Los controles de seguridad son salvaguardas o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad de la propiedad física, la información, los sistemas informáticos u otros activos. [1] En el campo de la seguridad de la información , dichos controles protegen la confidencialidad, integridad y disponibilidad de la información .
Los sistemas de control pueden denominarse marcos o estándares. Los marcos pueden permitir que una organización administre controles de seguridad en diferentes tipos de activos con coherencia.
Tipos de controles de seguridad
Los controles de seguridad se pueden clasificar según varios criterios. Por ejemplo, los controles se clasifican ocasionalmente por cuándo actúan en relación con una infracción de seguridad:
- Antes del evento, los controles preventivos están destinados a evitar que ocurra un incidente, por ejemplo, bloqueando a intrusos no autorizados;
- Durante el evento, los controles de detective están destinados a identificar y caracterizar un incidente en curso, por ejemplo, haciendo sonar la alarma de intrusión y alertando a los guardias de seguridad o la policía;
- Después del evento, los controles correctivos están destinados a limitar el alcance de cualquier daño causado por el incidente, por ejemplo, recuperando la organización al estado de trabajo normal de la manera más eficiente posible.
Los controles de seguridad también se pueden clasificar según sus características, por ejemplo:
- Controles físicos, p. Ej. vallas, puertas, cerraduras y extintores;
- Controles de procedimiento o administrativos, p. Ej. procesos de respuesta a incidentes, supervisión de la gestión, concienciación sobre seguridad y formación;
- Controles técnicos o lógicos, p. Ej. autenticación de usuario (inicio de sesión) y controles de acceso lógico, software antivirus, cortafuegos;
- Controles legales y reglamentarios o de cumplimiento, p. Ej. leyes, políticas y cláusulas de privacidad.
Para obtener más información sobre los controles de seguridad en la informática, consulte Defensa en profundidad (informática) y Seguridad de la información.
Estándares de seguridad de la información y marcos de control
Numerosos estándares de seguridad de la información promueven buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y diseño para la gestión de los controles de seguridad de la información. Algunos de los estándares más conocidos se describen a continuación.
Organización de Estándares Internacionales
ISO / IEC 27001 especifica 114 controles en 14 grupos:
- A.5: Políticas de seguridad de la información
- A.6: Cómo se organiza la seguridad de la información
- A.7: Seguridad de los recursos humanos: controles que se aplican antes, durante o después del empleo.
- A.8: Gestión de activos
- A.9: Controles de acceso y gestión del acceso de usuarios
- A.10: Tecnología criptográfica
- A.11: Seguridad física de los sitios y equipos de la organización
- A.12: Seguridad operativa
- A.13: Comunicaciones seguras y transferencia de datos
- A.14: Adquisición, desarrollo y soporte seguros de sistemas de información
- A.15: Seguridad para proveedores y terceros
- A.16: Gestión de incidentes
- A.17: Continuidad del negocio / recuperación ante desastres (en la medida en que afecte la seguridad de la información)
- A.18: Cumplimiento: con requisitos internos, como políticas, y con requisitos externos, como leyes.
Estándares de seguridad de la información del gobierno federal de EE. UU.
Los Estándares Federales de Procesamiento de Información (FIPS) se aplican a todas las agencias gubernamentales de EE. UU. Sin embargo, ciertos sistemas de seguridad nacional, bajo la competencia del Comité de Sistemas de Seguridad Nacional , se administran al margen de estos estándares.
El Estándar federal de procesamiento de información 200 (FIPS 200), "Requisitos mínimos de seguridad para la información y los sistemas de información federales", especifica los controles de seguridad mínimos para los sistemas de información federales y los procesos mediante los cuales se realiza la selección de controles de seguridad basada en riesgos. El catálogo de controles de seguridad mínimos se encuentra en la Publicación especial del NIST SP 800-53 .
FIPS 200 identifica 17 amplias familias de control:
- Control de acceso AC.
- AT Sensibilización y Formación.
- Auditoría y rendición de cuentas de la UA.
- Evaluación y autorización de seguridad de CA. (abreviatura histórica)
- Gestión de la configuración de CM.
- Planificación de contingencias de CP.
- Identificación y autenticación de IA.
- Respuesta a incidentes de IR.
- Mantenimiento MA.
- Protección multimedia MP.
- PE Protección física y ambiental.
- PL Planificación.
- Seguridad del personal de PS.
- Evaluación de riesgos de RA.
- Adquisición de Sistemas y Servicios SA.
- Protección de comunicaciones y sistemas SC.
- Integridad de la información y del sistema SI.
Instituto Nacional de Estándares y Tecnología
Marco de ciberseguridad del NIST
Un marco basado en la madurez dividido en cinco áreas funcionales y aproximadamente 100 controles individuales en su "núcleo".
NIST SP-800-53
Una base de datos de cerca de mil controles técnicos agrupados en familias y referencias cruzadas.
- A partir de la revisión 3 de 800-53, se identificaron los controles de gestión del programa. Estos controles son independientes de los controles del sistema, pero son necesarios para un programa de seguridad eficaz.
- A partir de la Revisión 4 de 800-53, se identificaron ocho familias de controles de privacidad para alinear los controles de seguridad con las expectativas de privacidad de la ley federal.
- A partir de la Revisión 5 de 800-53, los controles también abordan la privacidad de los datos según lo define el Marco de privacidad de datos del NIST.
Conjuntos de control comercial
COBIT5
Un conjunto de control propietario publicado por ISACA. [2]
- Gobierno de la TI empresarial
- Evaluar, dirigir y monitorear (EDM) - 5 procesos
- Gestión de TI empresarial
- Alinear, planificar y organizar (APO): 13 procesos
- Construir, adquirir e implementar (BAI) - 10 procesos
- Entrega, servicio y soporte (DSS): 6 procesos
- Monitorear, evaluar y evaluar (MEA) - 3 procesos
CIS Top-20
Un conjunto de control con licencia comercial publicado por el Center for Internet Security. [3]
- 20 controles desarrollados por una red de voluntarios y puestos a disposición para uso comercial a través de un contrato de licencia.
mitigación de ts
Un conjunto de control abierto (Creative Commons) y con licencia comercial de Threat Sketch. [4]
- Abierto: 50 mitigaciones de lenguaje empresarial asignadas a cien controles del marco de ciberseguridad del NIST.
- Abierto: 50 mitigaciones de lenguaje comercial asignadas a casi mil controles NIST SP-800-53.
Telecomunicaciones
En telecomunicaciones, los controles de seguridad se definen como servicios de seguridad como parte del modelo de referencia OSI.
- Recomendación UIT-T X.800.
- ISO ISO 7498-2
Estos están técnicamente alineados. [5] [6] Este modelo es ampliamente reconocido. [7] [8]
Responsabilidad de los datos (legal, reglamentaria, cumplimiento)
La intersección del riesgo de seguridad y las leyes que establecen los estándares de atención es donde se define la responsabilidad de los datos. Están surgiendo un puñado de bases de datos para ayudar a los administradores de riesgos a investigar las leyes que definen la responsabilidad a nivel nacional, provincial / estatal y local. En estos conjuntos de control, el cumplimiento de las leyes pertinentes son los verdaderos mitigadores del riesgo.
- Cuadro de notificación de violación de seguridad de Perkins Coie: un conjunto de artículos (uno por estado) que definen los requisitos de notificación de violación de datos entre los estados de EE. UU. [9]
- Leyes de notificación de infracciones de seguridad de NCSL: una lista de los estatutos estatales de EE. UU. Que definen los requisitos de notificación de infracciones de datos. [10]
- jurisdicción ts: Una plataforma comercial de investigación de ciberseguridad con cobertura de más de 380 leyes estatales y federales de EE. UU. que afectan la ciberseguridad antes y después de una infracción. Su jurisdicción también se asigna al Marco de Ciberseguridad del NIST. [11]
Marcos de control empresarial
Existe una amplia gama de marcos y estándares que analizan los controles comerciales internos y entre empresas, que incluyen:
- SSAE 16
- ISAE 3402
- Estándar de seguridad de datos de la industria de tarjetas de pago
- Ley de Responsabilidad y Portabilidad del Seguro de Salud
- COBIT 4/5
- CIS Top-20
- Marco de ciberseguridad del NIST
Ver también
Referencias
- ^ "¿Qué son los controles de seguridad?" . www.ibm.com . Consultado el 31 de octubre de 2020 .
- ^ "Marco COBIT | Riesgo y Gobernanza | Gestión de TI empresarial - ISACA" . cobitonline.isaca.org . Consultado el 18 de marzo de 2020 .
- ^ "Los 20 controles y recursos CIS" . CIS . Consultado el 18 de marzo de 2020 .
- ^ "mitigación de ts" . Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .
- ^ X.800: Arquitectura de seguridad para interconexión de sistemas abiertos para aplicaciones CCITT
- ^ ISO 7498-2 (Sistemas de procesamiento de información - Interconexión de sistemas abiertos - Modelo de referencia básico - Parte 2: Arquitectura de seguridad)
- ^ William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
- ^ Asegurar los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
- ^ "Cuadro de notificación de incumplimiento de seguridad" . Perkins Coie . Consultado el 18 de marzo de 2020 .
- ^ "Leyes de notificación de infracciones de seguridad" . www.ncsl.org . Consultado el 18 de marzo de 2020 .
- ^ "jurisdicción ts" . Bosquejo de amenazas . Consultado el 18 de marzo de 2020 .
- NIST SP 800-53 Revisión 4
- Instrucción DoD 8500.2
- Términos de FISMApedia