Las últimas décadas han marcado un gran desarrollo de numerosas tecnologías, que hacen necesario al mismo tiempo el aumento constante de las medidas de seguridad, intentando contrarrestar las amenazas a las que están expuestos los activos de información.

En este contexto, definiremos a los controles de IT, es decir, en el mundo de las Tecnologías de la Información, y cómo clasificarlos de modo general para utilizarlos en cualquier tipo de industria.

¿Qué son los controles en IT?

Los controles son los principales componentes que se deben tener en cuenta a la hora de pensar, desarrollar e implementar una estrategia de protección de los activos de información. Su naturaleza es muy variable y está vinculada a garantizar su efectividad, sin ser costosos ni restrictivos para las actividades del negocio. De este modo, un control podrá ser un dispositivo físico (un sensor biométrico como vemos en la siguiente imagen, o una llave USB) pero también podrá ser un procedimiento o una metodología.

biometrico

Todos ellos están enmarcados en COBIT (Control Objectives for Information and Related Technology), el modelo de buenas prácticas aceptado internacionalmente para el control de la información. Define el objetivo del mismo, expresando que un control es la declaración del resultado o propósito deseado que se alcanzará mediante la implementación de procedimientos en una determinada actividad de IT.

A continuación veremos cómo aplicar distintos controles de forma efectiva.

Defensas por niveles

La defensa en distintos niveles es muy efectiva a la hora de comenzar a planear una estrategia de arquitectura de seguridad de la información. De esta forma, las capas deben estar diseñadas de tal modo que al fallar alguna no provoque el fallo de la contigua sino que ayude a neutralizar el incidente.

La cantidad de estratos dependerá de la criticidad de los activos protegidos y la fortaleza de las defensas intentando no contrarrestar las funcionalidades del negocio.

Como ejemplo, podemos considerar el caso de controles en las distintas capas del modelo OSI que ayudan a fortalecer las barreras de seguridad dentro de una red.

Otros controles que no se vinculan al mundo IT

A estos requerimientos normalmente se los vincula con la seguridad física, es decir, con el manejo y almacenamiento de la información de forma segura. Un ejemplo muy claro son las copias de seguridad con su respectivo rótulo, y el lugar físico en donde se las retiene.

Un grave incidente de seguridad podría ocurrir si un atacante por medio de Ingeniería Social tiene acceso a estas copias robando o destruyendo así este tipo de información.

Contramedidas

Las contramedidas son las medidas de protección que reducen el nivel de vulnerabilidad a las amenazas, y por este motivo son consideradas controles dirigidos. De este modo, el ataque no sería evitado, sino que no sería efectivo. Pueden actuar de forma activa o pasiva, aunque normalmente son menos restrictivas que los controles en general.

Como es de esperarse, en el mundo de las tecnologías de la información, para mitigar distintos incidentes es vital la combinación de políticas, estándares, educación y diversos procedimientos de seguridad. Aplicados de una manera correcta, conllevarán a una mayor protección de los activos de información.

A continuación demostraremos dos escenarios que serán de gran ayuda para entender los conceptos explicados:

  • Cuando trabajemos sobre la “Prevención de incidentes” debemos abarcar políticas y procedimientos vinculados a la autentificación, autorización, cifrado, seguridad física, concientización, escaneo de vulnerabilidades y códigos maliciosos.
  • En contraste, cuando trabajemos sobre controles en la “Reacción ante incidentes”, debemos profundizar sobre políticas en tiempos de respuesta, equipos de respuesta, procedimientos ante un incidente y mecanismos de seguridad adicionales…

Conclusión

Estos son algunos ejemplos que podrían ser útiles a la hora de pensar o repensar una estrategia global en la arquitectura de los sistemas, y detallan los puntos críticos en los que se deberá implementar controles multicapa. Así, será posible garantizar con mayor solidez el resguardo y la seguridad de la información.