Controles de seguridad

Los controles de seguridad son salvaguardias o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad para la propiedad física, la información, los sistemas informáticos u otros activos. ^[1] En el ámbito de la seguridad de la información , dichos controles protegen la confidencialidad, integridad y disponibilidad de la información .

Los sistemas de controles pueden denominarse marcos o estándares. Los marcos pueden permitir que una organización administre controles de seguridad en diferentes tipos de activos de manera consistente.

Tipos de controles de seguridad

Los controles de seguridad se pueden clasificar según varios criterios. Por ejemplo, los controles se pueden clasificar según cómo/cuándo/dónde actúan en relación con una violación de seguridad (a veces denominados tipos de control ):

Los controles preventivos tienen como objetivo evitar que ocurra un incidente, por ejemplo, bloqueando el acceso a intrusos no autorizados;
Los controles de detección tienen como objetivo identificar, caracterizar y registrar un incidente, por ejemplo, aislar el comportamiento sospechoso de un actor malicioso en una red; ^[2]
Los controles de compensación mitigan los daños continuos de un incidente activo, por ejemplo, apagar un sistema al detectar malware .
Después del evento, los controles correctivos tienen como objetivo restaurar el daño causado por el incidente, por ejemplo, recuperando la organización al estado de trabajo normal de la manera más eficiente posible.

Los controles de seguridad también se pueden clasificar según la implementación del control (a veces denominadas categorías de control ), por ejemplo:

Controles físicos : por ejemplo, vallas, puertas, cerraduras y extintores de incendios;
Controles administrativos o de procedimiento : por ejemplo, procesos de respuesta a incidentes , supervisión de la gestión, concienciación y formación en materia de seguridad;
Controles técnicos o lógicos : por ejemplo, autenticación de usuario (inicio de sesión) y controles de acceso lógico , software antivirus , cortafuegos ;
Controles legales y regulatorios o de cumplimiento , por ejemplo, leyes , políticas y cláusulas de privacidad.

Estándares de seguridad de la información y marcos de control.

Numerosos estándares de seguridad de la información promueven buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y el diseño para la gestión de los controles de seguridad de la información. A continuación se describen algunos de los estándares más conocidos.

Organización de Estándares Internacionales

ISO/IEC 27001:2022 se publicó en octubre de 2022. Todas las organizaciones certificadas según ISO 27001:2013 están obligadas a realizar la transición a la nueva versión de la norma en un plazo de 3 años (antes de octubre de 2025).

La versión 2022 de la Norma especifica 93 controles en 4 grupos:

A.5: Controles organizacionales
A.6: Controles de personas
A.7: Controles físicos
A.8: Controles tecnológicos

Agrupa estos controles en capacidades operativas de la siguiente manera:

Gobernancia
Gestión de activos
Protección de la información
Seguridad de los recursos humanos
Seguridad física
Seguridad del sistema y de la red.
Seguridad de la aplicación
Configuración segura
Gestión de identidad y acceso.
Gestión de amenazas y vulnerabilidades
Continuidad
Seguridad en las relaciones con proveedores
Legal y cumplimiento
Gestión de eventos de seguridad de la información; y
Garantía_de_seguridad_de_la_información

La versión anterior de la Norma, ISO/IEC 27001 , especificaba 114 controles en 14 grupos:

A.5: Políticas de seguridad de la información
A.6: Cómo se organiza la seguridad de la información
A.7: Seguridad de los recursos humanos: controles que se aplican antes, durante o después del empleo.
A.8: Gestión de activos
A.9: Controles de acceso y gestión del acceso de usuarios
A.10: Tecnología criptográfica
A.11: Seguridad física de las instalaciones y equipos de la organización
A.12: Seguridad operativa
A.13: Comunicaciones seguras y transferencia de datos
A.14: Adquisición, desarrollo y soporte seguro de sistemas de información
A.15: Seguridad para proveedores y terceros
A.16: Gestión de incidentes
A.17: Continuidad del negocio/recuperación ante desastres (en la medida que afecte la seguridad de la información)
A.18: Cumplimiento: de requisitos internos, como políticas, y de requisitos externos, como leyes.

Estándares de seguridad de la información del gobierno federal de EE. UU.

Los Estándares Federales de Procesamiento de Información (FIPS) se aplican a todas las agencias gubernamentales de EE. UU. Sin embargo, ciertos sistemas de seguridad nacional, bajo el ámbito del Comité de Sistemas de Seguridad Nacional , se gestionan fuera de estos estándares.

El Estándar federal de procesamiento de información 200 (FIPS 200), "Requisitos mínimos de seguridad para la información y los sistemas de información federales", especifica los controles de seguridad mínimos para los sistemas de información federales y los procesos mediante los cuales se produce la selección de controles de seguridad basada en el riesgo. El catálogo de controles mínimos de seguridad se encuentra en la Publicación Especial NIST SP 800-53.

FIPS 200 identifica 17 amplias familias de controles:

Control de acceso de CA
Concientización y capacitación en AT
Auditoría y rendición de cuentas de la UA
Evaluación y autorización de seguridad de CA (abreviatura histórica)
Gestión de configuración CM
Planificación de contingencias de CP
Identificación y autenticación de IA
Respuesta a incidentes de infrarrojos
Mantenimiento MA
Protección de medios MP
PE Protección Física y Ambiental
Planificación de PL
Seguridad del personal de PS
Evaluación de riesgos de AR
Adquisición de Sistemas y Servicios SA
Protección de comunicaciones y sistemas SC
Sistema SI e integridad de la información

Instituto Nacional de Estándares y Tecnología

Marco de ciberseguridad del NIST

Un marco basado en la madurez dividido en cinco áreas funcionales y aproximadamente 100 controles individuales en su "núcleo".

NIST SP-800-53

Una base de datos de cerca de mil controles técnicos agrupados en familias y referencias cruzadas.

A partir de la Revisión 3 de 800-53, se identificaron controles de gestión de programas. Estos controles son independientes de los controles del sistema, pero son necesarios para un programa de seguridad eficaz.
A partir de la Revisión 4 de 800-53, se identificaron ocho familias de controles de privacidad para alinear los controles de seguridad con las expectativas de privacidad de la ley federal.
A partir de la Revisión 5 de 800-53, los controles también abordan la privacidad de los datos según lo define el Marco de privacidad de datos del NIST.

Conjuntos de control comerciales

COBIT5

Un conjunto de control propietario publicado por ISACA. ^[3]

Gobernanza de la TI empresarial
- Evaluar, Dirigir y Monitorear (EDM) – 5 procesos
Gestión de TI empresarial
- Alinear, Planificar y Organizar (APO) – 13 procesos
- Construir, adquirir e implementar (BAI): 10 procesos
- Entrega, servicio y soporte (DSS): 6 procesos
- Monitorear, Evaluar y Valorar (MEA) - 3 procesos

Controles CIS (CIS 18)

Anteriormente conocidos como controles de seguridad críticos SANS, ahora se llaman oficialmente controles de seguridad críticos CIS (controles COS). ^[4] Los Controles CIS se dividen en 18 controles.

Control CIS 1: Inventario y Control de Activos Empresariales
CIS Control 2: Inventario y Control de Activos de Software
Control CIS 3: Protección de datos
CIS Control 4: Configuración segura de software y activos empresariales
Control CIS 5: Gestión de cuentas
Control CIS 6: Gestión del control de acceso
Control CIS 7: Gestión continua de vulnerabilidades
Control CIS 8: Gestión de registros de auditoría
CIS Control 9: Protecciones de correo electrónico y navegador web
Control CIS 10: Defensas contra malware
Control CIS 11: Recuperación de datos
Control CIS 12: Gestión de infraestructura de red
CIS Control 13: Monitoreo y defensa de la red
CIS Control 14: Concientización sobre seguridad y capacitación en habilidades
Control CIS 15: Gestión de proveedores de servicios
CIS Control 16: Seguridad del software de aplicaciones
Control CIS 17: Gestión de respuesta a incidentes
Control CIS 18: Pruebas de penetración

Los controles se dividen a su vez en Grupos de Implementación (IG), que son una guía recomendada para priorizar la implementación de los controles del CIS. ^[5]

Telecomunicaciones

En telecomunicaciones, los controles de seguridad se definen como servicios de seguridad como parte del modelo OSI :

Recomendación UIT-T X.800.
ISO ISO 7498-2

Estos están técnicamente alineados. ^[6]^[7] Este modelo es ampliamente reconocido. ^[8]^[9]

Responsabilidad de los datos (legal, regulatoria, cumplimiento)

La intersección del riesgo de seguridad y las leyes que establecen estándares de cuidado es donde se define la responsabilidad de los datos. Están surgiendo un puñado de bases de datos para ayudar a los gestores de riesgos a investigar las leyes que definen la responsabilidad a nivel nacional, provincial/estatal y local. En estos conjuntos de control, el cumplimiento de las leyes pertinentes son los verdaderos mitigadores de riesgos.

Cuadro de notificación de violaciones de seguridad de Perkins Coie: un conjunto de artículos (uno por estado) que definen los requisitos de notificación de violaciones de datos entre los estados de EE. UU. ^[10]
Leyes de notificación de violaciones de seguridad del NCSL: una lista de estatutos estatales de EE. UU. que definen los requisitos de notificación de violaciones de datos. ^[11]
Jurisdicción ts: una plataforma comercial de investigación de ciberseguridad con cobertura de más de 380 leyes estatales y federales de EE. UU. que afectan la ciberseguridad antes y después de una infracción. Su jurisdicción también se corresponde con el Marco de ciberseguridad del NIST. ^[12]

Marcos de control empresarial

Existe una amplia gama de marcos y estándares que analizan los controles internos de las empresas y entre empresas, entre los que se incluyen:

SSAE 16
ISAE 3402
Estándar de seguridad de datos de la industria de tarjetas de pago
Ley de Responsabilidad y Portabilidad del Seguro de Salud
COBIT 4/5
Top 20 de la CEI
Marco de ciberseguridad del NIST

Ver también

Control de acceso
Seguridad de la aviación
Contramedida
Defensa en profundidad
Diseño ambiental
Seguridad de información
Seguridad física
Riesgo
Seguridad
ingeniería de seguridad
Gestion de seguridad
Servicios de seguridad
Modelo Gordon-Loeb para inversiones en ciberseguridad

Referencias

^ "¿Qué son los controles de seguridad?". www.ibm.com . Consultado el 31 de octubre de 2020 .
^ "Controles de detectives". AWS . 12 de diciembre de 2022.
^ "Marco COBIT | Riesgo y gobernanza | Gestión de TI empresarial - ISACA". cobitonline.isaca.org . Consultado el 18 de marzo de 2020 .
^ "Los 18 controles de la CEI". CEI . Consultado el 8 de noviembre de 2022 .
^ "Grupos de implementación de controles de seguridad críticos de la CEI". CEI . Consultado el 8 de noviembre de 2022 .
^ X.800: arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones CCITT
^ ISO 7498-2 (Sistemas de procesamiento de información - Interconexión de sistemas abiertos - Modelo de referencia básico - Parte 2: Arquitectura de seguridad)
^ William Stallings Crittografia e seguridad delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
^ Seguridad de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
^ "Cuadro de notificación de violaciones de seguridad". Perkins Coie . Consultado el 18 de marzo de 2020 .
^ "Leyes de notificación de infracciones de seguridad". www.ncsl.org . Consultado el 18 de marzo de 2020 .
^ "su jurisdicción". Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .

enlaces externos

NIST SP 800-53 Revisión 4
Instrucción del Departamento de Defensa 8500.2
Términos de FISMApedia