3
Los 20 controles de seguridad críticos La prevención es lo ideal pero la detección es una necesidad Para protegerse contra los ataques, las organizaciones deben: Defender sus redes y sistemas de una variedad de amenazas internas y externas Estar preparados para detectar e impedir daños en el interior de su organización una vez ésta se ha visto comprometida Principios fundamentales de un sistema de defensa El ataque informa a la defensa. Usar el conocimiento de los ataques reales que han comprometido sistemas para construir defensas prácticas y eficaces. Utilizar los controles que detengan los ataques conocidos del mundo real. Priorización. Invertir primero en aquellos controles que supongan la mayor reducción de riesgo y protección contra las amenazas más peligrosas y que se puedan implementar de forma factible en el entorno de TI actual. Métricas. Implementar sistemas de medición comunes y acordados que permitan identificar e implementar rápidamente los ajustes necesarios. Monitorización. Llevar a cabo un seguimiento continuo que permita probar y validar la eficacia de los controles de seguridad implementados. Automatización. Automatizar, en la medida de lo posible, las defensas de manera que las organizaciones puedan obtener mediciones continuas, fiables y escalables del comportamiento de los controles y las métricas relacionadas Los 20 controles críticos Los 20 controles críticos de seguridad son un conjunto recomendado de acciones para la ciberseguridad que proporcionan formas concretas y viables de frustrar los ataques más generalizados http://www.cpni.gov.uk/advice/cyber/Critical-controls/ 1. Inventario de dispositivos autorizados y no autorizados 2. Inventario de software autorizado y no autorizado 3. Configuraciones seguras del hardware y software en dispositivos móviles, PCs, servidores. 4. Análisis continuo y eliminación de vulnerabilidades 5. Protección anti-malware 6. Seguridad del software de aplicación 7. Control de dispositivos Wireless

Los 20 Controles de Seguridad Críticos

Embed Size (px)

DESCRIPTION

Tecnologías de la Información

Citation preview

Page 1: Los 20 Controles de Seguridad Críticos

Los 20 controles de seguridad críticos

La prevención es lo ideal pero la detección es una necesidad

Para protegerse contra los ataques, las organizaciones deben:

Defender sus redes y sistemas de una variedad de amenazas internas y externas Estar preparados para detectar e impedir daños en el interior de su organización una vez

ésta se ha visto comprometida

Principios fundamentales de un sistema de defensa

El ataque informa a la defensa. Usar el conocimiento de los ataques reales que han comprometido sistemas para construir defensas prácticas y eficaces. Utilizar los controles que detengan los ataques conocidos del mundo real.

Priorización. Invertir primero en aquellos controles que supongan la mayor reducción de riesgo y protección contra las amenazas más peligrosas y que se puedan implementar de forma factible en el entorno de TI actual.

Métricas. Implementar sistemas de medición comunes y acordados que permitan identificar e implementar rápidamente los ajustes necesarios.

Monitorización. Llevar a cabo un seguimiento continuo que permita probar y validar la eficacia de los controles de seguridad implementados.

Automatización. Automatizar, en la medida de lo posible, las defensas de manera que las organizaciones puedan obtener mediciones continuas, fiables y escalables del comportamiento de los controles y las métricas relacionadas

Los 20 controles críticos

Los 20 controles críticos de seguridad son un conjunto recomendado de acciones para la ciberseguridad que proporcionan formas concretas y viables de frustrar los ataques más generalizados http://www.cpni.gov.uk/advice/cyber/Critical-controls/

1. Inventario de dispositivos autorizados y no autorizados2. Inventario de software autorizado y no autorizado3. Configuraciones seguras del hardware y software en dispositivos móviles, PCs, servidores.4. Análisis continuo y eliminación de vulnerabilidades5. Protección anti-malware6. Seguridad del software de aplicación7. Control de dispositivos Wireless8. Capacidades de recuperación de datos9. Análisis de habilidades de seguridad y programas de formación adecuados10. Configuraciones seguras para dispositivos de red como firewalls, routers y switches11. Limitación y control de los puertos de red, protocolos y servicios12. Uso controlado de los privilegios administrativos13. Defensa del perímetro14. Mantenimiento, monitorización y análisis de los logs de auditoría15. Control de acceso basado en la necesidad de conocimiento16. Control y monitorización de las cuentas17. Prevención de pérdida de datos18. Gestión y respuesta a incidencias19. Ingeniería de red segura20. Realización de tests de penetración

Page 2: Los 20 Controles de Seguridad Críticos

El objetivo de los controles críticos

El objetivo de los controles críticos es:

Proteger los activos críticos, la infraestructura y la organización mediante una protección continua y automatizada.

Reducir los niveles de compromiso, minimizar la necesidad de esfuerzos de recuperación y reducir los costes asociados mediante la monitorización de la infraestructura de tecnología de la información.

Estructura de los controles críticos

Cada control crítico incluye:

Una explicación de cómo los atacantes explotan activamente la ausencia de este control. Un listado de las acciones específicas que las organizaciones están realizando para

implementar, automatizar y medir la efectividad de este control: Quick wins que proporcionen una sólida reducción del riesgo sin realizar grandes cambios

técnicos, en la arquitectura o a nivel de procedimientos y que proporcionen una reducción sustancial y rápida del riesgo en base a los ataques más comunes que sufren la mayoría de las organizaciones.

Medidas de visibilidad y atribución que mejoren los procesos, la arquitectura y las capacidades técnicas de la organización para monitorizar las redes y sistemas, detectar intentos de ataques, localizar puntos de entrada, identificar máquinas ya comprometidas, interrumpir las actividades de los atacantes infiltrados y conseguir información sobre las fuentes de los ataques.

Configuración de la seguridad de la información mejorada para reducir el número o magnitud de las vulnerabilidades de seguridad y mejorar las operaciones de los sistemas informáticos con un enfoque en la protección contra prácticas de seguridad pobres por parte de los administradores de los sistemas y de los usuarios

Sub controles avanzados que utilizan las nuevas tecnologías para proporcionar una máxima seguridad pero que son difíciles de implementar o son más caros que soluciones de seguridad más estándar.

¿Cómo aplicar los controles?

Realizar una evaluación inicial que analice lo ya implementado en la organización y detecte áreas de mejora o carencias respecto a los controles.

Desarrollar un plan de trabajo donde se establezcan diferentes fases de implementación, los controles específicos que se aplicaran en cada fase y la programación de las mismas en función de consideraciones de riesgo empresarial.

Implementar la primera fase. Identificar las herramientas existentes que puedan ser reutilizadas o utilizadas mejor, nuevas herramientas a adquirir, procesos a mejorar y habilidades a desarrollar mediante formación.

Integrar los controles en las operaciones. Focalizarse en el seguimiento continuo, mitigación e integración de nuevos procesos en los sistemas de adquisición y gestión de operaciones.

Revisar el plan de trabajo definido en el paso 2 y actualizar, repetir las fases 3. 4 y 5

http://calidadtic.blogspot.mx/2014/01/los-20-controles-de-seguridad-criticos.html

http://calidadtic.blogspot.mx/2014/01/los-20-controles-de-seguridad-criticos.html

ExpoCloud2013 - Seguridad y entornos críticos en Cloud

ExpoCloud2013 - Seguridad y entornos críticos en Cloud

Documents
Controles de Seguridad y Privacidad de la Información

Controles de Seguridad y Privacidad de la Información

Documents
GESTIÓN DE CONTROLES CRÍTICOS · guía de Gestión de Controles Críticos de Salud y Seguridad publicada por ICMM en Abril del 2015. Ésta entrega guía práctica adicional para

GESTIÓN DE CONTROLES CRÍTICOS · guía de Gestión de Controles Críticos de Salud y Seguridad publicada por ICMM en Abril del 2015. Ésta entrega guía práctica adicional para

Documents
ANEXO A Controles de Seguridad de la Información

ANEXO A Controles de Seguridad de la Información

Documents
Guía de Controles Críticos de Ciberseguridad

Guía de Controles Críticos de Ciberseguridad

Documents
Análisis de Peligros y Puntos Críticos de Control€¦ · Seguridad HACCP Análisis de Peligros y Puntos Críticos de Control en la industria alimentaria La seguridad de los alimentos

Análisis de Peligros y Puntos Críticos de Control€¦ · Seguridad HACCP Análisis de Peligros y Puntos Críticos de Control en la industria alimentaria La seguridad de los alimentos

Documents
Combustión, Quemadores, Controles y Sistemas de Seguridad de

Combustión, Quemadores, Controles y Sistemas de Seguridad de

Documents
Controles Acceso de Seguridad

Controles Acceso de Seguridad

Documents
GUÍA DE CONTROLES CRÍTICOS SSO Y RIESGOS OPERACIONALES

GUÍA DE CONTROLES CRÍTICOS SSO Y RIESGOS OPERACIONALES

Documents
Manual Camion 785c Caterpillar Seguridad Controles Tecnicas Operacion Transporte Mantenimiento

Manual Camion 785c Caterpillar Seguridad Controles Tecnicas Operacion Transporte Mantenimiento

Documents
UNIVERSIDAD NACIONAL DANIEL ALCIDES CARRIÓNrepositorio.undac.edu.pe/bitstream/undac/2159/1/T026_42589462_T.pdf · empresa en la implementación de controles críticos de seguridad,

UNIVERSIDAD NACIONAL DANIEL ALCIDES CARRIÓNrepositorio.undac.edu.pe/bitstream/undac/2159/1/T026_42589462_T.pdf · empresa en la implementación de controles críticos de seguridad,

Documents
cdn.€¦ · de Seguridad de la Información, y parte de estos requisitos es la implementación de controles para mitigar los riesgos de seguridad de la información. (Estos controles

cdn.€¦ · de Seguridad de la Información, y parte de estos requisitos es la implementación de controles para mitigar los riesgos de seguridad de la información. (Estos controles

Documents
La confluencia entre estudios críticos de seguridad y

La confluencia entre estudios críticos de seguridad y

Documents
Gestión de Controles Críticos

Gestión de Controles Críticos

Documents
DISPOSITIVOS DE SEGURIDAD CRÍTICOS Sensores e

DISPOSITIVOS DE SEGURIDAD CRÍTICOS Sensores e

Documents
Manual de Límites Críticos en Seguridad Alimentaria

Manual de Límites Críticos en Seguridad Alimentaria

Documents
Semana 11 controles y auditoría de la seguridad física

Semana 11 controles y auditoría de la seguridad física

Education
LA IMPORTANCIA DE LOS CONTROLES DE SEGURIDAD EN LAS

LA IMPORTANCIA DE LOS CONTROLES DE SEGURIDAD EN LAS

Documents
CONTROLES CRÍTICOS EN LOS RIESGOS DE … · CONTROLES CRÍTICOS EN LOS RIESGOS DE FATALIDAD ANTECEDENTES ... Marcelo Santillana, Juan José Herrera y actual-mente Félix Guerra

CONTROLES CRÍTICOS EN LOS RIESGOS DE … · CONTROLES CRÍTICOS EN LOS RIESGOS DE FATALIDAD ANTECEDENTES ... Marcelo Santillana, Juan José Herrera y actual-mente Félix Guerra

Documents
MÓDULO 2.- CONTROLES PARA MANEJO Y SEGURIDAD DE …

MÓDULO 2.- CONTROLES PARA MANEJO Y SEGURIDAD DE …

Documents
Seguridad en el Diagnóstico de Cuidados Críticos.€¦ · Seguridad en el Diagnóstico de Cuidados Críticos. 1 ... nuevas funciones en un sistema mejorado, adaptable a las necesidades

Seguridad en el Diagnóstico de Cuidados Críticos.€¦ · Seguridad en el Diagnóstico de Cuidados Críticos. 1 ... nuevas funciones en un sistema mejorado, adaptable a las necesidades

Documents
Auditoría de los controles de seguridad para Consultores

Auditoría de los controles de seguridad para Consultores

Documents
Mejora Continua de los Controles de Seguridad

Mejora Continua de los Controles de Seguridad

Technology
controles de seguridad informatica aplicacion de iso 27002.docx

controles de seguridad informatica aplicacion de iso 27002.docx

Documents
Diplomado en Auditoría y Seguridad SAP ERP - … · Seguridad SAP ERP Objetivo ... • Controles claves de los módulos funcionales: FI-MM-SD-HCM. • Vulnerabilidades de los controles

Diplomado en Auditoría y Seguridad SAP ERP - … · Seguridad SAP ERP Objetivo ... • Controles claves de los módulos funcionales: FI-MM-SD-HCM. • Vulnerabilidades de los controles

Documents
Gestion publica-controles-y-seguridad-en-la-era-de-la-transparencia

Gestion publica-controles-y-seguridad-en-la-era-de-la-transparencia

Business
Prevención de caídas en pacientes críticos: Seguridad

Prevención de caídas en pacientes críticos: Seguridad

Documents
“Riesgos críticos DRT ” Seguridad y Salud Ocupacional

“Riesgos críticos DRT ” Seguridad y Salud Ocupacional

Documents
CONTROLES Y SEGURIDAD BAJO ENTORNO ANDROIDiii Título: CONTROLES Y SEGURIDAD BAJO ENTORNO ANDROID Autor: Christian Madero García Director: Miguel Ángel Ramos EL TRIBUNAL Presidente:

CONTROLES Y SEGURIDAD BAJO ENTORNO ANDROIDiii Título: CONTROLES Y SEGURIDAD BAJO ENTORNO ANDROID Autor: Christian Madero García Director: Miguel Ángel Ramos EL TRIBUNAL Presidente:

Documents
Curso Retroexcavadoras Aplicaciones Seguridad Inspeccion Controles Tecnicas Operacion

Curso Retroexcavadoras Aplicaciones Seguridad Inspeccion Controles Tecnicas Operacion

Documents