Los controles de seguridad son parámetros implementados para proteger diversos formatos de datos e infraestructuras importantes para una organización.

Se considera un control de seguridad cualquier tipo de protección o contramedida utilizada para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad de la propiedad física, la información, los sistemas informáticos u otros activos.

Debido a la creciente tasa de ataques cibernéticos, los controles de seguridad de los datos son más importantes hoy que nunca.

Según un estudio de Clark School de la Universidad de Maryland, los ataques de ciberseguridad en los EE. UU. ahora ocurren cada 39 segundos en promedio y afectan a uno de cada tres estadounidenses cada año. El 43 % de estos ataques se dirigen a las pequeñas empresas. Entre marzo de 2021 y marzo de 2022, el costo promedio de una brecha de seguridad de datos en los Estados Unidos fue de USD 9.44 millones.

Al mismo tiempo, las regulaciones de privacidad de datos están creciendo, por lo que es fundamental que las empresas refuercen sus políticas de protección de datos o se enfrenten a posibles multas.

La Unión Europea implementó su estricto Reglamento General de Protección de Datos (GDPR) el año pasado. En los EE. UU., la Ley de Privacidad del Consumidor de California entrará en vigencia el 1 de enero de 2020, y varios otros estados actualmente están considerando medidas similares.

Estas regulaciones generalmente incluyen severas sanciones para las empresas que no cumplen con los requisitos. Por ejemplo, Facebook informó recientemente que anticipa una multa de más de USD 3 mil millones de la Comisión Federal de Comercio de EE. UU. por deficiencias en las políticas de protección de datos que resultaron en varias brechas de seguridad de datos.

Hay varios tipos de controles de seguridad que se pueden implementar para proteger hardware, software, redes y datos de acciones y eventos que podrían causar pérdidas o daños. Por ejemplo:

1. Controles de seguridad física
2. Controles de seguridad digital
3. Controles de ciberseguridad
4. Controles de seguridad en la nube

Los controles de seguridad física

Incluyen medidas como establecer barreras en los perímetros de los centro de datos, cerraduras, guardias, tarjetas de control de acceso, sistemas de control de acceso biométrico, cámaras de vigilancia y sensores de detección de intrusiones.

Los controles de seguridad digital

Incluyen elementos como nombres de usuario y contraseñas, autenticación de dos factores, software antivirus y firewalls.

Los controles de ciberseguridad

Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos, incluidos la mitigación de DDoS y sistemas de prevención de intrusiones.

Los controles de seguridad en la nube

Incluyen las medidas que se toman en colaboración con un proveedor de servicios en la nube para garantizar la protección necesaria para los datos y las cargas de trabajo. Si su organización ejecuta cargas de trabajo en la nube, debe cumplir con los requisitos de seguridad de sus políticas corporativas o comerciales además de las regulaciones de la industria.

Los sistemas de controles de seguridad, incluidos los procesos y la documentación que definen la implementación y la gestión continua de estos controles, se denominan marcos o estándares.

Los marcos permiten que una organización gestione sistemáticamente los controles de seguridad en diferentes tipos de activos de acuerdo con una metodología probada y generalmente aceptada. Algunos de los marcos y estándares más conocidos incluyen los siguientes:

Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología

El Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) creó un marco voluntario en 2014 para proporcionar a las organizaciones orientación acerca de cómo prevenir, detectar y responder a los ciberataques.

Los métodos y procedimientos de evaluación se utilizan para determinar si los controles de seguridad de una organización se implementan correctamente, funcionan según lo previsto y producen el resultado deseado (cumpliendo los requisitos de seguridad de la organización). El marco NIST se actualiza constantemente para mantenerse al día con los avances en ciberseguridad.

Controles del Centro de seguridad de Internet

El Centro de seguridad de Internet (Center for Internet Security, CIS) desarrolló una lista de acciones defensivas de alta prioridad que brindan un punto de partida en torno a las medidas imprescindibles y de máxima prioridad que deben tomar todas las empresas que buscan prevenir los ciberataques.

Según el SANS Institute, que desarrolló los controles del CIS, "los controles CIS son efectivos porque se derivan de los patrones de ataque más comunes destacados en los informes de amenazas principales y examinados en una comunidad muy amplia de profesionales gubernamentales y de la industria".

La organización puede referirse a estos y otros marcos para desarrollar su propio marco de seguridad y políticas de seguridad de TI. Un marco bien desarrollado garantiza que se tomen las siguientes medidas en una organización:

• Hacer cumplir las políticas de seguridad de TI a través de controles de seguridad
• Capacitar a los empleados y usuarios sobre las directrices de seguridad
• Cumplir con las normativas de conformidad y de la industria
• Lograr eficiencia operativa en todos los controles de seguridad
• Evaluar continuamente los riesgos y abordarlos mediante controles de seguridad

Una solución de seguridad es tan fuerte como su eslabón más débil. Por lo tanto, debe considerar múltiples capas de controles de seguridad (que también se conoce como una estrategia de defensa en profundidad) para implementar controles de seguridad en la gestión de accesos e identidades, datos, aplicaciones, infraestructura de red o servidor, seguridad física e inteligencia de seguridad.

Una evaluación de los controles de seguridad es un excelente primer paso para determinar dónde existe alguna vulnerabilidad. Una evaluación de los controles de seguridad le permite evaluar los controles que tiene actualmente y determinar si están implementados correctamente, si funcionan según lo previsto y cumplen con sus requisitos de seguridad.

El NIST creó el estándar NIST Special Publication 800-53 como referencia para saber si una evaluación de controles de seguridad es eficaz. Las directrices del NIST sirven como un enfoque de mejores prácticas que, cuando se aplican, pueden ayudar a mitigar el riesgo de una brecha de seguridad para su organización. Alternativamente, su organización también puede crear su propia evaluación de seguridad.

Algunos pasos clave para crear una evaluación de seguridad incluyen lo siguiente:

Determinar los sistemas de destino

Cree una lista de direcciones IP necesarias para escanear en su red. La lista debe contener las direcciones IP de todos los sistemas y dispositivos conectados en la red de su organización.

Determinar las aplicaciones de destino

Enumere las aplicaciones y servicios web que se analizarán. Determine el tipo de servidor de aplicaciones web, servidor web, base de datos, componentes de terceros y tecnologías utilizadas para crear aplicaciones existentes.

Análisis e informes de vulnerabilidades

Mantenga informados a los equipos de red y de TI de toda la actividad de evaluación, ya que una evaluación de vulnerabilidad puede ocasionalmente crear ráfagas en el tráfico de la red cuando se cargan los servidores de destino con solicitudes.

Además, obtenga la transferencia no autenticada para las direcciones IP del escáner en la red de la organización y asegúrese de que las direcciones IP estén incluidas en la lista de IPS/IDS permitidas. De lo contrario, el escáner puede activar una alerta de tráfico malicioso, lo que provocaría el bloqueo de su IP.

Lea más acerca de cómo evaluar la vulnerabilidad de las aplicaciones y la red de su empresa mediante la creación de su propia evaluación de seguridad.