Sesión N°1 - Introducción A Los Controles

Introducción a los controles
Controles del Seguridad de la Información y

Ciberseguridad
Agenda
▪ Contexto Normativo
▪ Definición de Controles
▪ Caracterización de Controles
▪ Ejemplos de controles
Consultas
Carlos Lobos de Medina

[email protected]
https://www.linkedin.com/in/clobos/
Director del Programas de Diplomados de Ciberseguridad

www.diplomadociberseguridad.com
Cybersecurity Governance & Management Expert

Advisor | Academic |Global | 20 years experience
ISO 27001/22301/37301/27701 Implementer and Auditor
Certified COBIT 2019 | NIST | CISM | CISA | CCSA
Contexto Normativo
IMPLEMENTADOR LÍDER ISO 27.002:2022

Proyecto Ley Marco de Ciberseguridad e IC – Visión General
Disposiciones Legales
Definiciones
Principios
Obligaciones de ciberseguridad
Agencia Nacional de Ciberseguridad
Consejo Multisectorial sobre Ciberseguridad
CSIRT Defensa Nacional
Infracciones y Sanciones
Comité Interministerial de Ciberseguridad
A quien aplica esta Ley?
1. Servicios de Telecomunicaciones
2. Servicios de Infraestructura Digital
3. Servicios de Ciberseguridad
4. Servicios de generación, transmisión y distribución
eléctrica
5. Servicios de producción, transporte, almacenamiento y
distribución de combustibles
6. Servicios sanitarios y de agua potable
7. Servicios comerciales de transporte aéreos, ferroviarios
y marítimos
8. Servicios portuarios
9. Servicios aeroportuarios
10. Servicios bancarios y financieros
11. Servicios de AFP, fondos de cesantía y servicios de
salud previsional
12. Servicios de prestaciones de salud
Articulo 6 - Sobre las Obligaciones (1 de 2)
a) Implementar un SGSI
b) Mantener un registro de las acciones ejecutadas del SGSI
c) Desarrollar planes de continuidad operacional
d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas
informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad
e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un
incidente de ciberseguridad
f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento
Articulo 6 - Sobre las Obligaciones (2 de 2)
g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer

gravemente sus redes y sistemas informáticos.
h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores,
que incluyan campañas de ciberhigiene.
i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de

la máxima autoridad de la institución a la que pertenece.
Estructura de Gobernanza
CSIRT Defensa
Presidencia
Nacional
CSIRT Sectoriales
Agencia Nacional
Ministerio
de Ciberseguridad
CSIRT Nacional
Consejo
Multisectorial
Definiciones y clasificaciones de controles

Contexto de Controles
Fuente: Manual de Preparación de Examen CRISK 2021

Alcance de Controles

Categorías de Controles

Categorías de Controles - NIST
Contramedidas (Pre-Incidente)
Contramedidas (Post-Incidente)
Consideraciones
▪ Un entorno de control considerará:

▪ Controles funcionales (Organizacionales, Personas, Físicos, Tecnológicos)
▪ Controles de acuerdo a su naturaleza (Defensiva, Preventiva)
▪ Controles de acuerdo a su tipo (Preventivo, Correctivo, Detectivo)
▪ Controles de acuerdo al CID (Confidencialidad, Integridad, Disponibilidad)
▪ Controles de acuerdo a función (Identificar, Proteger, Detectar, Responder, Recuperar)
▪ La importancia de clasificar los controles radica en el establecimiento de

responsabilidades y determinar las reales capacidades del entorno de control
en términos de las diversas clasificaciones.
Caracterización de controles

Caracterización de controles
¿Que controles deberíamos tener implementados en las personas?
▪ Antes de la Contratación
▪ Durante la Contratación
▪ Termino de la Contratación
Caracterización de controles - Equipamiento
¿Que controles deberíamos tener implementados en equipamiento?
▪ Controles de Personas
▪ Controles Lógicos
▪ Controles Físicos
▪ Controles Organizacionales
Caracterización de controles – Infraestructura Física
¿Que controles deberíamos tener implementados en la infraestructura?
▪ Controles Preventivos
▪ Controles Detectivos
▪ Controles Correctivos
Caracterización de controles – Desarrollo
¿Que controles deberíamos tener implementados en el Desarrollo?
▪ Para la Confidencialidad
▪ Para la Integridad
▪ Para la Disponibilidad
Caracterización de controles – Amenazas/Vulnerabilidades
¿Que controles deberíamos tener implementados en A/V?
▪ De Gobierno
▪ De Detección
▪ De Protección
▪ De Respuesta
▪ De Recuperación
Caracterización de controles – Servicios
¿Que controles deberíamos tener implementados en Servicios?

Consideraciones
Aspectos Positivos: Aspectos Negativos:

▪ Buena visión de controles necesarios. ▪ No hay recursos.
▪ No hay capacidades ni competencias.
▪ Muchos controles implementados.
▪ Poco conocimiento de categorías.
▪ Con adecuado nivel técnico.
▪ Ni hay formalización.
▪ No hay alineamiento con buenas prácticas.
Controles sobre el equipamiento

8.1 Dispositivo de Usuario Final
▪ Nuevo Control de la ISO 27.002:2022.
▪ Proteger la información contra los riesgos derivados del uso de dispositivos de punto final de usuario.
▪ Son controles bastante generales y de alto grado de aceptación, los cuales se agrupan en 4 categorías:
▪ Generales
▪ Responsabilidad del usuario
▪ Uso de dispositivos personales
▪ Conexión a redes inalámbricas
▪ El control esta muy alineado con las necesidades actuales de teletrabajo.

8.1 Dispositivo de Usuario Final - General
▪ Debería considerarse la realización de una política, la cual contenga:
Clasificar de Registro de Restricciones de Actualización

Requisitos de
acuerdo a la usuarios de instalación de Automática de
seguridad física
información Endpoint software software
Reglas para
Control de Protección Gestión de
conectarse a Discos cifrados
acceso contra malware Accesos remotos
redes
Uso de servicios Uso de

Analítica de
Respaldos web y dispositivos
comportamiento
aplicaciones móviles
8.1 Dispositivo de Usuario Final - Otros
Responsabilidad del usuario Terminar sesiones Proteger el activo

Uso en espacios
Protección física
público
Uso de dispositivos personales

Otorgar accesos solo Procedimientos para
Separar dispositivos
Conexiones Inalámbricas si los usuarios prevenir disputas de Accesos a equipos de
de negocio v/s
reconocen sus Propiedad Intelectual propiedad privada
personales
deberes
Uso de Licencias en Deshabilitación de Banda ancha acorde a

dispositivos de protocolos las necesidades de la
propiedad del usuario vulnerables organización
Consultas
▪ Carlos Lobos de Medina

[email protected]
https://www.linkedin.com/in/clobos/
Introducción a los controles
Controles del Seguridad de la Información y

Ciberseguridad

Sesión N°1 - Introducción A Los Controles

Cargado por

Copyright:

Formatos disponibles

Sesión N°1 - Introducción A Los Controles

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sesión N°1 - Introducción A Los Controles

Cargado por

Copyright:

Formatos disponibles

Introducción a los controles

Controles del Seguridad de la Información y

Carlos Lobos de Medina

Director del Programas de Diplomados de Ciberseguridad

Cybersecurity Governance & Management Expert

IMPLEMENTADOR LÍDER ISO 27.002:2022

b) Mantener un registro de las acciones ejecutadas del SGSI

c) Desarrollar planes de continuidad operacional

g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer

i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de

IMPLEMENTADOR LÍDER ISO 27.002:2022

Fuente: Manual de Preparación de Examen CRISK 2021

Fuente: Manual de Preparación de Examen CRISK 2021

Fuente: Manual de Preparación de Examen CRISK 2021

▪ Un entorno de control considerará:

▪ La importancia de clasificar los controles radica en el establecimiento de

IMPLEMENTADOR LÍDER ISO 27.002:2022

¿Que controles deberíamos tener implementados en las personas?

¿Que controles deberíamos tener implementados en equipamiento?

¿Que controles deberíamos tener implementados en la infraestructura?

¿Que controles deberíamos tener implementados en el Desarrollo?

¿Que controles deberíamos tener implementados en A/V?

¿Que controles deberíamos tener implementados en Servicios?

Aspectos Positivos: Aspectos Negativos:

IMPLEMENTADOR LÍDER ISO 27.002:2022

▪ Nuevo Control de la ISO 27.002:2022.

▪ El control esta muy alineado con las necesidades actuales de teletrabajo.

▪ Debería considerarse la realización de una política, la cual contenga:

Clasificar de Registro de Restricciones de Actualización

Uso de servicios Uso de

Responsabilidad del usuario Terminar sesiones Proteger el activo

Uso de dispositivos personales

Uso de Licencias en Deshabilitación de Banda ancha acorde a

▪ Carlos Lobos de Medina

Controles del Seguridad de la Información y

También podría gustarte