No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Gestión de Controles

10/19
Recursos

Aportes 6

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

ISO 27.001:2022 → NIST 800 - 53 → 53B (los controles tienen ciertas indicaciones o directrices, analizar las relaciones que tienen con otros). 53A es de assessment, evaluación. Qué se debe validar, a quién entrevistar. La evaluación de controles se facilita en el documento Declaración de Aplicabilidad (SoA): Selección de controles Justificación de la inclusión o exclusión - Quién es responsable de la decisión de aplicar o no. Estado de implementación - Qué se aplica y qué riesgos se detectaron. Referencias de la documentación -

Independiente de qué estándar se pueda seleccionar, lo importante es adoptarlo en serio y aplicarlo. Este tipo de marcos están hechos para detectar el riesgo, administrarlo, combatirlo y obtener insights para generar mejoras en el proceso. Estando en el área de la tecnología, no hay que ser genio para entender que los ataques se volverán cada vez más sofisticados gracias al uso de la IA, ya no basta tener un comité de profesionales inteligentes que sean expertos en programación o ciberseguridad, es casi literalmente pasarse al lado oscuro y pensar como hacker, actuar como hacker, vivir como hacker, ayudado por el potencial de la IA.

**La gestión de controles es un componente fundamental de la seguridad de la información.** Se trata de un proceso continuo que abarca la identificación, implementación, evaluación y mejora de los controles de seguridad necesarios para proteger los activos de información de una organización. **Objetivos de la gestión de controles:** * **Proteger la confidencialidad, integridad y disponibilidad de la información.** * **Reducir el riesgo de ataques cibernéticos y otras amenazas a la seguridad.** * **Cumplir con las regulaciones y estándares de seguridad.** * **Mejorar la confianza de los clientes, socios y empleados en la seguridad de la organización.** **Tipos de controles:** * **Controles preventivos:** Se implementan para evitar que ocurran incidentes de seguridad. * **Controles detectivos:** Se implementan para detectar incidentes de seguridad cuando ocurren. * **Controles correctivos:** Se implementan para corregir los daños causados por incidentes de seguridad. **Metodologías para la gestión de controles:** * **ISO/IEC 27001:** Es una norma internacional que proporciona un marco para la gestión de la seguridad de la información. * **NIST Cybersecurity Framework:** Es un marco desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos que proporciona una guía para la gestión de la seguridad de la información.
*Estuve muy confundida con NIST e ISO 27001, así que les compartiré lo que encontré:* Aunque podrían considerarse instrumentos similares, **ISO 27001 y NIST** son diferentes. **ISO 27001** es una norma internacional para mejorar el ISMS (Sistema de gestión de la seguridad de la información) de una organización. Mientras **que** los controles **NIST** ayudan a gestionar y reducir los riesgos de ciberseguridad para las redes y los datos.
**Gestión de controles:** Como parte de la evaluación del riesgo, existe esta actividad alrededor de la revisión de los controles. Existen múltiples referencias, estándares, mejores prácticas, marcos de trabajo. La referencia de la **ISO 27001** es la norma certificable, tiene dentro de su familia la ISO 27002. La ISO 27002 contiene entonces los requerimientos mínimos que exige la norma ISO 27001. **NIST 800-53B:** En el estándar 800-53 del NIST se detallan los controles de privacidad y seguridad específicos que deben satisfacer tanto el Gobierno federal como las infraestructuras más importantes de Estados Unidos. Los controles tienen ciertas indicaciones o directrices que se deben seguir. Cuando cumplo, de acuerdo con el nivel de impacto de mi activo con el establecimiento de estos controles, es importante **evaluar su efectividad, revisar si ese control realmente esta haciendo lo que se supone que debe hacer**, ¿Cómo hago esto? Para esto existe el documento 800-53A, la A de Assessment, de evaluación. Te puede indicar las preguntas, que personal debes entrevistar, que debes validar, cuales documentos, por ejemplo, incluso el diseño del software si es el caso que aplica y muchos otros. La evaluación de estos documentos se facilita con un documento llamado la **Declaración de aplicabilidad (SoA)**, que es como un inventario de controles, este documento debe tener el nombre del control, de acuerdo con la norma o la referencia que es empleando, justificar por qué lo estas empleando y por qué no, colocar el responsable de esta decisión. Como resumen de este punto, puedes realizar selección de controles, justificación de la inclusión o exclusión, colocar el estado de implementación y referencias a la documentación. Incluso este documento nos puede servir para reportar a tus superiores la justificación en el uso del prepuesto para aplicar o priorizar un control. Exitos!
![](https://static.platzi.com/media/user_upload/image-a70bc1cc-6b5f-4bfb-a0d1-310fb45ccd8a.jpg)