Controles, marcos y cumplimiento controles y marco normativo de la ciberseguridad de google. fuentes tomadas de ciberseguridad de google

Controles, marcos y cumplimiento

Anteriormente, conociste los marcos de seguridad y cómo estos proporcionan un enfoque estructurado para implementar un ciclo de vida de seguridad. Como recordatorio, el ciclo de vida de seguridad consiste en un conjunto de políticas y estándares en constante evolución. En esta lectura, profundizarás en cómo se utilizan los marcos de seguridad, los controles y las regulaciones de cumplimiento, o leyes, de manera conjunta para gestionar la seguridad y garantizar que cada cual cumpla su parte para minimizar el riesgo.

Cómo se relacionan los controles, los marcos y el cumplimiento

La tríada de confidencialidad, integridad y disponibilidad (CID) es una guía que ayuda a las organizaciones a evaluar los riesgos y a  establecer sistemas y políticas de seguridad.

Un triángulo que representa la tríada de confidencialidad, integridad y disponibilidad (CID)

La tríada de CID son los tres principios fundamentales utilizados por las/los profesionales de la ciberseguridad para establecer controles adecuados que mitiguen amenazas, riesgos y vulnerabilidades.

Como recordarás, los controles de seguridad son medidas diseñadas para reducir riesgos específicos de seguridad. Por lo tanto, se utilizan junto con marcos para asegurar que los objetivos y procesos de seguridad se implementen correctamente y que las organizaciones cumplan con los requisitos regulatorios.

En tanto, los marcos de seguridad son pautas utilizadas para elaborar planes que ayuden a mitigar riesgos y amenazas a los datos y la privacidad. Tienen cuatro componentes principales:

  1. Identificación y documentación de objetivos de seguridad 

  2. Establecimiento de pautas para lograr los objetivos de seguridad 

  3. Implementación de procesos de seguridad sólidos

  4. Supervisión y comunicación de resultados

Finalmente, el cumplimiento normativo, o compliance, es el proceso de adhesión a reglamentos internos y regulaciones externas.

Controles específicos, marcos y cumplimiento

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia con sede en los Estados Unidos que desarrolla varios marcos de cumplimiento voluntario que las organizaciones de todo el mundo pueden utilizar para ayudar a gestionar el riesgo. Cuanto más alineada al cumplimiento esté una organización, menor será el riesgo.

Entre los ejemplos de marcos que se presentaron anteriormente se encuentran el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y el Marco de Gestión de Riesgos (RMF) del NIST. 

Ten en cuenta que las especificaciones y pautas pueden variar según el tipo de organización para la que trabajes.

Además del Marco de Ciberseguridad del NIST y el Marco de Gestión de Riesgos (RMF) del NIST, existen varios otros controles, marcos y normas de cumplimiento con los que es importante que las/los profesionales de seguridad se familiaricen, para contribuir a mantener seguras a las organizaciones y a las personas a las que brindan servicio.

La Comisión Federal de Regulación de Energía - Corporación de Confiabilidad Eléctrica América del Norte (FERC-NERC)

La FERC-NERC es una regulación que se aplica a las organizaciones que trabajan con electricidad o que están involucradas con la red eléctrica de los Estados Unidos y América del Norte. Este tipo de organizaciones tienen la obligación de prepararse, mitigar y reportar cualquier incidente de seguridad potencial que pueda afectar negativamente a la red eléctrica. También están legalmente obligadas a cumplir con los Estándares de Confiabilidad de Protección de Infraestructura Crítica (CIP) definidos por la FERC. 

Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP®)

El FedRAMP es un programa del gobierno federal de los Estados Unidos que estandariza la evaluación, autorización, monitoreo y gestión de seguridad de los servicios en la nube y las ofertas de productos. Su objetivo es proporcionar consistencia en todo el sector gubernamental y proveedores de servicios en la nube de terceros. 

Centro de Seguridad en Internet  (CIS®)

El CIS es una organización sin fines de lucro que se enfoca en múltiples áreas. Proporciona un conjunto de controles que pueden utilizarse para proteger sistemas y redes contra ataques. Su objetivo es ayudar a las organizaciones a establecer un mejor plan de defensa. Además, el CIS proporciona controles aplicables que las/los profesionales de seguridad pueden seguir ante un eventual incidente de seguridad. 

Reglamento General de Protección de Datos (RGPD)

El RGPD es una normativa general de datos de la Unión Europea (UE) que protege el procesamiento de los datos de sus residentes y su derecho a la privacidad dentro y fuera del territorio. Por ejemplo, si una organización no es transparente en relación con los datos que posee sobre un/a ciudadano/a de la UE o la razón por la que los tiene, esto constituye una infracción que puede resultar en  una multa para la organización. Además, si se produce una filtración y los datos de una persona se ven comprometidos, este debe ser informado. La organización afectada tiene 72 horas para notificarla sobre esta situación.

Estándares de seguridad de datos del sector de las tarjetas de pago (PCI DSS)

PCI DSS es un estándar de seguridad internacional destinado a garantizar que las organizaciones que almacenan, aceptan, procesan y transmiten información de tarjetas de crédito lo hagan en un entorno seguro. El objetivo de esta norma es reducir el fraude con tarjetas de crédito. 

Ley de Transferencia y Responsabilidad de los Seguros Médicos (HIPAA)

La HIPAA es una ley federal de los Estados Unidos establecida en 1996 para proteger la información médica de las personas. Esta ley prohíbe que la información de un/una paciente sea compartida sin su consentimiento. Se rige por tres reglas: 

  1. Privacidad

  2. Seguridad 

  3. Notificación de filtraciones 

Las organizaciones que almacenan datos de pacientes tienen la obligación legal de informarles en caso de que ocurra una violación de seguridad, ya que la exposición de la Información Médica Protegida (PHI) de las/ los pacientes puede conducir al robo de identidad y al fraude de seguros. La PHI se refiere a la información relacionada con la salud física o mental pasada, presente o futura de una persona, ya sea un plan de atención o pagos por la atención. Además de comprender la HIPAA como una ley, las/los profesionales de la seguridad también deben familiarizarse con la Alianza de Confianza de Información de Salud (HITRUST®), que es un marco de seguridad y un programa de garantía que ayuda a las instituciones a cumplir con la HIPAA.

Organización Internacional para la Normalización (ISO) 

La ISO fue creada para establecer estándares internacionales relacionados con la tecnología, la fabricación y la gestión en todo el mundo. Ayuda a las organizaciones a mejorar sus procesos y procedimientos en cuanto a retención del personal,  planificación, gestión de residuos y servicios. 

Controles de Sistemas y Organizaciones (SOC tipo 1, SOC tipo 2)

Este estándar fue desarrollado por la junta de normas de auditoría del Instituto Americano de Contables Públicos Certificados® (AICPA). Los informes SOC1 y SOC2 se enfocan en las políticas de acceso de los/as usuarios/as de una organización en diferentes niveles, tales como: 

  • Asociado/a

  • Supervisor/a

  • Gerente/a

  • Ejecutivo/a

  • Proveedor/a

  • Otros 

Estos informes se utilizan para evaluar el cumplimiento financiero de una organización, así como los niveles de riesgo asociados. También abordan aspectos críticos como la confidencialidad, privacidad, integridad, disponibilidad, seguridad y la seguridad general de los datos. Es importante destacar que cualquier falla en el control de estos aspectos puede resultar en posibles fraudes.

Consejo profesional: Existen numerosas regulaciones que se revisan con frecuencia. Te recomendamos mantenerte al día con los cambios y explorar más marcos, controles y normas de cumplimiento. Dos sugerencias para investigar: la Ley Gramm-Leach-Bliley y la Ley Sarbanes-Oxley.

Orden Ejecutiva Presidencial de los Estados Unidos 14028

El 12 de mayo de 2021, el presidente de los Estados Unidos Joe Biden emitió una orden ejecutiva con el objetivo de mejorar la ciberseguridad de la nación y hacer frente al aumento de la actividad de quienes perpetran amenazas. Esta medida tiene como objetivo principal abordar y solucionar las vulnerabilidades presentes en las agencias federales y en terceros vinculados a la infraestructura crítica de los Estados Unidos. Para obtener más información, revisa la Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación.

Conclusiones clave

En esta lectura, has conocido más acerca de los controles, los marcos y el cumplimiento regulatorio. También, has aprendido cómo estos elementos trabajan en conjunto para ayudar a las organizaciones a mantener un nivel de riesgo bajo.

Como analista de seguridad, es importante mantenerse al día con los marcos de referencia, controles y normativas de cumplimiento más habituales y estar al tanto de los cambios que se presentan en el panorama de la ciberseguridad. Esto permite  ayudar a garantizar la seguridad tanto de las organizaciones como de las personas.

 

Comentarios

Publicar un comentario

Entradas más populares de este blog

La Importancia de la Selección Genética en la Producción Avícola

  La Importancia de la Selección Genética en la Producción Avícola Introducción La selección genética en la avicultura es un proceso fundamental para mejorar la eficiencia de la producción de pollos de engorde y ponedoras. A través de la aplicación de técnicas de mejoramiento genético, se pueden optimizar rasgos como la tasa de crecimiento, la conversión alimenticia, la resistencia a enfermedades y la calidad de la carne o los huevos. Este artículo investiga la importancia de la selección genética en la avicultura moderna y su impacto en la seguridad alimentaria y la sostenibilidad del sector. Fundamentos de la Selección Genética en Pollos La selección genética se basa en la identificación y reproducción de aves con características deseables. Para ello, se analizan parámetros como: Tasa de crecimiento : Se seleccionan aves con una ganancia de peso rápida y eficiente. Conversión alimenticia : Pollos que requieren menos alimento para producir una cantidad determinada de carne o huevo...
Leer más

Análisis de viabilidad económica y sostenibilidad de la crianza, incubación y alimentación de gallinas ponedoras para un consumo saludable en venta Bogotá, Colombia

Imagen
  Proyecto Análisis de viabilidad económica y sostenibilidad de la crianza, incubación y alimentación de gallinas ponedoras para un consumo saludable en venta Bogotá, Colombia 1. Resumen Ejecutivo Este proyecto evalúa la viabilidad económica y sostenibilidad de la crianza, incubación y alimentación de gallinas ponedoras con venta en Bogotá. Con el aumento de la demanda de huevos y gallinas criollas como fuente de proteína saludable, se busca determinar los costos, ingresos y márgenes de ganancia para inversionistas interesados. El análisis incluye un enfoque en prácticas sostenibles, proyecciones económicas y recomendaciones para optimizar el retorno de inversión. 2. Justificación El huevo y la gallina criolla es un alimento de alta demanda en Colombia, especialmente en Bogotá, Cali, Medellín, entre otras, donde su consumo per cápita sigue en aumento. Este proyecto responde a la necesidad de ofrecer soluciones económicamente viables para inversionistas interes...
Leer más

Ventajas y Desventajas de los Proyectos Avícolas en el Campo Colombiano

  Ventajas y Desventajas de los Proyectos Avícolas en el Campo Colombiano Introducción La avicultura en Colombia es una de las industrias más dinámicas dentro del sector agropecuario. Según la Federación Nacional de Avicultores de Colombia (FENAVI), el país produce más de 1,6 millones de toneladas de carne de pollo al año y más de 14.000 millones de huevos. Esto demuestra la importancia de la producción avícola en la seguridad alimentaria y la economía nacional. Sin embargo, implementar proyectos avícolas en el campo colombiano conlleva múltiples desafíos y oportunidades, especialmente cuando se integran nuevas tecnologías y modelos sostenibles. Ventajas de los Proyectos Avícolas en Colombia 1. Alta Demanda del Mercado El consumo de pollo y huevo en Colombia sigue en crecimiento. En 2023, el consumo per cápita de pollo fue de aproximadamente 37 kg, mientras que el consumo de huevo alcanzó los 325 huevos por persona al año. Esto hace que la avicultura sea una inversión rentable y co...
Leer más