Gestión y Objetivos de los Controles de Seguridad
Definición de Controles y Contramedidas
En el ámbito de la ciberseguridad, es fundamental comprender la diferencia y el propósito de los controles y las contramedidas como elementos clave en la gestión del riesgo.
Controles de Seguridad
Un control de seguridad es cualquier tipo de salvaguarda, mecanismo o procedimiento implementado de manera proactiva para mitigar el riesgo. Su función es reducir la probabilidad de que una amenaza explote una vulnerabilidad o disminuir el impacto resultante de dicha explotación.
Propósito: Gestión general y preventiva del riesgo.
Alcance: Amplio, diseñado para proteger contra una variedad de amenazas.
Ejemplos:
Técnicos: Firewalls, software antivirus/antimalware, sistemas de detección de intrusiones (IDS).
Administrativos: Políticas de seguridad, programas de capacitación y concienciación, procedimientos de gestión de incidentes.
Físicos: Guardias de seguridad, cerraduras, cámaras de vigilancia (CCTV).
Contramedidas
Una contramedida es un tipo de control altamente específico, implementado de manera reactiva para neutralizar una amenaza o vulnerabilidad particular que ha sido identificada, a menudo después de un incidente.
Propósito: Neutralizar una amenaza específica.
Alcance: Estrecho y dirigido. Son altamente efectivas para su objetivo puntual, pero menos eficientes para la seguridad general.
Ejemplo Práctico:
Tras sufrir un ataque de phishing exitoso que explotó la confianza de los empleados en un formato de correo electrónico específico, una organización implementa una regla de filtrado de correo avanzada (la contramedida) que bloquea o pone en cuarentena automáticamente cualquier mensaje con esas características precisas.
Atributos y Criterios de Evaluación de Controles
Para que un control sea considerado robusto y adecuado, debe evaluarse según varios criterios clave:
Funcionalidad y Eficacia: El control debe realizar la función para la que fue diseñado de manera fiable, consistente y oportuna.
Garantía (Assurance): Es el nivel de confianza en que un control de seguridad es efectivo en su aplicación y no fallará bajo presión.
Análisis de Costo-Beneficio: El beneficio de seguridad proporcionado por un control debe superar su costo de implementación, mantenimiento y operación. Si el costo de mitigar un riesgo es mayor que el impacto potencial del propio riesgo, una organización puede optar por la aceptación del riesgo.
Objetivos de Control y Defensa en Profundidad
Objetivos de Control
Un objetivo de control es una declaración formal del resultado deseado que se pretende alcanzar mediante la implementación de uno o varios controles.
Ejemplo de Objetivo: "Asegurar que solo el personal autorizado pueda acceder a los datos de clientes clasificados como confidenciales".
Controles para lograr el objetivo: Implementación de control de acceso basado en roles (RBAC), autenticación multifactor (MFA) y cifrado de la base de datos.
Estrategia de Defensa en Profundidad (Defense in Depth)
Este es un principio estratégico fundamental que consiste en implementar múltiples capas de controles de seguridad. El objetivo es que, si una capa es vulnerada por un atacante, las capas subsecuentes puedan impedir o retrasar el avance del ataque.
Propiedades Clave:
Independencia: Los controles deben ser independientes. Un fallo en una capa (ej. el firewall perimetral) no debe causar un fallo en cascada que anule las demás capas (ej. la segmentación de la red o los controles de acceso al servidor).
Diversidad: Se deben utilizar controles variados, tanto en funcionalidad (ej. un firewall y un antivirus) como en proveedor. Depender de un único proveedor para todas las soluciones de seguridad crea un único punto de fallo (single point of failure).
Implementación mediante Líneas Base de Seguridad
Una línea base de seguridad (security baseline) es un conjunto estandarizado de controles que establece el nivel mínimo de seguridad para un sistema o entorno. Organizaciones como el NIST publican líneas base recomendadas.
El Principio de Proporcionalidad
La robustez de los controles aplicados debe ser proporcional a la criticidad y sensibilidad del activo que protegen. No es rentable aplicar el mismo nivel de seguridad a un servidor web público que a una base de datos que contiene secretos comerciales.
Proceso de Adaptación de una Línea Base
Las líneas base genéricas rara vez se ajustan perfectamente a una organización específica. Por ello, se deben modificar mediante el siguiente proceso:
Acotación (Scoping): Eliminar controles de la línea base que no son aplicables al entorno. (Ej: quitar controles de seguridad para mainframes si la empresa no los utiliza).
Adaptación (Tailoring): Personalizar o ajustar los controles recomendados para que se alineen con las políticas y el entorno tecnológico de la organización. (Ej: modificar el requisito de longitud de contraseña de 16 a 14 caracteres según la política interna).
Compensación (Compensating): Sustituir un control recomendado por otro que ofrezca un nivel de seguridad similar pero que sea más factible o asequible para la organización.
Complementación (Supplementing): Añadir nuevos controles que no estaban en la línea base original para hacer frente a riesgos específicos del entorno de la organización.
Ciclo de Vida de la Implementación de Controles
El proceso para desplegar una línea base de seguridad de forma efectiva es cíclico:
Seleccionar la línea base apropiada.
Modificar la línea base mediante acotación, adaptación, compensación y complementación.
Publicar la configuración finalizada para su revisión y aprobación.
Implementar los controles en el entorno de producción.
Evaluar y Monitorear continuamente el rendimiento de los controles para asegurar su eficacia y realizar ajustes si es necesario.
Clasificación Funcional de los Controles de Seguridad
Los controles de seguridad se pueden clasificar según su función operativa dentro de una estrategia de defensa. Esta clasificación ayuda a las organizaciones a implementar un enfoque de seguridad por capas (Defensa en Profundidad), abordando el riesgo antes, durante y después de un incidente.
1.0 Controles Preventivos (Preventive Controls)
Estos controles están diseñados para impedir activamente que un incidente de seguridad ocurra. Su objetivo es eliminar o reducir la probabilidad de que una amenaza pueda explotar una vulnerabilidad.
Objetivo: Prevenir el éxito de un ataque.
Ejemplos:
Listas de Control de Acceso (ACLs): Reglas en firewalls y routers que bloquean el tráfico no autorizado.
Hardening de Sistemas: Proceso de configuración segura de un sistema para reducir su superficie de ataque (ej. deshabilitar puertos y servicios innecesarios).
Software Antimalware: Escanea y bloquea la ejecución de código malicioso.
Políticas y Procedimientos (SOPs): Controles administrativos que dictan el comportamiento seguro de los usuarios.
2.0 Controles Detectivos (Detective Controls)
Estos controles están diseñados para identificar, registrar y alertar sobre actividades maliciosas o anómalas, ya sean intentos fallidos o intrusiones exitosas. No previenen el ataque, pero proporcionan la visibilidad necesaria para iniciar una respuesta.
Objetivo: Descubrir un ataque en curso o uno que ya ha ocurrido.
Ejemplos:
Logs y Auditorías: Registros de eventos del sistema, aplicaciones y redes que pueden ser analizados en busca de actividad sospechosa.
Sistemas de Detección de Intrusiones (IDS): Sensores que monitorizan el tráfico de red en busca de patrones de ataque conocidos.
Sistemas de Gestión de Información y Eventos de Seguridad (SIEM): Correlacionan y analizan logs de múltiples fuentes para detectar incidentes.
3.0 Controles Correctivos (Corrective Controls)
Estos controles se activan después de que un incidente ha ocurrido para limitar el daño, remediar los sistemas afectados y restaurar las operaciones a un estado normal y seguro.
Objetivo: Reducir el impacto de un incidente y recuperar los sistemas.
Ejemplos:
Restauración desde Copias de Seguridad (Backups): Recuperar datos y sistemas a un estado previo al incidente.
Gestión de Parches: Aplicar parches de seguridad a una vulnerabilidad que fue explotada.
Planes de Respuesta a Incidentes (IRP): Procedimientos que guían al equipo de seguridad en la erradicación de la amenaza y la recuperación del sistema.
4.0 Controles Físicos (Physical Controls)
Estos controles protegen el acceso físico a las instalaciones, la infraestructura y el hardware de una organización. Son la primera línea de defensa para prevenir el robo, daño o acceso no autorizado a los activos de TI.
Objetivo: Proteger el entorno físico de la organización.
Ejemplos:
Guardias de seguridad y perros guardianes.
Sistemas de videovigilancia (CCTV) y alarmas.
Cerraduras, torniquetes y control de acceso con tarjetas de identificación.
5.0 Controles Disuasorios (Deterrent Controls)
Estos controles tienen un efecto psicológico sobre los potenciales atacantes, desmotivándolos de intentar una intrusión. Su eficacia radica en la percepción del riesgo o del esfuerzo requerido para el atacante.
Objetivo: Desmotivar a un atacante para que no inicie un ataque.
Ejemplos:
Señales de advertencia: Carteles como "Propiedad Privada" o "Zona Videovigilada".
Banners de inicio de sesión: Mensajes que advierten sobre las sanciones legales por el acceso no autorizado a un sistema informático.
6.0 Controles Compensatorios (Compensating Controls)
Estos controles se implementan como una alternativa cuando un control primario recomendado no es factible o es demasiado costoso de aplicar. Deben proporcionar un nivel de protección equivalente o superior, aunque a través de una tecnología o metodología diferente.
Objetivo: Cubrir una brecha de seguridad cuando el control principal no puede ser utilizado.
Ejemplo:
Una organización utiliza un sistema industrial (SCADA) antiguo que no es compatible con software antimalware moderno (control primario). Como control compensatorio, aíslan el sistema en un segmento de red separado (microsegmentación) y monitorizan de forma intensiva todo el tráfico de red que entra y sale de dicho segment
Última actualización