
- NIST SP 800-53 Revisión 4
- Instrucción del Departamento de Defensa 8500.2
- Términos de FISMApedia