Los controles de seguridad son parámetros implementados para proteger diversas formas de datos e infraestructura importantes para una organización. Cualquier tipo de salvaguarda o contramedida utilizada para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad para la propiedad física, la información, los sistemas informáticos u otros activos se considera un control de seguridad.

Dada la creciente tasa de ciberataques, los controles de seguridad de datos son hoy más importantes que nunca. Según un estudio de la Clark School de la Universidad de Maryland, los ataques a la ciberseguridad en los EE. UU. ocurren ahora en promedio cada 39 segundos y afectan a uno de cada tres estadounidenses cada año; el 43% de estos ataques se dirigen a pequeñas empresas. Entre marzo de 2021 y marzo de 2022, el coste promedio de una vulneración de datos en los Estados Unidos fue de 9,44 millones de dólares.

Al mismo tiempo, las normas de privacidad de datos están aumentando, por lo que es fundamental que las empresas refuercen sus políticas de protección de datos o pueden enfrentarse a posibles multas. La Unión Europea implementó sus estrictas reglas del Reglamento General de Protección de Datos (RGPD) el año pasado. En los EE. UU., la Ley de Privacidad del Consumidor de California entrará en vigor el 1 de enero de 2020, y varios otros estados están considerando medidas similares.

Estas regulaciones suelen incluir sanciones rígidas para compañías que no cumplen con los requisitos. Por ejemplo, Facebook informó recientemente de que prevé una multa de más de 3.000 millones de dólares de la Comisión Federal de Comercio de EE. UU. por deficiencias en torno a las políticas de protección de datos que dieron lugar a varias vulneraciones de datos.

Existen varios tipos de controles de seguridad que se pueden implementar para proteger hardware, software, redes y datos de acciones y sucesos que podrían causar pérdidas o daños. Por ejemplo:

• Los controles de seguridad física incluyen cosas como la barrera perimetral del centro de datos, bloqueos, protecciones, tarjetas de control de acceso, sistemas de control de acceso biométrico, cámaras de vigilancia y sensores de detección de intrusiones.
  
  
• Los controles de seguridad digital incluyen cosas tales como nombres de usuario y contraseñas, autenticación de dos factores, software antivirus y firewalls.
  
  
• Los controles de ciberseguridad incluyen todo lo diseñado específicamente para prevenir ataques a los datos, incluida la mitigación de DDoS y los sistemas de prevención de intrusiones.
  
  
• Los controles de seguridad en la nube incluyen medidas que usted toma en cooperación con un proveedor de servicios en la nube para garantizar la protección necesaria para los datos y las cargas de trabajo. Si su organización ejecuta cargas de trabajo en la nube, debe cumplir sus políticas corporativas o empresariales, los requisitos de seguridad y las normas del sector.

Los sistemas de controles de seguridad, incluidos los procesos y la documentación que definen la implementación y la gestión continua de estos controles, se denominan marcos o estándares.

Los marcos permiten a una organización gestionar de forma coherente los controles de seguridad de distintos tipos de activos de acuerdo con una metodología generalmente aceptada y probada. Algunos de los marcos y estándares más conocidos son los siguientes:

Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología

El Instituto Nacional de Estándares y Tecnología (NIST) creó un marco voluntario en 2014 para proporcionar a las organizaciones orientación sobre cómo prevenir, detectar y responder a los ciberataques. Los métodos y procedimientos de evaluación se utilizan para determinar si los controles de seguridad de una organización se implementan correctamente, funcionan según lo previsto y producen el resultado deseado (cumplir con los requisitos de seguridad de la organización). El marco del NIST se actualiza constantemente para seguir el ritmo de los avances en materia de ciberseguridad.

Controles del Centro para la Seguridad de Internet

El Centro para la Seguridad de Internet (CIS) ha elaborado una lista de medidas defensivas prioritarias que constituyen un punto de partida obligatorio para todas las empresas que deseen prevenir ciberataques. Según el SANS Institute, que desarrolló los controles CIS, "los controles CIS son eficaces porque se derivan de los patrones de ataque más comunes destacados en los principales informes de amenazas y se evalúan en una comunidad muy amplia de profesionales gubernamentales y del sector".

La organización puede consultar estos y otros marcos para desarrollar su propio marco de seguridad y políticas de seguridad de TI. Un marco bien desarrollado garantiza que una organización haga lo siguiente:

• Aplica políticas de seguridad de TI mediante controles de seguridad
• Informa a los empleados y usuarios sobre las directrices de seguridad
• Cumple con las regulaciones de conformidad y del sector
• Logra eficiencia operativa en todos los controles de seguridad
• Evalúa continuamente los riesgos y los aborda mediante controles de seguridad

Una solución de seguridad es tan fuerte como su enlace más débil. Por lo tanto, debe considerar varias capas de controles de seguridad (lo que también se conoce como una estrategia de defensa en profundidad) para implementar controles de seguridad en la administración de identidades y accesos, datos, aplicaciones, infraestructura de red o servidor, seguridad física e inteligencia de seguridad.

Una evaluación de controles de seguridad es un primer paso excelente para determinar dónde existen vulnerabilidades. Una evaluación de controles de seguridad le permite evaluar los controles que tiene actualmente y determinar si se implementan correctamente, funcionan según lo previsto y cumplen con sus requisitos de seguridad. El NIST creó la publicación especial NIST 800-53 como test de referencia para las evaluaciones de control de seguridad exitosas. Las directrices del NIST sirven como un enfoque de buenas prácticas que, cuando se aplican, pueden ayudar a mitigar el riesgo de un riesgo de seguridad para su organización. Como alternativa, su organización también puede crear su propia evaluación de seguridad.

Algunos pasos clave para crear una evaluación de seguridad son los siguientes:

• Determine los sistemas de destino: cree una lista de direcciones IP necesarias para su análisis en su red. La lista debe contener direcciones IP de todos los sistemas y dispositivos conectados a la red de su organización.
  
  
• Determine las aplicaciones de destino: enumere las aplicaciones y los servicios web que se van a analizar. Determine el tipo de servidor de aplicaciones web, servidor web, base de datos, componentes de terceros y tecnologías utilizadas para crear aplicaciones existentes.
  
  
• Análisis y elaboración de informes de vulnerabilidades: mantenga informados a los equipos de red y de TI de toda la actividad de evaluación, ya que una evaluación de vulnerabilidades puede crear ocasionalmente ráfagas en el tráfico de red al cargar los servidores objetivo con peticiones. Además, obtenga el paso no autenticado para las IP del escáner en la red de la organización y asegúrese de que las IP estén en la lista blanca de IPS/IDS. De lo contrario, el análisis puede activar una alerta de tráfico malicioso, lo que provocaría el bloqueo de su IP.

Obtenga más información sobre cómo evaluar la vulnerabilidad de las aplicaciones y la red de su empresa creando su propia evaluación de seguridad.