Los controles de seguridad son parámetros implementados para proteger diversos formatos de datos e infraestructuras importantes para una organización. Cualquier tipo de salvaguarda o contramedida utilizada para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad de la propiedad física, la información, los sistemas informáticos u otros activos se considera un control de seguridad.

Debido a la creciente tasa de ataques cibernéticos, los controles de seguridad de los datos son más importantes hoy que nunca. Según un estudio de la Escuela Clark de la Universidad de Maryland, los ataques de ciberseguridad en los EE. UU. ahora ocurren cada 39 segundos en promedio y afectan a uno de cada tres estadounidenses cada año. El 43 % de estos ataques se dirigen a las pequeñas empresas. Entre julio de 2018 y abril de 2019, el costo promedio de una brecha de seguridad de datos en los Estados Unidos fue de USD 8.2 millones.

Al mismo tiempo, las regulaciones de privacidad de datos están creciendo, por lo que es fundamental que las empresas refuercen sus políticas de protección de datos o se enfrenten a posibles multas. La Unión Europea implementó su estricto Reglamento General de Protección de Datos (GDPR) el año pasado. En los EE. UU., la Ley de Privacidad del Consumidor de California entrará en vigencia el 1 de enero de 2020, y varios otros estados actualmente están considerando medidas similares.

Estas regulaciones generalmente incluyen severas sanciones para las empresas que no cumplen con los requisitos. Por ejemplo, Facebook informó recientemente que anticipa una multa de más de USD 3 mil millones de la Comisión Federal de Comercio de EE. UU. por deficiencias en las políticas de protección de datos que resultaron en varias brechas de seguridad de datos.

Hay varios tipos de controles de seguridad que se pueden implementar para proteger hardware, software, redes y datos de acciones y eventos que podrían causar pérdidas o daños. Por ejemplo:

• Los controles de seguridad física incluyen elementos como cercas perimetrales de centro de datos, cerraduras, guardias, tarjetas de control de acceso, sistemas de control de acceso biométrico, cámaras de vigilancia y sensores de detección de intrusos.
• Los controles de seguridad digital incluyen elementos como nombres de usuario y contraseñas, autenticación de dos factores, software antivirus y firewalls.
• Los controles de ciberseguridad incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos, incluidos la Mitigación de DDoS y sistemas de prevención de intrusiones.
• Los controles de seguridad en la nube incluyen las medidas que tome en cooperación con un proveedor de servicios en la nube para garantizar la protección necesaria para los datos y las cargas de trabajo. Si su organización ejecuta cargas de trabajo en la nube, debe cumplir con los requisitos de seguridad de sus políticas corporativas o comerciales y regulaciones de la industria.

Los sistemas de controles de seguridad, incluidos los procesos y la documentación que definen la implementación y la gestión continua de estos controles, se denominan marcos o estándares.

Los marcos permiten que una organización administre sistemáticamente los controles de seguridad en diferentes tipos de activos de acuerdo con una metodología probada y generalmente aceptada. Algunos de los marcos y estándares más conocidos incluyen los siguientes:

Marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología

El Instituto Nacional de Estándares y Tecnología (NIST) creó un marco voluntario en 2014 para proporcionar a las organizaciones orientación sobre cómo prevenir, detectar y responder a los ciberataques. Los métodos y procedimientos de evaluación se utilizan para determinar si los controles de seguridad de una organización se implementan correctamente, funcionan según lo previsto y producen el resultado deseado (cumpliendo los requisitos de seguridad de la organización). El marco NIST se actualiza constantemente para mantenerse al día con los avances en ciberseguridad.

Controles del Center for Internet Security

El Center for Internet Security (CIS) desarrolló una lista de acciones defensivas de alta prioridad que brindan un punto de partida "debe hacer, hacer primero" para todas las empresas que buscan prevenir los ciberataques. Según el Instituto SANS, que desarrolló los controles CIS, "los controles CIS son efectivos porque se derivan de los patrones de ataque más comunes destacados en los informes de amenazas principales y examinados en una comunidad muy amplia de profesionales gubernamentales y de la industria".

La organización puede referirse a estos y otros marcos para desarrollar su propio marco de seguridad y políticas de seguridad de TI. Un marco bien desarrollado asegura que una organización haga lo siguiente:

• Hace cumplir las políticas de seguridad de TI a través de controles de seguridad
• Capacita a los empleados y usuarios sobre las directrices de seguridad
• Cumple con las normativas de conformidad y de la industria
• Logra eficiencia operativa en todos los controles de seguridad
• Evalúa continuamente los riesgos y los aborda mediante controles de seguridad

Una solución de seguridad es tan fuerte como su eslabón más débil. Por lo tanto, debe considerar múltiples capas de controles de seguridad (que también se conoce como una estrategia de defensa en profundidad) para implementar controles de seguridad en la gestión de accesos e identidades, datos, aplicaciones, infraestructura de red o servidor, seguridad física e inteligencia de seguridad.

Una evaluación de los controles de seguridad es un excelente primer paso para determinar dónde existe alguna vulnerabilidad. Una evaluación de los controles de seguridad le permite evaluar los controles que tiene actualmente y determinar si están implementados correctamente, si funcionan según lo previsto y cumplen con sus requisitos de seguridad. La publicación especial de NIST 800-53  fue creada por NIST como un punto de referencia para evaluaciones exitosas de control de seguridad. Las directrices del NIST sirven como un enfoque de mejores prácticas que, cuando se aplican, pueden ayudar a mitigar el riesgo de una brecha de seguridad para su organización. Alternativamente, su organización también puede crear su propia evaluación de seguridad.

Algunos pasos clave para crear una evaluación de seguridad incluyen lo siguiente:

• Determine los sistemas de destino: cree una lista de direcciones IP necesarias para escanear en su red. La lista debe contener las direcciones IP de todos los sistemas y dispositivos conectados en la red de su organización.
• Determine las aplicaciones de destino: enumere las aplicaciones y servicios web que se analizarán. Determine el tipo de servidor de aplicaciones web, servidor web, base de datos, componentes de terceros y tecnologías utilizadas para crear aplicaciones existentes.
• Análisis e informes de vulnerabilidades: mantenga informados a los equipos de red y de TI de toda la actividad de evaluación, ya que una evaluación de vulnerabilidad puede ocasionalmente crear ráfagas en el tráfico de la red cuando se cargan los servidores de destino con solicitudes. Además, obtenga la transferencia no autenticada para las direcciones IP del escáner en la red de la organización y asegúrese de que las direcciones IP estén incluidas en la lista blanca en IPS/IDS. De lo contrario, el escáner puede activar una alerta de tráfico malicioso, lo que provocaría el bloqueo de su IP.

Lea más acerca de cómo evaluar la vulnerabilidad de las aplicaciones y la red de su empresa mediante la creación de su propia evaluación de seguridad.

IBM Cloud cumple con las estrictas directrices y políticas de seguridad gubernamentales y de la industria y adopta varias medidas para aumentar la seguridad física, lo que significa que puede sentirse seguro mientras moderniza sus aplicaciones sin importar dónde se encuentre en su ruta hacia la nube.
Dé el siguiente paso:

• Descubra todas las formas en que los controles de seguridad de IBM Cloud ayudan a proteger y supervisar sus aplicaciones en la nube.
  
  
• Descubra más acerca de IBM Cloud.

Empiece con una cuenta de IBM Cloud hoy mismo.