Controles de seguridad y sus tipos
En el ámbito de la seguridad se usa mucho el término de control; por lo que en el siguiente artículo vamos a hablar de controles de seguridad, sus tipos, concepto, y ejemplos.
Todos buscamos proteger lo que más necesitamos o valoramos, y debemos hacernos la pregunta: ¿Qué queremos proteger?
La respuesta puede ser tan simple o compleja conforme a la perspectiva usada, sea biológica, espiritual, conceptual, e informática, entre otras. Por ejemplo: nuestra vida, personas, familia, dinero, posesiones, sistemas, información, una fórmula secreta, entre otros; pero al final, todo depende del valor que tengan dichos elementos para nosotros. A esto que posee valor, se le denomina activo y para cuidarlos se aplican medidas de seguridad llamadas controles.
¿QUÉ SON LOS CONTROLES?
Cuando hablamos de controles hay que hablar también de activo, vulnerabilidad, amenaza, impacto, probabilidad, y riesgo, que resumo como: Activo: Un elemento que posee valor, Vulnerabilidad: Debilidad de un activo, Amenaza: Factor que puede afectar negativamente a un activo (sea por vulnerabilidad o degradación), Impacto: Daño o consecuencia negativa, Probabilidad: Medida estadística de ocurrencia de un evento, Riesgo: Combinación de probabilidad e impacto (generalmente Probabilidad x Impacto).
Los controles también son llamados como salvaguardas, medidas de seguridad, o contramedidas. Todo control busca proteger, evitar y/o actuar en el momento en que les corresponde para mitigar o evitar cualquier riesgo o daño negativo, actuando sobre la probabilidad o el impacto. La regla básica para elegir controles es que “No deben costar más que el valor del activo a proteger”.
En el ámbito de la informática, existen una enorme variedad de controles con diferente alcance, complejidad, eficiencia, eficacia, costo, o momento en el que operan, pero cada uno de ellos existe para proteger. Ningún control puede cubrir el 100% de los riesgos, y la única forma de que un activo no tenga riesgos, es no tener el activo, ya que, por su propia naturaleza, todo activo posee debilidades o vulnerabilidades. Por lo que escoger los controles adecuados y tener controlados los riesgos, son el resultado de conocer los activos, el funcionamiento de la organización o sistema, aplicar una metodología adecuada para analizar riesgos y diseñar adecuadamente la seguridad.
EL ATACANTE O EVASOR
Un atacante o evasor, busca apropiarse de un activo ajeno, causar un daño sobre el mismo o no seguir las normas y controles de un sistema, para obtener un beneficio para sí mismo, sea directa o indirectamente. Cuando un atacante o evasor tiene la intención real de violar la seguridad o afectar negativamente, buscará alternativas para evitar controles hasta que considere que no tiene alternativas, que su persona está en peligro, o hasta lograr su propósito; por lo que tener diferentes combinaciones disminuirá la probabilidad de éxito del atacante o evasor, y en el peor escenario, reducir el daño que cause.
DEFINICIONES ACADÉMICAS Y DEL MERCADO
Las normas y frameworks (marcos de trabajo de seguridad) emplean controles, precisamente para disminuir las probabilidades o impactos de las amenazas, dentro de su propio marco de controles. Como por ejemplo ISO 27001 y su Anexo A, NIST, CIS Controls, entre otras.
ISO 27002:2022 define control como “Una medida que modifica o mantiene el riesgo”. Esta norma los agrupa en Preventivos, Detectivos y Correctivos. Se pueden encontrar 144 controles distribuidos en 18 grupos en su versión 2013 y 93 controles distribuidos en 4 grupos para su versión 2022.
NIST define control como “Una salvaguarda o contramedida prescrita para un sistema de información o una organización diseñada para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir un conjunto de requisitos de seguridad definidos». Este framework los agrupa por las funciones de Identificar, proteger, detectar, responder, recuperar. NIST SP 800-53 cuenta con más de 1.000 controles. Los cuales están muy detallados, pero al ser tan extensos; sirven como guía o base para normas u otros frameworks.
Center of Internet Security define control como “acciones defensivas que pueden ayudar a prevenir los ataques más peligrosos y de mayor alcance, y apoyar el cumplimiento en una era de múltiples marcos”. En su versión 8 cuenta con 153 controles distribuidos en 18 grupos.
Cybersecurity & infrastructure security agency de los Estados Unidos, define control como “Acciones, dispositivos, procedimientos, técnicas u otras medidas que reducen la vulnerabilidad de un sistema de control. Sinónimo de medidas de seguridad y salvaguardias”. 19 grupos de controles principalmente basados en NIST SP 800-53.
La norma más sencilla para aplicar un framework de seguridad como base, sigue siendo ISO 27001 y sus controles se pueden mejorar continuamente por medio del mismo sistema de gestión, evaluando madurez y aplicando controles mas rigurosos como los de los demás frameworks.
TIPOS DE CONTROLES DE SEGURIDAD
CONTROLES BÁSICOS
- Preventivo: De prevenir y actúa sobre la probabilidad.
ISO 27002:2022 define este control como: El control destinado a evitar que se produzca un incidente de seguridad de la información.
Suele ser más económico y efectivo. Se enfoca en evitar que una amenaza o situación se materialice u ocurra.
-
- Una valla, que impide que personas pasen directamente hacia una zona.
- Un firewall, que bloquea conexiones o ciertos ataques hacia una red.
- Un IPS (Intrusion Prevention System), que detecta comportamientos anómalos en la red para detectar intrusiones en los sistemas y los previene al descartar paquetes y desconectar sesiones.
- Control de accesos, que pueden ser físicos o lógicos; pero permiten que accedan únicamente quienes lo tienen permitido.
- Detectivo: De detectar y actúa sobre la probabilidad.
ISO 27002:2022 define este control como: las acciones de control cuando se produce un incidente de seguridad de la información.
Este tipo de control está en funcionamiento constante y emite una alarma o registro de la actividad a monitorear para que luego otro control opere.
-
- Una cámara de vigilancia, que registra la actividad en una zona y puede servir como evidencia, o con un guardia que observa comportamientos inusuales.
- Un sensor de movimiento, que detecta cuando hay movimiento en cierta zona u horario donde no está permitido el acceso.
- Un IDS (Intrusion Detection System), que detecta comportamientos anómalos en la red para detectar intrusiones en los sistemas.
- Un análisis de vulnerabilidades, para detectar vulnerabilidades técnicas en los sistemas.
- Correctivo: De Corregir y actúa sobre el impacto.
ISO 27002:2022 define este control como: los actos de control después de que se produzca un incidente de seguridad de la información.
Suele ser más costoso y difícil de mantener por lo que se debe ser selectivo en tecnologías, activos, estrategia y frecuencia. Suele tener pérdidas de información desde la toma hasta su restauración, y para disminuir esta brecha suele aumentar el costo del control.
Este tipo de control es la última barrera que no busca reducir probabilidad, pero si impacto o el daño causado en caso tal de que una amenaza tenga éxito, sea por evasión o porque controles previos no fueron suficientes.
-
- Una copia de seguridad, respaldo o backup, es el control estrella de este tipo. Si la información fue comprometida o afectada, se puede recuperar la información desde el último respaldo.
- Personal alterno, cuando una persona no puede continuar su labor y esto puede afectar un servicio, una persona que pueda suplir parcial o totalmente puede minimizar el impacto.
- Mitigar/Corregir vulnerabilidad, se toman acciones para reducir vulnerabilidades en los sistemas que hayan sido detectadas o explotadas.
CONTROLES DE SEGURIDAD EXCEPCIONALES
- Disuasivo: De disuadir y actúa sobre la probabilidad.
ISC2 los define como “Controles diseñados para disuadir a las personas de violar las directivas de seguridad”.
Este control excepcional y poco usual que se diseñe o formalice como tal; es el tipo de control más económico que trata de engañar al atacante o evasor, o se gana dejando el control VISIBLE o PERCEPTIBLE con la intención de que el atacante o evasor desista de actuar mal. Por ejemplo, una cámara de vigilancia a la vista provoca que alguien con malas intenciones evite actos indebidos, como robar o atacar, entre otros, o tome medidas para no ser identificado, lo que despierta alertas en otros controles y le supone que sea más difícil cumplir su cometido reduciendo su probabilidad de éxito.
-
- Una cámara de vigilancia en funcionamiento o NO, puede disuadir a un atacante o evasor.
- Un aviso de animales agresivos puede disuadir el ingreso al perímetro.
- Un aviso de cerca eléctrica sea cierto o no; puede disuadir el ingreso al perímetro.
- Señuelo: De engaño.
Este control, aunque es poco usual se usa en organizaciones con suficientes recursos para exponer un objetivo atractivo para un atacante pero que no comprometa la seguridad de la organización o del activo real. La trampa está en que si el atacante, ataca al señuelo, la organización ha implementado medidas para rastrear, conocerlo, saber previamente que hay un ataque en curso, que intentaron atacar o hacer perder tiempo al atacante, permitiéndole a la organización emplear contrainteligencia.
-
- Cámara fuerte fácil de encontrar, vacía.
- Honeypots y honeynets, que son un activo (para honeypot) o una red (honeynet) destinado(s) para ser atacados o comprometidos.
- Compensatorio: ISC2 los define como “Controles implementados para sustituir la pérdida de controles primarios y mitigar el riesgo hasta un nivel aceptable.”
También se usa cuando una norma, regulación o requisito exige un control específico que no se puede implementar sea por limitaciones tecnológicas, de procesos o de costos, entre otras; y por ello se diseña uno o más controles alternativos para complementar de forma indirecta dicho control. El control depende del requisito y análisis del especialista para demostrar que este ayuda a mitigar el riesgo.
Algunos controles proveen las ventajas de más de un tipo de control, por ejemplo:
- Un análisis de riesgos.
- Previene: Amenazas, riesgos, probabilidades, impactos y luego de evaluarlas; ofrecer alternativas para mitigarlos hasta niveles aceptables por la organización sin que cuesten más los controles que los activos.
- Detecta: Durante el análisis de riesgo al evaluarse probabilidades puede identificarse la frecuencia de ocurrencia si es desconocida por el evaluador.
- Antivirus de nueva generación.
- Previene: Evita con cierta probabilidad que un sistema resulte infectado.
- Detecta: Genera alertas cuando detecta un programa maligno (malware).
- Corrige: Desinfecta ficheros.
- Un IPS (Intrusion Prevention System).
- Previene: Descartando paquetes y desconectando sesiones anómalas.
- Detecta: Aplica funciones de IDS al detectar y alertar comportamiento anómalo.
- Una cámara de vigilancia.
- Detecta: Se puede observar comportamiento inusual o violación de la seguridad física.
- Disuade: Si es visible para las personas, el atacante o evasor; podría cambiar sus intenciones y evitar cometer el acto.
- Un guardia preparado corpulento o con armamento visible.
- Previene: Al evitar que se ingresen armas o elementos peligrosos, y al controlar el acceso físico.
- Detecta: Observa su perímetro de vigilancia y detecta eventos peligrosos.
- Disuade: Cuando es visible, aunque no tenga la intención de usar la fuerza o armamento (sólo en casos extremos), un evasor perderá las intenciones de pasar por la fuerza o enfrentarse al guarda.
En Audea, contamos con equipo multidisciplinario y altamente cualificado, para ayudar a proteger a tu organización de las diferentes amenazas que existen en el mundo de la seguridad de la información y ciberseguridad.
Luis Alexander Oviedo Regueros
Senior GRC Consultant.
Fuente de imágenes: