Controles ambientales y controles de acceso fisico - seguridad física
Los 20 Controles de Seguridad Críticos
-
Upload
arturo-mendez -
Category
Documents
-
view
222 -
download
1
description
Transcript of Los 20 Controles de Seguridad Críticos
![Page 1: Los 20 Controles de Seguridad Críticos](https://reader035.fdocuments.ec/reader035/viewer/2022071703/563db93a550346aa9a9b4f36/html5/thumbnails/1.jpg)
Los 20 controles de seguridad críticos
La prevención es lo ideal pero la detección es una necesidad
Para protegerse contra los ataques, las organizaciones deben:
Defender sus redes y sistemas de una variedad de amenazas internas y externas Estar preparados para detectar e impedir daños en el interior de su organización una vez
ésta se ha visto comprometida
Principios fundamentales de un sistema de defensa
El ataque informa a la defensa. Usar el conocimiento de los ataques reales que han comprometido sistemas para construir defensas prácticas y eficaces. Utilizar los controles que detengan los ataques conocidos del mundo real.
Priorización. Invertir primero en aquellos controles que supongan la mayor reducción de riesgo y protección contra las amenazas más peligrosas y que se puedan implementar de forma factible en el entorno de TI actual.
Métricas. Implementar sistemas de medición comunes y acordados que permitan identificar e implementar rápidamente los ajustes necesarios.
Monitorización. Llevar a cabo un seguimiento continuo que permita probar y validar la eficacia de los controles de seguridad implementados.
Automatización. Automatizar, en la medida de lo posible, las defensas de manera que las organizaciones puedan obtener mediciones continuas, fiables y escalables del comportamiento de los controles y las métricas relacionadas
Los 20 controles críticos
Los 20 controles críticos de seguridad son un conjunto recomendado de acciones para la ciberseguridad que proporcionan formas concretas y viables de frustrar los ataques más generalizados http://www.cpni.gov.uk/advice/cyber/Critical-controls/
1. Inventario de dispositivos autorizados y no autorizados2. Inventario de software autorizado y no autorizado3. Configuraciones seguras del hardware y software en dispositivos móviles, PCs, servidores.4. Análisis continuo y eliminación de vulnerabilidades5. Protección anti-malware6. Seguridad del software de aplicación7. Control de dispositivos Wireless8. Capacidades de recuperación de datos9. Análisis de habilidades de seguridad y programas de formación adecuados10. Configuraciones seguras para dispositivos de red como firewalls, routers y switches11. Limitación y control de los puertos de red, protocolos y servicios12. Uso controlado de los privilegios administrativos13. Defensa del perímetro14. Mantenimiento, monitorización y análisis de los logs de auditoría15. Control de acceso basado en la necesidad de conocimiento16. Control y monitorización de las cuentas17. Prevención de pérdida de datos18. Gestión y respuesta a incidencias19. Ingeniería de red segura20. Realización de tests de penetración
![Page 2: Los 20 Controles de Seguridad Críticos](https://reader035.fdocuments.ec/reader035/viewer/2022071703/563db93a550346aa9a9b4f36/html5/thumbnails/2.jpg)
El objetivo de los controles críticos
El objetivo de los controles críticos es:
Proteger los activos críticos, la infraestructura y la organización mediante una protección continua y automatizada.
Reducir los niveles de compromiso, minimizar la necesidad de esfuerzos de recuperación y reducir los costes asociados mediante la monitorización de la infraestructura de tecnología de la información.
Estructura de los controles críticos
Cada control crítico incluye:
Una explicación de cómo los atacantes explotan activamente la ausencia de este control. Un listado de las acciones específicas que las organizaciones están realizando para
implementar, automatizar y medir la efectividad de este control: Quick wins que proporcionen una sólida reducción del riesgo sin realizar grandes cambios
técnicos, en la arquitectura o a nivel de procedimientos y que proporcionen una reducción sustancial y rápida del riesgo en base a los ataques más comunes que sufren la mayoría de las organizaciones.
Medidas de visibilidad y atribución que mejoren los procesos, la arquitectura y las capacidades técnicas de la organización para monitorizar las redes y sistemas, detectar intentos de ataques, localizar puntos de entrada, identificar máquinas ya comprometidas, interrumpir las actividades de los atacantes infiltrados y conseguir información sobre las fuentes de los ataques.
Configuración de la seguridad de la información mejorada para reducir el número o magnitud de las vulnerabilidades de seguridad y mejorar las operaciones de los sistemas informáticos con un enfoque en la protección contra prácticas de seguridad pobres por parte de los administradores de los sistemas y de los usuarios
Sub controles avanzados que utilizan las nuevas tecnologías para proporcionar una máxima seguridad pero que son difíciles de implementar o son más caros que soluciones de seguridad más estándar.
¿Cómo aplicar los controles?
Realizar una evaluación inicial que analice lo ya implementado en la organización y detecte áreas de mejora o carencias respecto a los controles.
Desarrollar un plan de trabajo donde se establezcan diferentes fases de implementación, los controles específicos que se aplicaran en cada fase y la programación de las mismas en función de consideraciones de riesgo empresarial.
Implementar la primera fase. Identificar las herramientas existentes que puedan ser reutilizadas o utilizadas mejor, nuevas herramientas a adquirir, procesos a mejorar y habilidades a desarrollar mediante formación.
Integrar los controles en las operaciones. Focalizarse en el seguimiento continuo, mitigación e integración de nuevos procesos en los sistemas de adquisición y gestión de operaciones.
Revisar el plan de trabajo definido en el paso 2 y actualizar, repetir las fases 3. 4 y 5
http://calidadtic.blogspot.mx/2014/01/los-20-controles-de-seguridad-criticos.html