En el ámbito de seguridad de la información los controles nos permiten mitigar riesgos, razón por la cual se han desarrollado marcos de trabajo (frameworks) que ofrecen diferentes tipos de medidas de seguridad.

En esta ocasión vamos a revisar los Controles de Seguridad Críticos (CSC) para la ciberdefensa, una propuesta inicialmente coordinada por SANS Institute que luego fue transferida al Consejo de Ciberseguridad para su administración y mantenimiento.

¿Qué son los controles de seguridad críticos y qué los diferencia?

Se trata de un conjunto de controles que definen acciones específicas para la ciberdefensa, desarrollado y mantenido por diferentes partes interesadas, como empresas, agencias gubernamentales, instituciones académicas y expertos en el tema.

Se denominan críticos porque son el resultado del conocimiento combinado que se tiene actualmente sobre los ataques y las medidas de seguridad utilizadas para mitigarlos. Estos controles han sido priorizados con base en la reducción de riesgos y la protección que ofrecen contra las amenazas más comunes. Además se trata de un consenso sobre el conjunto de las medidas que resultan efectivas para detectar, prevenir, responder o mitigar los ciberataques.

Aunque no busca reemplazar a los marcos de trabajo y estándares, estos controles surgen como una opción para ofrecer nuevas alternativas de seguridad, ya que los requisitos de las normas y otros marcos desarrollados en ocasiones se enfocan en el cumplimiento y elementos de gestión, destinando recursos a actividades que no están directamente relacionadas con la protección contra las amenazas.

Características de los controles de seguridad críticos

Los controles tienen como característica principal su enfoque hacia la priorización de las funciones de seguridad, que han mostrado efectividad para la mitigación de riesgos, lo que indica qué debería realizarse primero, dentro de una lista relativamente pequeña de acciones.

Además se trata de un subconjunto del catálogo definido por National Institute of Standards and Technology (NIST) SP 800-53, por lo que los elementos recomendados han sido probados con anterioridad. La versión 5.1 de este documento incluye 20 controles de seguridad críticos.

Para llevar un control se presenta una descripción de su importancia en cuanto a la forma de identificar o bloquear la presencia de ataque, así como la forma en la que un atacante podría aprovechar la ausencia de este control. Para identificarlos se emplean las letras CSC (Critical Security Control) y el número correspondiente a la prioridad del mismo.

Además, incluye una lista de las acciones específicas que las organizaciones deben llevar a cabo para implementar, automatizar y medir la efectividad del control. El CSC también considera procedimientos y herramientas que permiten su implementación y automatización, así como métricas y pruebas que permiten evaluar el estado de la implementación y su efectividad. Por último, se cuenta con un diagrama entidad-relación de los componentes utilizados durante la implementación.

Categorías de CSC

Dentro de la lista de controles de seguridad críticos podemos encontrar cuatro categorías que permiten tener una mejor descripción de los mismos, con base en las características que se muestran a continuación:

  • Triunfos rápidos: Son los tipos de controles que proporcionan una reducción significativa de los riesgos sin la necesidad de llevar a cabo importantes cambios en aspectos financieros, de procedimientos, en arquitecturas o técnicos. También pueden proporcionar dicha reducción de manera sustancial o inmediata sobre los ataques más comunes en las organizaciones.
  •  Medidas de visibilidad y de atribución: Estos controles buscan mejorar los procesos, arquitectura y capacidades técnicas de las organizaciones para monitorear sus redes y sistemas informáticos, para detectar intentos de ataques, localizar los puntos de acceso, identificar equipos comprometidos, actividades de infiltración de atacantes u obtener información sobre los orígenes de un ataque.
  •  Configuración de seguridad de la información mejorada e higiene: Tienen como objetivo reducir el número y la magnitud de las vulnerabilidades de seguridad, así como mejorar el funcionamiento de los sistemas informáticos en la red, a través de un enfoque hacia las prácticas de seguridad deficientes que podrían dar ventaja a un atacante.
  •  Subcontroles avanzados: Utilizan nuevas tecnologías o procedimientos que proporcionan mayor seguridad, pero representan mayor dificultad para su implementación, mayor costo o requieren más recursos, como personal altamente calificado.

Una opción más de seguridad a considerar

Entonces, los controles de seguridad críticos pueden ser utilizados como una opción más de medidas para la protección, con las características propias de esta lista como la priorización de las acciones a realizar y su completa orientación hacia la detección, prevención, respuesta o mitigación de amenazas a la seguridad.

En este sentido, pueden contribuir en la complementación de otros estándares o mejores prácticas de seguridad, ya que ofrecen medidas actualizadas sobre las amenazas más comunes y otras características, como elementos para la medición de la efectividad, procedimiento y herramientas.