Arquitectura de seguridad de la información

1 Arquitectura de seguridad de la información

La arquitectura de ciberseguridad se refiere al diseño estructural y organizativo de los componentes de seguridad utilizados para proteger los sistemas de información y las redes contra amenazas cibernéticas. Esta arquitectura se basa en principios y mejores prácticas de seguridad, y se construye mediante la implementación de controles, tecnologías y políticas que trabajan en conjunto para asegurar la integridad, confidencialidad y disponibilidad de los activos de información.

La seguridad de la información es un aspecto crítico para cualquier organización en la actualidad. Para garantizar una protección efectiva, se deben tener en cuenta varios componentes clave, como los 13 vectores de ataque y los 27 controles que propone el Consorcio de Seguridad de Sistemas de Información (CIS) y la defensa en profundidad.

La defensa en profundidad es un enfoque de seguridad que implica la implementación de múltiples capas de seguridad en una organización. Estas capas incluyen políticas, procedimientos y concientización, seguridad física, perímetro, red de datos y computadoras, servidores y equipos, aplicaciones, y datos. Cada capa se enfoca en diferentes aspectos de la seguridad y trabaja en conjunto para proteger la organización de amenazas y ataques. El objetivo es establecer una protección integral y estratificada que aborde diversos niveles de riesgo y mitigación de amenazas.

En resumen, una arquitectura de seguridad de la información efectiva debe abordar los vectores de ataque, implementar los 27 controles críticos de seguridad y adoptar el enfoque de defensa en profundidad. Esto garantiza una protección más sólida y robusta de la información y los sistemas de una organización, reduciendo el riesgo de ataques cibernéticos y asegurando la confidencialidad, integridad y disponibilidad de los datos.

2 Segmentación de la red

La arquitectura de seguridad de la información es un enfoque integral para diseñar y implementar medidas de seguridad en una organización. Esta arquitectura se basa en la comprensión de los activos de información, las amenazas y los riesgos asociados, y busca establecer un conjunto de controles y políticas para proteger esos activos de manera efectiva.

Una práctica común en la arquitectura de seguridad de la información es la segmentación de la red corporativa en diferentes zonas o segmentos con el fin de mejorar la seguridad y el control sobre los diferentes tipos de usuarios y servicios. Un ejemplo de segmentación en diferentes zonas podría ser:

1. DMZ (Zona Desmilitarizada): La DMZ es un segmento de red aislado que se coloca entre la red interna de una organización (LAN) y la red externa no confiable (Internet). Esta zona se utiliza para alojar servicios públicos o accesibles desde el exterior, como servidores web, servidores de correo electrónico o servidores de aplicaciones. La segmentación en la DMZ permite controlar y limitar el acceso directo desde Internet a la red interna, protegiendo así los activos internos de la organización.

2. Zona de servicios para usuarios de la LAN: Esta zona se refiere a un segmento de red donde se encuentran los servicios y recursos internos que son utilizados por los usuarios de la red local. Esto puede incluir servidores de archivos, impresoras compartidas, bases de datos internas, entre otros. La segmentación en esta zona permite una mayor protección de estos servicios y una gestión más eficiente de los recursos compartidos internamente.

3. Zona de usuarios: Esta zona se refiere al segmento de red donde se encuentran las estaciones de trabajo y dispositivos de los usuarios finales. Aquí se aplican políticas de seguridad y control de acceso para proteger los dispositivos y la información sensible que se maneja en ellos. La segmentación en esta zona ayuda a evitar la propagación de amenazas y ataques internos, limitando el acceso a recursos sensibles solo a usuarios autorizados.

4. Zona de administradores: Esta zona se reserva para los administradores de red y sistemas que requieren acceso privilegiado para administrar y mantener la infraestructura. Aquí se aplican controles de acceso más estrictos y medidas adicionales de seguridad para evitar el acceso no autorizado. La segmentación en esta zona ayuda a proteger los privilegios de administración y a evitar el acceso no autorizado a sistemas críticos.

5. Zona inalámbrica: Esta zona se refiere a la segmentación de una red inalámbrica separada de la red cableada. La segmentación en esta zona permite una gestión y control más específico de los dispositivos y usuarios que se conectan a través de conexiones inalámbricas, y también ayuda a limitar el acceso a recursos sensibles desde dispositivos móviles o no confiables.

6. Sucursales o personal flotante que se comunica por medio de VPN: En el caso de sucursales o personal que se comunica de forma remota, se puede establecer una conexión VPN (Red Privada Virtual) para garantizar una comunicación segura y cifrada entre la red principal y las ubicaciones remotas. La segmentación a través de VPN permite una extensión segura de la red corporativa a ubicaciones remotas, brindando acceso controlado a los recursos y servicios internos.

Segmentar las redes en diferentes zonas es una práctica clave dentro de la arquitectura de seguridad de la información. Esta segmentación permite un mayor control, protección y gestión de los activos de información, así como una reducción del riesgo de exposición a amenazas internas y externas.

2.a Elementos clave al segmentar la red

Elementos como el firewall, los IDS (Sistemas de Detección de Intrusiones), el protocolo TLS/SSL y los servidores de VPN desempeñan un papel fundamental en la arquitectura de seguridad de la información al proporcionar capas adicionales de protección y fortalecer la seguridad de los sistemas y las comunicaciones. A continuación, se describe cómo cada uno de estos elementos apoya la arquitectura de seguridad:

1. Firewall: El firewall actúa como una barrera de seguridad entre redes, controlando el tráfico entrante y saliente según reglas y políticas predefinidas. Ayuda a proteger la red corporativa al bloquear conexiones no autorizadas, filtrar paquetes maliciosos y prevenir ataques externos. Un firewall puede ser implementado tanto a nivel de red (firewall de red) como a nivel de host (firewall personal).

2. IDS (Sistemas de Detección de Intrusiones): Los IDS son sistemas diseñados para detectar y alertar sobre actividades sospechosas o ataques en la red. Monitorean el tráfico de red en busca de patrones y firmas conocidas de ataques, así como anomalías en el comportamiento de la red. Los IDS pueden ser basados en firmas o basados en comportamiento, y su función es identificar posibles amenazas para que puedan ser investigadas y mitigadas.

3. Protocolo TLS/SSL: El protocolo TLS (Transport Layer Security) o su predecesor SSL (Secure Sockets Layer) proporcionan una capa de cifrado y autenticación para las comunicaciones en línea. Estos protocolos permiten establecer conexiones seguras entre clientes y servidores, protegiendo la confidencialidad e integridad de los datos transmitidos. El uso de TLS/SSL es esencial en aplicaciones web, correo electrónico y otros servicios en línea para asegurar las comunicaciones y prevenir el acceso no autorizado a la información.

4. Servidores de VPN (Redes Privadas Virtuales): Los servidores de VPN permiten establecer conexiones seguras y cifradas entre usuarios remotos y la red corporativa a través de Internet. Esto es especialmente útil para empleados que trabajan de forma remota o sucursales que necesitan acceder a recursos internos de manera segura. El uso de VPN garantiza la confidencialidad de la información transmitida y proporciona un acceso controlado a los recursos de la red corporativa.

Estos elementos, cuando se implementan de manera adecuada y se integran en la arquitectura de seguridad de la información, contribuyen a fortalecer la protección de los activos y datos de una organización. Proporcionan medidas adicionales de seguridad, detección de amenazas y protección de las comunicaciones, permitiendo un entorno más seguro y confiable para la gestión de la información.

3 Los vectores de ataque

Los vectores de ataque son las diferentes formas en que los ciberdelincuentes intentan comprometer la seguridad de una organización. Estos incluyen el phishing, malware, ingeniería social, ataques de fuerza bruta, inyección de SQL, ataques DDoS, interceptación de datos, ataques de sesión falsa, secuestro de DNS, suplantación de identidad, exploits de día cero, ataques de hombre en el medio y espionaje. Cada uno de estos vectores de ataque presenta distintas técnicas y métodos utilizados por los atacantes para acceder a sistemas, robar información o interrumpir servicios.

Nombre del vector	Descripción
Phishing	El phishing es un tipo de ataque que busca engañar a las personas para obtener información confidencial, como contraseñas, números de tarjetas de crédito o información personal. Los atacantes se hacen pasar por entidades legítimas, como bancos o empresas conocidas, y envían correos electrónicos o mensajes falsos que parecen legítimos. Estos mensajes suelen contener enlaces maliciosos que dirigen a páginas web falsas donde se solicita a las víctimas que ingresen su información confidencial. El objetivo principal del phishing es obtener datos sensibles para su uso malintencionado, como robo de identidad o fraudes financieros.
Malware	El malware es un término general que se refiere a software malicioso diseñado para infiltrarse o dañar un sistema informático sin el consentimiento del usuario. El malware puede incluir virus, gusanos, troyanos, ransomware y spyware, entre otros. Estos programas maliciosos pueden infectar sistemas a través de descargas de archivos, correos electrónicos infectados, sitios web comprometidos u otras formas de interacción en línea. Una vez que el malware infecta un sistema, puede robar información, dañar archivos, bloquear el acceso al sistema o permitir el control remoto por parte de los atacantes.
Ingeniería social	La ingeniería social es una técnica de ataque que se basa en la manipulación psicológica de las personas para obtener información confidencial o persuadirlas a realizar acciones no deseadas. Los atacantes utilizan tácticas de persuasión, engaño o manipulación para ganar la confianza de las víctimas y obtener acceso a información valiosa. Esto puede implicar hacerse pasar por alguien de confianza, enviar correos electrónicos engañosos, realizar llamadas telefónicas fraudulentas o utilizar medios sociales para obtener información personal. La ingeniería social es un vector de ataque muy efectivo, ya que se aprovecha de la naturaleza humana y de la confianza que las personas depositan en otros.
Ataque de fuerza bruta	Un ataque de fuerza bruta es un método en el que un atacante intenta descubrir una contraseña o clave secreta probando todas las combinaciones posibles hasta encontrar la correcta. Este tipo de ataque se basa en la fuerza bruta y puede ser automatizado mediante programas o scripts que prueban miles o millones de combinaciones en poco tiempo. Los atacantes utilizan diccionarios de contraseñas comunes, combinaciones predecibles o generan combinaciones aleatorias para intentar acceder a sistemas o cuentas protegidas por contraseñas débiles o fáciles de adivinar. El objetivo es obtener acceso no autorizado a sistemas o cuentas protegidas.
Ataque de inyección de SQL	Un ataque de inyección de SQL es una técnica utilizada por los atacantes para manipular o comprometer una base de datos a través de vulnerabilidades en las aplicaciones web que interactúan con la base de datos mediante consultas SQL. Los atacantes aprovechan estas vulnerabilidades para insertar comandos SQL maliciosos en las entradas de datos de una aplicación y así obtener acceso no autorizado a la base de datos o extraer información confidencial. Esto puede permitir la ejecución de consultas no autorizadas, modificación de datos, eliminación de registros o incluso el control total de la base de datos.
Ataques de Denegación de Servicio Distribuido (DDoS)	Los ataques de Denegación de Servicio Distribuido (DDoS) tienen como objetivo abrumar los recursos de un sistema o red, de modo que no puedan atender las solicitudes legítimas de los usuarios. En un ataque DDoS, los atacantes utilizan una red de dispositivos comprometidos, conocidos como "botnets", para enviar un gran volumen de tráfico malicioso o solicitudes a un objetivo específico. Esto puede provocar una saturación de los recursos de red, como ancho de banda, capacidad de procesamiento o conexiones simultáneas, lo que resulta en una interrupción del servicio para los usuarios legítimos. Los ataques DDoS pueden tener diferentes formas, como inundaciones de tráfico, ataques de amplificación o ataques de agotamiento de recursos.
Ataque de interceptación	Un ataque de interceptación, también conocido como "sniffing", es una técnica en la que un atacante captura y monitorea el tráfico de red para obtener información confidencial, como contraseñas, datos de tarjetas de crédito o mensajes encriptados. Esto se logra mediante la utilización de herramientas o dispositivos especializados que permiten al atacante "escuchar" el tráfico de red y extraer la información relevante. Los ataques de interceptación son especialmente efectivos en redes no seguras o en conexiones no encriptadas, donde el tráfico se transmite en texto plano y puede ser fácilmente capturado y analizado.
Ataques de sesión falsa	Los ataques de sesión falsa, también conocidos como "session hijacking", son ataques en los que un atacante intercepta o toma el control de una sesión de usuario válida. Esto puede ocurrir mediante la obtención de la identificación de sesión de un usuario legítimo, ya sea a través de técnicas de interceptación de tráfico, robo de cookies o explotación de vulnerabilidades en las aplicaciones web. Una vez que el atacante tiene acceso a la identificación de sesión, puede suplantar al usuario legítimo y realizar acciones en su nombre, como acceder a información confidencial, realizar transacciones no autorizadas o modificar datos.
Ataque de secuestro de DNS	Un ataque de secuestro de DNS (Domain Name System) es un tipo de ataque en el que los atacantes redirigen el tráfico de red legítimo a servidores DNS falsos o maliciosos. Esto se logra comprometiendo los servidores DNS o utilizando técnicas de envenenamiento de caché DNS. El objetivo principal de este ataque es redirigir las solicitudes de los usuarios a sitios web falsos o maliciosos, donde los atacantes pueden capturar información confidencial o realizar ataques adicionales, como phishing o inyección de malware. Los ataques de secuestro de DNS pueden tener un impacto significativo en la seguridad y la confidencialidad de las comunicaciones en línea.
Ataque de suplantación de identidad	El ataque de suplantación de identidad, también conocido como "spoofing", es una técnica en la que un atacante se hace pasar por otra entidad legítima para engañar a las víctimas y obtener información confidencial o realizar acciones no autorizadas. Esto puede implicar suplantar direcciones IP, direcciones de correo electrónico, números de teléfono o cualquier otro identificador de entidad confiable. Los ataques de suplantación de identidad pueden utilizarse para realizar phishing, enviar correos electrónicos o mensajes falsos, realizar llamadas telefónicas fraudulentas o engañar a los usuarios para que revelen información personal o realicen acciones no deseadas.
Ataques de exploits de día cero	Los ataques de exploits de día cero se aprovechan de vulnerabilidades de seguridad desconocidas en sistemas, aplicaciones o dispositivos que aún no han sido parcheadas o corregidas por los fabricantes. Los atacantes descubren y aprovechan estas vulnerabilidades antes de que se conozcan públicamente, lo que les permite lanzar ataques dirigidos y obtener acceso no autorizado a sistemas o redes. Estos ataques pueden implicar la ejecución de código malicioso, el robo de información o la toma de control completo del sistema objetivo. Los ataques de exploits de día cero son especialmente peligrosos, ya que las organizaciones no tienen medidas de protección efectivas para defenderse contra ellos.
Ataques de hombre en el medio	Los ataques de hombre en el medio, también conocidos como "man-in-the-middle" (MitM), ocurren cuando un atacante intercepta y se sitúa entre dos partes legítimas que están comunicándose, como un cliente y un servidor. El atacante puede leer, modificar o incluso inyectar información en la comunicación sin que las partes legítimas lo sepan. Este tipo de ataque es posible cuando la comunicación no está protegida adecuadamente con técnicas como el cifrado de extremo a extremo o la autenticación mutua. Los ataques de hombre en el medio pueden permitir al atacante obtener información confidencial, como contraseñas, datos de tarjetas de crédito o mensajes privados.
Ataque de espionaje	El ataque de espionaje es una técnica en la que los atacantes interceptan y recopilan información confidencial sin el conocimiento o consentimiento de las partes afectadas. Estos ataques pueden incluir la monitorización de comunicaciones electrónicas, el acceso no autorizado a sistemas o redes, o la recolección de datos a través de medios físicos, como la instalación de dispositivos de escucha o la obtención de documentos confidenciales. El objetivo principal del espionaje es obtener información valiosa, como secretos comerciales, propiedad intelectual o información estratégica, para beneficio propio o para ser utilizada en actividades ilegales o perjudiciales.

4 Los métodos de defensa

1. Prevenir intrusión: Este método se basa en tomar medidas proactivas para evitar que los atacantes ingresen al sistema. Se utilizan firewalls, sistemas de prevención de intrusiones (IPS), sistemas de detección y prevención de intrusiones (IDPS) y políticas de seguridad sólidas para proteger la red y los sistemas. Estas medidas ayudan a bloquear y filtrar el tráfico no autorizado, así como a controlar y autenticar el acceso a los recursos.

2. Detectar intrusión: Este método se enfoca en identificar y responder a actividades sospechosas o intrusiones en el sistema. Se utilizan herramientas y sistemas de monitoreo de seguridad, como registros de eventos, análisis de tráfico de red y sistemas de detección de anomalías, para identificar patrones y comportamientos anormales que puedan indicar un ataque. La detección temprana permite una respuesta rápida y eficiente para mitigar el impacto de los ataques.

3. Prevención de extracción: Este método se refiere a proteger la información confidencial y evitar su extracción no autorizada. Se utilizan técnicas de encriptación para proteger los datos en tránsito y en reposo, control de acceso basado en roles para restringir el acceso a la información sensible, y políticas de seguridad que definen claramente quién puede acceder y manipular los datos. Además, se pueden implementar soluciones de protección de datos, como el enmascaramiento de datos y la tokenización, para reducir el riesgo de exposición de información confidencial.

4. Prevención de modificación: Este método se centra en garantizar la integridad de los datos, evitando su modificación no autorizada. Se utilizan técnicas como la firma digital, los hashes criptográficos y los controles de acceso para garantizar que los datos no sean alterados de manera indebida. Además, se implementan mecanismos de control de cambios y revisiones para rastrear y auditar cualquier modificación realizada en los datos.

5. Eliminación de intrusión: Este método implica la identificación y eliminación de intrusiones y amenazas después de que se hayan detectado. Se llevan a cabo acciones de respuesta a incidentes, como el aislamiento de sistemas comprometidos, la eliminación de malware, la restauración desde copias de seguridad y la aplicación de parches de seguridad. La eliminación rápida y efectiva de las intrusiones ayuda a minimizar los daños y restaurar la seguridad de los sistemas comprometidos.

6. Prevención de DoS (Denegación de Servicio): Este método se enfoca en proteger los sistemas contra ataques de denegación de servicio que buscan interrumpir o bloquear el acceso legítimo a los recursos. Se implementan medidas como el filtrado de tráfico, la limitación de ancho de banda, la implementación de sistemas de prevención de intrusiones y la configuración adecuada de los servicios y protocolos de red. Estas acciones ayudan a mitigar los efectos de los ataques DoS y mantener la disponibilidad de los sistemas.

La implementación conjunta de estos métodos de defensa, junto con una gestión adecuada de la seguridad de la información, la concientización del personal y la actualización regular de los sistemas, contribuye a fortalecer la postura de seguridad de una organización y protegerla de las amenazas y vulnerabilidades existentes.

5 Defensa en profundidad

El modelo de defensa en profundidad es un enfoque estratégico que tiene como objetivo proteger los activos de una organización mediante la implementación de múltiples capas de seguridad en diferentes niveles. Cada capa brinda protección adicional y actúa como una barrera para prevenir y mitigar los riesgos de seguridad.

1. Activos de misión crítica: Esta capa se enfoca en proteger los activos y recursos más críticos de la organización, como servidores y bases de datos que contienen información sensible. Las actividades incluyen la implementación de controles de acceso estrictos, autenticación sólida, cifrado de datos y medidas de respaldo y recuperación de desastres.

2. Seguridad de datos: Esta capa se centra en garantizar la integridad, confidencialidad y disponibilidad de los datos de la organización. Las actividades incluyen la implementación de políticas de clasificación de datos, cifrado de datos en reposo y en tránsito, control de acceso a los datos y auditorías periódicas de seguridad.

3. Seguridad de aplicaciones: Esta capa se enfoca en proteger las aplicaciones y sistemas utilizados por la organización. Las actividades incluyen el uso de pruebas de seguridad de aplicaciones, parches y actualizaciones regulares, gestión segura de configuraciones y control de acceso basado en roles.

4. Seguridad de puntos finales: Esta capa se refiere a la protección de los dispositivos finales, como computadoras, dispositivos móviles y otros dispositivos utilizados por los empleados. Las actividades se orientan a la reducción de la superficie de ataque e incluyen el uso de software de seguridad, autenticación multifactor, políticas de uso aceptable y control de dispositivos.

5. Seguridad de perímetro y de red: Esta capa se centra en proteger los límites de la red y los puntos de entrada y salida. Las actividades incluyen la implementación de firewalls, sistemas de detección y prevención de intrusiones, filtrado de contenido y segmentación de red.

6. Seguridad física: Esta capa se refiere a la protección física de los activos de la organización, como los centros de datos y las instalaciones. Las actividades incluyen la implementación de controles de acceso físico, videovigilancia, protección contra incendios y políticas de seguridad física.

Actividades transversales:

• PROACTIVAS

  • Gestión de políticas y procedimientos: Implica establecer políticas claras de seguridad, procedimientos y estándares que deben seguirse en toda la organización. Esto incluye la creación, revisión y aplicación de políticas de seguridad, así como la gestión de cambios y la evaluación de riesgos de forma continua.

  • Capacitación y sensibilización de usuarios: Consiste en proporcionar a los empleados la capacitación adecuada en seguridad de la información, concienciación sobre las prácticas seguras y la importancia de proteger los activos de la organización. Esto ayuda a fomentar una cultura de seguridad y a reducir los riesgos asociados con el factor humano.

• REACTIVAS

  • Monitoreo: Esta actividad implica la implementación de sistemas de monitoreo de seguridad que supervisan el tráfico de red, los registros de eventos y otras fuentes de datos en busca de posibles amenazas y anomalías. Con ellos se hace un monitoreo inicial durante un periodo de tiempo establecido y analizándolo con base en la experiencia del operario cuyo resultado se denominará como LA LÍNEA BASE, la cual representará la "normalidad" en la operación de los sistemas de información y los servicios y contra la cual se contrastarán los resultados periódicos que se realicen para detectar "anormalidades". Las actividades de monitoreo se pueden resumir en:

    • Revisión de bitácoras: Consiste en analizar y revisar los registros de eventos generados por sistemas y aplicaciones para identificar posibles actividades sospechosas o anomalías. Estos registros proporcionan información valiosa sobre el uso de los recursos de la organización y pueden ayudar a detectar actividades maliciosas.

    • Verificación del funcionamiento de los servicios: Implica monitorear y asegurar que los servicios y sistemas críticos estén funcionando correctamente. Esto incluye supervisar los indicadores clave de rendimiento (KPIs) y las métricas para identificar posibles problemas o fallos en tiempo real.

    • Detección de intrusos: Se refiere a la identificación y respuesta a intentos no autorizados de acceder a los sistemas y redes de la organización. Esto implica utilizar herramientas y sistemas de detección de intrusiones (IDS) para monitorear y analizar el tráfico de red en busca de patrones y comportamientos sospechosos.

    • Prevención de intrusos: Además de la detección, también se implementan medidas proactivas para prevenir intrusiones en los sistemas. Esto incluye la configuración adecuada de firewalls, sistemas de prevención de intrusiones (IPS) y políticas de acceso que restringen el acceso no autorizado.

    • SIEM (Security Information and Event Management): Es una plataforma que permite recopilar, analizar y correlacionar datos de seguridad de múltiples fuentes en tiempo real. Permite identificar patrones y tendencias, así como detectar actividades anómalas y eventos de seguridad.

    • SOAR (Security Orchestration, Automation, and Response): Consiste en la automatización de tareas y respuestas en la gestión de incidentes de seguridad. Permite agilizar y estandarizar la respuesta a incidentes mediante la implementación de flujos de trabajo automatizados y la integración de herramientas de seguridad.

    • Realización de pruebas de penetración: Implica simular ataques controlados y autorizados a los sistemas y redes de la organización para identificar posibles vulnerabilidades y evaluar la efectividad de las medidas de seguridad existentes. Estas pruebas permiten detectar y corregir brechas de seguridad antes de que sean aprovechadas por atacantes reales.

    • Búsqueda de vulnerabilidades: Consiste en realizar evaluaciones regulares de seguridad para identificar y remediar posibles vulnerabilidades en los sistemas y aplicaciones. Esto incluye el escaneo de puertos, análisis de configuraciones, revisión de códigos y otras técnicas de evaluación para garantizar la integridad y seguridad de la infraestructura tecnológica.

  • Respuesta: Las actividades de reacción en el contexto de la seguridad de la información se centran en la respuesta y recuperación frente a incidentes y en la recopilación de información relevante para investigaciones y análisis forenses. A continuación, se describen algunas de estas actividades:

    • Contención: Consiste en tomar medidas para contener y limitar el alcance de un incidente de seguridad una vez detectado. Esto puede implicar la desconexión de sistemas o segmentos de red comprometidos, el bloqueo de cuentas de usuario comprometidas o la implementación de controles adicionales para evitar una mayor propagación del incidente.

    • Remediación: Se refiere a la corrección de las vulnerabilidades o debilidades que fueron explotadas durante un incidente de seguridad. Esto puede incluir la aplicación de parches de seguridad, la actualización de configuraciones, la eliminación de malware o la restauración de sistemas a un estado seguro.

    • Recuperación: Consiste en restaurar los sistemas y servicios afectados por un incidente de seguridad a un estado operativo normal. Esto implica la recuperación de copias de seguridad, la reconstrucción de sistemas dañados o la restauración de datos perdidos.

    • Recolección de evidencias: Durante un incidente de seguridad, es fundamental recopilar y preservar las evidencias relevantes que puedan ser utilizadas para investigaciones posteriores. Esto puede incluir registros de actividad, archivos comprometidos, capturas de pantalla, registros de eventos y cualquier otro elemento que pueda ayudar a determinar el origen y el impacto del incidente.

    • Análisis forense: Implica examinar y analizar las evidencias recopiladas para comprender cómo se produjo el incidente, identificar al responsable y determinar las acciones realizadas. El análisis forense puede incluir la búsqueda de huellas digitales, el análisis de malware, la reconstrucción de eventos y la correlación de información para obtener una visión completa del incidente.

    • Emisión de alertas, informes o denuncias: Una vez que se ha gestionado y resuelto un incidente de seguridad, es importante generar informes y alertas para informar a las partes interesadas y tomar medidas correctivas. Estos informes pueden incluir detalles sobre el incidente, acciones tomadas, lecciones aprendidas y recomendaciones para evitar incidentes similares en el futuro. En casos más graves, puede ser necesario emitir denuncias a las autoridades competentes.

El modelo de defensa en profundidad busca proporcionar una protección integral y estratificada, donde cada capa complementa a las demás y ayuda a mitigar los diferentes tipos de amenazas y riesgos. Al implementar este modelo, las organizaciones pueden mejorar su resiliencia ante los ataques y aumentar la seguridad general de sus sistemas y datos.

6 Los Controles

Los 27 controles críticos de seguridad de la información, desarrollados por el Consorcio de Seguridad de Sistemas de Información (CIS), son una lista de prácticas recomendadas para proteger la información en una organización. Estos controles abarcan aspectos como la gestión de inventario de hardware y software, configuraciones seguras, control de vulnerabilidades, control de acceso administrativo y de usuarios, seguridad en dispositivos móviles, protección contra malware, control de puertos y servicios de red, restricciones en el uso de aplicaciones, seguridad en correos electrónicos y navegación web, monitorización de actividades de red y sistemas, detección y respuesta ante incidentes de seguridad, protección de datos de usuarios y clientes, control de acceso a recursos de red, autenticación multifactor, seguridad en backups y recuperación de desastres, seguridad en la nube, seguridad en virtualización, seguridad de servicios de terceros, gestión de seguridad de software, protección contra ataques físicos, protección contra ataques de ingeniería social, seguridad en gestión de información, seguridad en gestión de contratos y proveedores, control de sistemas de gestión de identidades, y monitorización y evaluación de seguridad de la información.

Los 27 Controles Críticos están diseñados para ser implementados de manera progresiva y adaptados a las necesidades específicas de cada organización. Proporcionan una guía práctica para fortalecer la postura de seguridad de la información y ayudan a las organizaciones a protegerse contra amenazas y vulnerabilidades comunes.

Es importante tener en cuenta que los controles específicos y su implementación pueden variar según el entorno y los requisitos de la organización. Se recomienda revisar y adaptar los CIS Controls de acuerdo con las circunstancias particulares de cada organización, así como complementarlos con otras buenas prácticas y estándares de seguridad reconocidos.

Número	Nombre	Descripción
Control 1	Inventario de hardware y software	Realizar un inventario completo y actualizado de todos los activos de hardware y software de la organización, lo que incluye servidores, computadoras, dispositivos móviles, aplicaciones y sistemas operativos. Esto permite tener un conocimiento preciso de los recursos de TI y facilita la gestión, monitoreo y seguridad de los mismos.
Control 2	Configuración segura para hardware y software	Establecer y mantener configuraciones seguras para todos los activos de hardware y software de la organización. Esto incluye aplicar actualizaciones de seguridad, configurar adecuadamente los sistemas y dispositivos, desactivar servicios innecesarios y seguir buenas prácticas de seguridad recomendadas por el fabricante.
Control 3	Control continuo de vulnerabilidades	Implementar un proceso de identificación, evaluación y mitigación continua de vulnerabilidades en los activos de la organización. Esto incluye el uso de herramientas de escaneo de vulnerabilidades, parcheo regular, revisión de configuraciones y seguimiento de las actualizaciones de seguridad.
Control 4	Control de acceso administrativo	Limitar y controlar el acceso administrativo a los sistemas y recursos críticos de la organización. Esto implica otorgar privilegios de administrador solo a personal autorizado, implementar autenticación de múltiples factores y registrar y monitorear las actividades de los administradores para prevenir abusos y detectar anomalías.
Control 5	Control de acceso a usuarios	Establecer políticas, procedimientos y tecnologías para gestionar y controlar el acceso de los usuarios a los sistemas y recursos de la organización. Esto incluye la asignación de permisos adecuados, la implementación de autenticación sólida y la revisión periódica de los privilegios de los usuarios para garantizar que solo tengan acceso a lo necesario.
Control 6	Seguridad en los dispositivos móviles y portátiles	Implementar medidas de seguridad para proteger los dispositivos móviles y portátiles utilizados por los empleados de la organización. Esto incluye el uso de contraseñas seguras, encriptación de datos, software de seguridad móvil, restricciones de uso y políticas de borrado remoto en caso de pérdida o robo.
Control 7	Protección contra malware	Implementar soluciones de protección contra malware para prevenir, detectar y mitigar las amenazas de software malicioso en la organización. Esto incluye el uso de software antivirus/antimalware, la configuración de políticas de seguridad, la educación sobre seguridad para los usuarios y la respuesta rápida a incidentes de malware.
Control 8	Control de los puertos y servicios de red	Gestionar y controlar los puertos y servicios de red utilizados en la infraestructura de la organización. Esto implica cerrar los puertos no utilizados, restringir el tráfico innecesario, controlar y auditar los servicios permitidos, y utilizar firewalls y sistemas de detección de intrusos para proteger la red contra amenazas externas y ataques.
Control 9	Restricciones en el uso de aplicaciones	Establecer políticas y configuraciones que limiten la instalación y ejecución de aplicaciones no autorizadas en los sistemas de la organización. Esto incluye bloquear o restringir el uso de software no aprobado, implementar mecanismos de control de ejecución de aplicaciones y educar a los usuarios sobre las prácticas seguras relacionadas con la descarga y ejecución de software.
Control 10	Seguridad en los correos electrónicos y navegación web	Implementar medidas de seguridad para proteger los sistemas y usuarios contra amenazas asociadas con el correo electrónico y la navegación web. Esto incluye el uso de soluciones de filtrado de correo no deseado, protección contra phishing y malware, educación de los usuarios sobre prácticas seguras de correo electrónico y navegación, y la configuración de políticas de seguridad en los navegadores.
Control 11	Seguridad en las aplicaciones	Implementar controles de seguridad en el ciclo de vida de las aplicaciones utilizadas en la organización. Esto implica realizar pruebas de seguridad en el desarrollo y mantenimiento de aplicaciones, mantener actualizaciones de seguridad, revisar el código en busca de vulnerabilidades y seguir las mejores prácticas de seguridad en el desarrollo y la gestión de aplicaciones.
Control 12	Monitorización de las actividades de red y sistemas	Establecer un sistema de monitorización y registro de las actividades de red y sistemas para detectar y responder a eventos y incidentes de seguridad. Esto incluye la implementación de herramientas de monitorización, análisis de registros, alertas de seguridad, correlación de eventos y la capacidad de respuesta adecuada para investigar y mitigar cualquier actividad sospechosa o no autorizada.
Control 13	Detección y respuesta ante incidentes de seguridad	Establecer un proceso y capacidades para la detección temprana, el análisis y la respuesta a incidentes de seguridad en la organización. Esto implica contar con un equipo de respuesta a incidentes, tener políticas y procedimientos claros, utilizar herramientas de detección de intrusiones, llevar a cabo simulacros de incidentes y realizar análisis forenses para identificar el alcance y mitigar los incidentes de seguridad.
Control 14	Protección de datos de usuarios y clientes	Implementar medidas de seguridad para proteger los datos personales y confidenciales de los usuarios y clientes de la organización. Esto incluye el uso de encriptación, políticas de privacidad, acceso restringido a datos sensibles, implementación de prácticas de gestión de datos y cumplimiento de las regulaciones de protección de datos aplicables.
Control 15	Control de acceso a los recursos de red	Establecer controles y políticas para gestionar y controlar el acceso a los recursos de red de la organización. Esto incluye la autenticación de usuarios, la autorización basada en roles, la segmentación de redes, el monitoreo de acceso y el uso de tecnologías como firewalls, VPN y sistemas de detección y prevención de intrusiones para proteger los recursos de red contra accesos no autorizados.
Control 16	Autenticación multifactor	Implementar un sistema de autenticación que requiera más de un factor para verificar la identidad de los usuarios. Esto proporciona un nivel adicional de seguridad al requerir, por ejemplo, una combinación de contraseña, tarjeta inteligente o biometría para acceder a los sistemas y recursos de la organización.
Control 17	Control de la seguridad de los backups y la recuperación de desastres	Implementar controles y procedimientos para garantizar la seguridad de los backups de datos y la capacidad de recuperación de desastres. Esto incluye realizar copias de seguridad periódicas, cifrar los backups, almacenarlos de manera segura, probar regularmente la capacidad de recuperación y tener planes de contingencia para garantizar la disponibilidad y la integridad de los datos en caso de un evento catastrófico.
Control 18	Seguridad en la nube	Implementar medidas de seguridad adecuadas al utilizar servicios de computación en la nube. Esto implica evaluar la seguridad de los proveedores de servicios en la nube, establecer políticas y controles para proteger los datos y sistemas en la nube, asegurar las conexiones y comunicaciones, gestionar las identidades y accesos, y realizar auditorías y monitoreo para garantizar la seguridad en el entorno de la nube.
Control 19	Seguridad en la virtualización	Implementar medidas de seguridad en los entornos de virtualización utilizados por la organización. Esto incluye asegurar las plataformas de virtualización, segmentar los entornos, controlar los accesos y privilegios, proteger las imágenes y plantillas virtuales, y monitorizar la actividad de las máquinas virtuales para evitar violaciones de seguridad o abusos.
Control 20	Control de la seguridad de los servicios de terceros	Establecer controles y realizar una debida diligencia en la selección y gestión de proveedores de servicios externos. Esto implica evaluar los riesgos de seguridad, establecer acuerdos contractuales claros, asegurar el cumplimiento de las políticas y estándares de seguridad, y realizar auditorías periódicas para garantizar que los servicios de terceros cumplan con los requisitos de seguridad de la organización.
Control 21	Gestión de la seguridad del software	Implementar un proceso de gestión de la seguridad del software en la organización. Esto incluye realizar análisis de vulnerabilidades en el software utilizado, aplicar parches y actualizaciones de seguridad, seguir buenas prácticas en el desarrollo de software seguro, utilizar herramientas de prueba de seguridad, y establecer políticas y procedimientos para garantizar la seguridad en el ciclo de vida del software.
Control 22	Protección contra ataques físicos	Establecer medidas de seguridad física para proteger los activos de información de la organización contra amenazas físicas. Esto incluye el control de acceso físico a los edificios y áreas restringidas, el uso de sistemas de vigilancia, la protección de servidores y equipos críticos, la implementación de controles ambientales adecuados, y la seguridad de los medios de almacenamiento físico, como discos duros y cintas.
Control 23	Protección contra ataques de ingeniería social	Implementar medidas de seguridad para prevenir y detectar ataques de ingeniería social. Esto incluye educar a los empleados sobre las técnicas de ingeniería social, establecer políticas y procedimientos para manejar solicitudes y comunicaciones sospechosas, utilizar controles de autenticación fuertes, y realizar pruebas y simulaciones de ataques de ingeniería social para evaluar la resistencia de la organización ante estas amenazas.
Control 24	Seguridad en la gestión de la información	Establecer controles y procedimientos para garantizar la seguridad en la gestión de la información en la organización. Esto incluye la clasificación y etiquetado adecuado de la información, la protección de datos sensibles, la gestión de los registros y archivos, la implementación de políticas de retención y disposición de la información, y el establecimiento de procesos de revisión y aprobación para el acceso y uso de la información.
Control 25	Seguridad en la gestión de contratos y proveedores	Establecer controles y prácticas de seguridad en la gestión de contratos con proveedores externos. Esto implica evaluar la seguridad de los proveedores, establecer requisitos de seguridad en los contratos, gestionar los riesgos asociados a los proveedores, realizar auditorías y evaluaciones periódicas, y establecer un proceso para el manejo de incidentes de seguridad relacionados con proveedores externos.
Control 26	Control de los sistemas de gestión de identidades	Implementar controles y procedimientos para asegurar una gestión adecuada de identidades de usuarios en los sistemas de la organización. Esto incluye establecer políticas de creación y gestión de cuentas de usuario, controlar los privilegios y accesos, utilizar autenticación multifactor, gestionar adecuadamente las contraseñas, y realizar auditorías periódicas para detectar y remediar cualquier riesgo o brecha en la gestión de identidades.
Control 27	Monitorización y evaluación de la seguridad de la información	Establecer un proceso de monitorización y evaluación continua de la seguridad de la información en la organización. Esto implica utilizar herramientas y tecnologías de monitoreo de seguridad, recolectar y analizar registros de eventos, detectar y responder a incidentes de seguridad, evaluar la efectividad de los controles implementados, realizar auditorías internas y externas de seguridad, y mantener un ciclo de mejora continua para garantizar que los controles de seguridad se mantengan adecuados y efectivos en respuesta a las amenazas y vulnerabilidades cambiantes.

7 Créditos y descargo de responsabilidad

Este artículo se ha producido con apoyo de la información proporcionada por ChatGPT, un modelo de lenguaje desarrollado por OpenAI la cual ha sido solicitada, consolidada, verificada y corregida por el autor.

8 Licencia

Arquitectura de seguridad de la información según CIS está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.