Controles, marcos y cumplimiento
Anteriormente, conociste los marcos de seguridad y cómo estos proporcionan un enfoque
estructurado para implementar un ciclo de vida de seguridad. Como recordatorio, el ciclo de
vida de seguridad consiste en un conjunto de políticas y estándares en constante evolución.
En esta lectura, profundizarás en cómo se utilizan los marcos de seguridad, los controles y las
regulaciones de cumplimiento, o leyes, de manera conjunta para gestionar la seguridad y
garantizar que cada cual cumpla su parte para minimizar el riesgo.
Cómo se relacionan los controles, los marcos y el
cumplimiento
La tríada de confidencialidad, integridad y disponibilidad (CID) es una guía que ayuda a las
organizaciones a evaluar los riesgos y a establecer sistemas y políticas de seguridad.
Un triángulo que representa la tríada de confidencialidad, integridad y disponibilidad (CID)
La tríada de CID son los tres principios fundamentales utilizados por las/los profesionales de la
ciberseguridad para establecer controles adecuados que mitiguen amenazas, riesgos y
vulnerabilidades.
Como recordarás, los controles de seguridad son medidas diseñadas para reducir riesgos
específicos de seguridad. Por lo tanto, se utilizan junto con marcos para asegurar que los
objetivos y procesos de seguridad se implementen correctamente y que las organizaciones
cumplan con los requisitos regulatorios.
En tanto, los marcos de seguridad son pautas utilizadas para elaborar planes que ayuden a
mitigar riesgos y amenazas a los datos y la privacidad. Tienen cuatro componentes
principales:
� 1. Identificación y documentación de objetivos de seguridad
2. Establecimiento de pautas para lograr los objetivos de seguridad
3. Implementación de procesos de seguridad sólidos
4. Supervisión y comunicación de resultados
Finalmente, el cumplimiento normativo, o compliance, es el proceso de adhesión a
reglamentos internos y regulaciones externas.
Controles específicos, marcos y cumplimiento
El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia con sede en los
Estados Unidos que desarrolla varios marcos de cumplimiento voluntario que las
organizaciones de todo el mundo pueden utilizar para ayudar a gestionar el riesgo. Cuanto
más alineada al cumplimiento esté una organización, menor será el riesgo.
Entre los ejemplos de marcos que se presentaron anteriormente se encuentran el Marco de
Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y el Marco de
Gestión de Riesgos (RMF) del NIST.
Ten en cuenta que las especificaciones y pautas pueden variar según el tipo de organización
para la que trabajes.
Además del Marco de Ciberseguridad del NIST y el Marco de Gestión de Riesgos (RMF) del
NIST, existen varios otros controles, marcos y normas de cumplimiento con los que es
importante que las/los profesionales de seguridad se familiaricen, para contribuir a mantener
seguras a las organizaciones y a las personas a las que brindan servicio.
La Comisión Federal de Regulación de Energía - Corporación de Confiabilidad Eléctrica América
del Norte (FERC-NERC)
La FERC-NERC es una regulación que se aplica a las organizaciones que trabajan con
electricidad o que están involucradas con la red eléctrica de los Estados Unidos y América del
Norte. Este tipo de organizaciones tienen la obligación de prepararse, mitigar y reportar
cualquier incidente de seguridad potencial que pueda afectar negativamente a la red eléctrica.
También están legalmente obligadas a cumplir con los Estándares de Confiabilidad de
Protección de Infraestructura Crítica (CIP) definidos por la FERC.
Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP®)
El FedRAMP es un programa del gobierno federal de los Estados Unidos que estandariza la
evaluación, autorización, monitoreo y gestión de seguridad de los servicios en la nube y las
ofertas de productos. Su objetivo es proporcionar consistencia en todo el sector
gubernamental y proveedores de servicios en la nube de terceros.
Centro de Seguridad en Internet (CIS®)
El CIS es una organización sin fines de lucro que se enfoca en múltiples áreas. Proporciona
un conjunto de controles que pueden utilizarse para proteger sistemas y redes contra ataques.
Su objetivo es ayudar a las organizaciones a establecer un mejor plan de defensa. Además, el
CIS proporciona controles aplicables que las/los profesionales de seguridad pueden seguir
ante un eventual incidente de seguridad.
�Reglamento General de Protección de Datos (RGPD)
El RGPD es una normativa general de datos de la Unión Europea (UE) que protege el
procesamiento de los datos de sus residentes y su derecho a la privacidad dentro y fuera del
territorio. Por ejemplo, si una organización no es transparente en relación con los datos que
posee sobre un/a ciudadano/a de la UE o la razón por la que los tiene, esto constituye una
infracción que puede resultar en una multa para la organización. Además, si se produce una
filtración y los datos de una persona se ven comprometidos, este debe ser informado. La
organización afectada tiene 72 horas para notificarla sobre esta situación.
Estándares de seguridad de datos del sector de las tarjetas de pago (PCI DSS)
PCI DSS es un estándar de seguridad internacional destinado a garantizar que las
organizaciones que almacenan, aceptan, procesan y transmiten información de tarjetas de
crédito lo hagan en un entorno seguro. El objetivo de esta norma es reducir el fraude con
tarjetas de crédito.
Ley de Transferencia y Responsabilidad de los Seguros Médicos (HIPAA)
La HIPAA es una ley federal de los Estados Unidos establecida en 1996 para proteger la
información médica de las personas. Esta ley prohíbe que la información de un/una paciente
sea compartida sin su consentimiento. Se rige por tres reglas:
1. Privacidad
2. Seguridad
3. Notificación de filtraciones
Las organizaciones que almacenan datos de pacientes tienen la obligación legal de
informarles en caso de que ocurra una violación de seguridad, ya que la exposición de la
Información Médica Protegida (PHI) de las/ los pacientes puede conducir al robo de identidad y
al fraude de seguros. La PHI se refiere a la información relacionada con la salud física o
mental pasada, presente o futura de una persona, ya sea un plan de atención o pagos por la
atención. Además de comprender la HIPAA como una ley, las/los profesionales de la
seguridad también deben familiarizarse con la Alianza de Confianza de Información de Salud
(HITRUST®), que es un marco de seguridad y un programa de garantía que ayuda a las
instituciones a cumplir con la HIPAA.
Organización Internacional para la Normalización (ISO)
La ISO fue creada para establecer estándares internacionales relacionados con la tecnología,
la fabricación y la gestión en todo el mundo. Ayuda a las organizaciones a mejorar sus
procesos y procedimientos en cuanto a retención del personal, planificación, gestión de
residuos y servicios.
Controles de Sistemas y Organizaciones (SOC tipo 1, SOC tipo 2)
Este estándar fue desarrollado por la junta de normas de auditoría del Instituto Americano de
Contables Públicos Certificados® (AICPA). Los informes SOC1 y SOC2 se enfocan en las
políticas de acceso de los/as usuarios/as de una organización en diferentes niveles, tales
como:
� Asociado/a
Supervisor/a
Gerente/a
Ejecutivo/a
Proveedor/a
Otros
Estos informes se utilizan para evaluar el cumplimiento financiero de una organización, así
como los niveles de riesgo asociados. También abordan aspectos críticos como la
confidencialidad, privacidad, integridad, disponibilidad, seguridad y la seguridad general de los
datos. Es importante destacar que cualquier falla en el control de estos aspectos puede
resultar en posibles fraudes.
Consejo profesional: Existen numerosas regulaciones que se revisan con frecuencia. Te
recomendamos mantenerte al día con los cambios y explorar más marcos, controles y normas
de cumplimiento. Dos sugerencias para investigar: la Ley Gramm-Leach-Bliley y la Ley
Sarbanes-Oxley.
Orden Ejecutiva Presidencial de los Estados
Unidos 14028
El 12 de mayo de 2021, el presidente de los Estados Unidos Joe Biden emitió una orden
ejecutiva con el objetivo de mejorar la ciberseguridad de la nación y hacer frente al aumento
de la actividad de quienes perpetran amenazas. Esta medida tiene como objetivo principal
abordar y solucionar las vulnerabilidades presentes en las agencias federales y en terceros
vinculados a la infraestructura crítica de los Estados Unidos. Para obtener más información,
revisa la Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación.
Conclusiones clave
En esta lectura, has conocido más acerca de los controles, los marcos y el cumplimiento
regulatorio. También, has aprendido cómo estos elementos trabajan en conjunto para ayudar
a las organizaciones a mantener un nivel de riesgo bajo.
Como analista de seguridad, es importante mantenerse al día con los marcos de referencia,
controles y normativas de cumplimiento más habituales y estar al tanto de los cambios que se
presentan en el panorama de la ciberseguridad. Esto permite ayudar a garantizar la seguridad
tanto de las organizaciones como de las personas.
�Opción 1: Tu ejemplo puede estar relacionado con un entorno laboral, académico o
voluntario, y debe enfocarse en un momento en el que elegiste tomar un camino ético de
acción.
Para este tema de debate, ten en cuenta lo siguiente:
¿Cuál era la situación?
¿Cómo usaste la ética para tomar esa decisión?
¿Cuál fue el impacto o resultado de tu decisión?
Opción 2: Tu ejemplo puede estar relacionado con un entorno laboral, académico o
voluntario, y debe enfocarse en un momento en el que otra persona eligió tomar un camino
ético de acción.
Para este tema de debate, ten en cuenta lo siguiente:
¿Cuál era la situación?
¿Cómo usó esa persona la ética para tomar esa decisión?
¿Cuál fue el impacto o resultado de la decisión de esa persona?
Términos y definiciones del curso 1, semana 3
Activo: Elemento percibido como valioso para una organización.
Arquitectura de seguridad: Tipo de diseño de seguridad compuesto por múltiples
herramientas y procesos, que se utiliza para proteger a una organización de los riesgos y
amenazas externas.
Confidencialidad: Propiedad según la cual únicamente las personas autorizadas pueden
acceder a activos o datos específicos.
Controles de seguridad: Pautas diseñadas para abordar y eliminar riesgos de seguridad
específicos, como la alteración o la eliminación de información de perfiles, entre otros.
Disponibilidad: Principio según el cual los datos son accesibles para las personas
autorizadas a utilizarlos.
Ética de la seguridad: Pautas para tomar decisiones apropiadas como profesional de la
seguridad.
Gobernanza de seguridad: Prácticas que ayudan a apoyar, definir y dirigir los esfuerzos
de seguridad de una organización.
�Hacktivista: Persona que utiliza el hacking para lograr objetivos políticos.
Información médica protegida (PHI por sus siglas en inglés): Cualquier información
relacionada con la salud, o la condición física o mental pasada, presente o futura de una
persona.
Integridad: Cualidad que identifica a los datos como correctos, auténticos y confiables.
Ley de Transferencia y Responsabilidad de los Seguros Médicos (HIPAA): Ley federal
de los Estados Unidos establecida para proteger la información de salud de los pacientes.
Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST
por sus siglas en inglés): Marco de adhesión voluntaria creado en los Estados Unidos, que
incluye estándares, pautas y prácticas recomendadas para gestionar los riesgos de
ciberseguridad.
Marcos de seguridad: Pautas utilizadas para crear planes que ayuden a mitigar el riesgo y
las amenazas a los datos y la privacidad.
Open Web Application Security Project (OWASP): Organización sin fines de lucro
centrada en mejorar la seguridad de software.
Protección de la privacidad: Acto de proteger la información personal de usos no
autorizados.
Tríada de confidencialidad, integridad y disponibilidad (CID): Guía que ayuda a las
organizaciones a evaluar los riesgos y establecer sistemas y políticas de seguridad.
