cuáles son los tres tipos de controles de seguridad

El laboratorio de tecnología de la información del Instituto Nacional de Normas y Tecnología (NIST) es el responsable de desarrollar el NIST CSF, considerado el marco de ciberseguridad de referencia. La Publicación Especial 800-53 del NIST funciona como una de las directrices de ciberseguridad más avanzadas para que las agencias federales de Estados Unidos mantengan sus sistemas de seguridad de la información. Estas directrices funcionan para proteger la seguridad y la privacidad de los ciudadanos a los que sirven. En el momento de escribir este artículo, el NIST SP 800-53 ha tenido cinco revisiones y está compuesto por más de 1000 controles. Este catálogo de controles de seguridad permite a las agencias del gobierno federal los controles de seguridad y privacidad recomendados para los sistemas de información federales y las organizaciones para proteger contra posibles problemas de seguridad y ataques cibernéticos. Aquí, echaremos un vistazo a las 18 familias de control del NIST 800-53, y daremos una visión general de los requisitos de cada una.

La familia de control AC consiste en requisitos de seguridad que detallan el registro del sistema. Esto incluye quién tiene acceso a qué activos y capacidades de información como la gestión de cuentas, los privilegios del sistema y el registro de acceso remoto para determinar cuándo los usuarios tienen acceso al sistema y su nivel de acceso.

lista de controles de seguridad de la información

Este artículo puede ser confuso o poco claro para los lectores. Por favor, ayude a aclarar el artículo. Puede haber una discusión sobre esto en la página de discusión. (Enero 2012) (Aprende cómo y cuándo eliminar este mensaje de la plantilla)

Los controles de seguridad son salvaguardas o contramedidas para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad para la propiedad física, la información, los sistemas informáticos u otros activos[1] En el ámbito de la seguridad de la información, estos controles protegen la confidencialidad, la integridad y la disponibilidad de la información.

Numerosas normas de seguridad de la información promueven las buenas prácticas de seguridad y definen marcos o sistemas para estructurar el análisis y el diseño para gestionar los controles de seguridad de la información. A continuación se exponen algunas de las normas más conocidas.

Las Normas Federales de Procesamiento de la Información (FIPS) se aplican a todas las agencias gubernamentales estadounidenses. Sin embargo, algunos sistemas de seguridad nacional, bajo el ámbito del Comité de Sistemas de Seguridad Nacional, se gestionan al margen de estas normas.

ejemplos de controles administrativos de seguridad

En pocas palabras, los controles internos son salvaguardias establecidas dentro de una organización que protegen su negocio de los riesgos tecnológicos, financieros, estratégicos y de reputación. En términos de auditoría, los controles internos garantizan que las operaciones de su empresa sigan siendo eficaces y eficientes. Desde la perspectiva de la ciberseguridad, los controles internos protegen a su empresa de los riesgos que pueden comprometer un entorno de tecnología de la información y hay tres tipos principales de controles internos.

El primer paso para establecer controles internos consiste en definir los riesgos contra los que se está protegiendo. Hasta que su organización no entienda completamente cómo quiere posicionarse, dentro de su industria de mercado, será una tarea imposible establecer los objetivos apropiados y mitigar cualquier riesgo empresarial inherente.

La determinación de los objetivos empresariales impulsa los riesgos a los que se enfrenta su organización de la misma manera. Por ejemplo, si una organización participa en el sector financiero, los responsables de la empresa deben examinar las normas y reglamentos que rigen los bancos y otras instituciones financieras para asegurarse de que proporcionan los controles adecuados. En última instancia, una vez que una organización entiende sus objetivos, puede avanzar hacia la definición de los riesgos, y el desarrollo e implementación de controles internos adecuados para mitigarlos.

ejemplos de controles de seguridad de la dirección

La seguridad de gestión es el diseño general de sus controles. A veces denominados controles administrativos, proporcionan la orientación, las normas y los procedimientos para implementar un entorno de seguridad.

La seguridad operativa es la eficacia de sus controles. A veces denominados controles técnicos, incluyen los controles de acceso, la autenticación y las topologías de seguridad aplicadas a las redes, los sistemas y las aplicaciones.

La seguridad física es la protección del personal, los datos, el hardware, etc., frente a las amenazas físicas que podrían perjudicar, dañar o interrumpir las operaciones de la empresa o afectar a la confidencialidad, integridad o disponibilidad de los sistemas y/o datos.

Un programa eficaz de seguridad de la información incluye controles de cada área.    Los controles se seleccionan en función de la determinación del riesgo por parte de la organización y de la forma en que ésta decida abordar cada riesgo.    Para un riesgo dado, se pueden aplicar controles de una o más de estas áreas.    Por ejemplo, una organización puede identificar el riesgo de acceso no autorizado a datos sensibles almacenados en un servidor de base de datos interno.    La organización podría entonces aplicar controles de seguridad física para restringir el acceso al edificio, controles de seguridad operacional para prevenir y detectar el acceso no autorizado al servidor, y controles de seguridad de gestión para definir quién está autorizado a acceder a los datos.    El riesgo es único para cada organización, por lo que los controles diseñados para abordar un riesgo determinado también serán únicos.

admin

Por admin

Esta web utiliza cookies propias para su correcto funcionamiento. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad