Los controles de seguridad son parámetros implementados para proteger diversas formas de datos e infraestructura importantes para una organización. Cualquier tipo de salvaguarda o contramedida utilizada para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad para la propiedad física, la información, los sistemas informáticos u otros activos se considera un control de seguridad.
Dada la creciente tasa de ciberataques, los controles de seguridad de datos son hoy más importantes que nunca. Según un estudio de la Clark School de la Universidad de Maryland, los ataques a la ciberseguridad en los EE. UU. ocurren ahora en promedio cada 39 segundos y afectan a uno de cada tres estadounidenses cada año; el 43% de estos ataques se dirigen a pequeñas empresas. Entre marzo de 2021 y marzo de 2022, el coste promedio de una vulneración de datos en los Estados Unidos fue de 9,44 millones de dólares.
Al mismo tiempo, las normas de privacidad de datos están aumentando, por lo que es fundamental que las empresas refuercen sus políticas de protección de datos o pueden enfrentarse a posibles multas. La Unión Europea implementó sus estrictas reglas del Reglamento General de Protección de Datos (RGPD) el año pasado. En los EE. UU., la Ley de Privacidad del Consumidor de California entrará en vigor el 1 de enero de 2020, y varios otros estados están considerando medidas similares.
Estas regulaciones suelen incluir sanciones rígidas para compañías que no cumplen con los requisitos. Por ejemplo, Facebook informó recientemente de que prevé una multa de más de 3.000 millones de dólares de la Comisión Federal de Comercio de EE. UU. por deficiencias en torno a las políticas de protección de datos que dieron lugar a varias vulneraciones de datos.
Existen varios tipos de controles de seguridad que se pueden implementar para proteger hardware, software, redes y datos de acciones y sucesos que podrían causar pérdidas o daños. Por ejemplo:
Los sistemas de controles de seguridad, incluidos los procesos y la documentación que definen la implementación y la gestión continua de estos controles, se denominan marcos o estándares.
Los marcos permiten a una organización gestionar de forma coherente los controles de seguridad de distintos tipos de activos de acuerdo con una metodología generalmente aceptada y probada. Algunos de los marcos y estándares más conocidos son los siguientes:
El Instituto Nacional de Estándares y Tecnología (NIST) creó un marco voluntario en 2014 para proporcionar a las organizaciones orientación sobre cómo prevenir, detectar y responder a los ciberataques. Los métodos y procedimientos de evaluación se utilizan para determinar si los controles de seguridad de una organización se implementan correctamente, funcionan según lo previsto y producen el resultado deseado (cumplir con los requisitos de seguridad de la organización). El marco del NIST se actualiza constantemente para seguir el ritmo de los avances en materia de ciberseguridad.
El Centro para la Seguridad de Internet (CIS) ha elaborado una lista de medidas defensivas prioritarias que constituyen un punto de partida obligatorio para todas las empresas que deseen prevenir ciberataques. Según el SANS Institute, que desarrolló los controles CIS, "los controles CIS son eficaces porque se derivan de los patrones de ataque más comunes destacados en los principales informes de amenazas y se evalúan en una comunidad muy amplia de profesionales gubernamentales y del sector".
La organización puede consultar estos y otros marcos para desarrollar su propio marco de seguridad y políticas de seguridad de TI. Un marco bien desarrollado garantiza que una organización haga lo siguiente:
Una solución de seguridad es tan fuerte como su enlace más débil. Por lo tanto, debe considerar varias capas de controles de seguridad (lo que también se conoce como una estrategia de defensa en profundidad) para implementar controles de seguridad en la administración de identidades y accesos, datos, aplicaciones, infraestructura de red o servidor, seguridad física e inteligencia de seguridad.
Una evaluación de controles de seguridad es un primer paso excelente para determinar dónde existen vulnerabilidades. Una evaluación de controles de seguridad le permite evaluar los controles que tiene actualmente y determinar si se implementan correctamente, funcionan según lo previsto y cumplen con sus requisitos de seguridad. El NIST creó la publicación especial NIST 800-53 como test de referencia para las evaluaciones de control de seguridad exitosas. Las directrices del NIST sirven como un enfoque de buenas prácticas que, cuando se aplican, pueden ayudar a mitigar el riesgo de un riesgo de seguridad para su organización. Como alternativa, su organización también puede crear su propia evaluación de seguridad.
Algunos pasos clave para crear una evaluación de seguridad son los siguientes:
Obtenga más información sobre cómo evaluar la vulnerabilidad de las aplicaciones y la red de su empresa creando su propia evaluación de seguridad.
IBM Cloud® con Red Hat ofrece seguridad líder en el mercado, escalabilidad empresarial e innovación abierta para liberar todo el potencial de la nube y la IA.
En su 17ª edición, el informe "Coste de una filtración de datos 2022" comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
Descubra qué son los ataques DDoS, cómo funcionan y cómo afectan a las aplicaciones y a la experiencia del usuario.