Publicado el 18 de noviembre de 2019 * Lectura de 2 minutos

Los controles de seguridad de la información son medidas adoptadas para reducir los riesgos de seguridad de la información, como violaciones de los sistemas de información, robo de datos y cambios no autorizados en la información o los sistemas digitales. Estos controles de seguridad están destinados a ayudar a proteger la disponibilidad, confidencialidad e integridad de los datos y las redes, y generalmente se implementan después de una evaluación de riesgos de seguridad de la información.

Los tipos de controles de seguridad de la información incluyen políticas de seguridad, procedimientos, planes, dispositivos y software destinados a fortalecer la ciberseguridad. Hay tres categorías de controles de seguridad de la información:

• Controles de seguridad preventivos, diseñados para prevenir incidentes de seguridad cibernética
• Controles de seguridad detectives, destinados a detectar un intento de violación de seguridad cibernética («evento») o una violación exitosa («incidente») mientras está en curso, y alertar al personal de seguridad cibernética
• Controles de seguridad correctivos, utilizados después de un incidente de ciberseguridad para ayudar a minimizar la pérdida de datos y los daños al sistema o la red, y restaurar los sistemas y procesos empresariales críticos lo más rápido posible («resiliencia»)

Los controles de seguridad vienen en forma de:

• Controles de acceso que incluyen restricciones de acceso físico, como guardias de seguridad en entradas de edificios, cerraduras y vallas perimetrales
• Controles de procedimiento, como educación sobre conciencia de seguridad, capacitación en cumplimiento del marco de seguridad y planes y procedimientos de respuesta a incidentes
• Controles técnicos tales como como autenticación de usuario de múltiples factores al inicio de sesión (inicio de sesión) y controles de acceso lógico, software antivirus, cortafuegos
• Controles de cumplimiento, como leyes de privacidad y ciberseguridad marcos y estándares de seguridad.

Los marcos y estándares de seguridad de la información más utilizados incluyen:

• La Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), Controles de Seguridad y Privacidad para Sistemas y Organizaciones de Información Federales. Este documento enumera los requisitos de seguridad útiles no solo para las agencias federales, sino también para los programas de gestión de riesgos de seguridad de la información de todas las organizaciones.
• La norma ISO 27001 de la Organización Internacional de Normalización (ISO), Gestión de la seguridad de la Información, que proporciona orientación sobre la seguridad de la tecnología de la información y la seguridad informática.
• El Estándar de Seguridad de Datos de la Industria de tarjetas de Pago (PCI DSS), que establece requisitos de seguridad y controles de seguridad para la protección de datos confidenciales asociados con la información personal de tarjetas de crédito y tarjetas de pago
• La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), una ley federal que regula la seguridad de la información y las protecciones de privacidad para la información personal de salud

y los estándares son sistemas que, cuando se siguen, ayudan a una entidad a administrar de manera consistente los controles de seguridad de la información para todos sus sistemas, redes y dispositivos, incluida la administración de configuraciones, la seguridad física, la seguridad del personal, la seguridad de la red y los sistemas de seguridad de la información. Definen lo que constituyen buenas prácticas de ciberseguridad y proporcionan una estructura que las entidades pueden utilizar para administrar sus controles de seguridad de la información.