¿Qué son los controles de seguridad?

Los controles de seguridad son la columna vertebral de cualquier estrategia de seguridad sólida, ya que funcionan como las medidas que las organizaciones implementan para proteger sus activos —personas, bienes o datos— de una gran variedad de riesgos y amenazas de seguridad. Estos controles están diseñados cuidadosamente para prevenir, detectar, contrarrestar o minimizar el impacto de incidentes de seguridad en bienes físicos, información, sistemas informáticos u otros activos valiosos. Al comprender e implementar controles de seguridad eficaces, las organizaciones pueden crear un entorno reforzado que garantice la seguridad e integridad de sus operaciones.

Bree Fowler, redactora sénior de CNET, moderó un panel de discusión en la Bitwarden Open Source Security Summit 2024 entre Schlomo Schapiro, ingeniero principal en Tektit Consulting, y Bjoern Sjut, director general de productividad y TI en Front Row. La conversación exploró las tendencias y desafíos actuales de la resiliencia de seguridad y la adopción por parte de los empleados. Incluyó recomendaciones de ambos expertos sobre cómo mejorar la seguridad general mediante controles de seguridad estratégicos y bien pensados.

Schapiro inició la conversación destacando la amenaza que representan las tecnologías de software como servicio (SaaS).

“La mayoría de las empresas ignoran por completo o subestiman la amenaza que representa su panorama actual de SaaS”, dijo Schapiro. “Básicamente, confían ciegamente en sus proveedores de SaaS y ceden la propiedad total de su perímetro. Es uno de los mayores errores que cometen las empresas. Permiten que su perímetro se convierta en una cerca delgada con muchos agujeros, que en última instancia son brechas que los hackers pueden aprovechar. Como industria, debemos ponernos al día con la realidad”.

Sjut también destacó la importancia de los perímetros y señaló que el enorme cambio hacia las aplicaciones en la nube los ha vuelto más opacos. Sin embargo, su principal preocupación radicaba en el hecho de que las personas son mucho más móviles. “Si no queremos equipar a todos con dispositivos dedicados y específicos, debemos enfrentar los desafíos que plantea un entorno de trae tu propio dispositivo (BYOD). Junto con estas herramientas en la nube, esto significa que tenemos más vectores de ataque en los dispositivos y a través de las aplicaciones”.

Si bien los dispositivos BYOD pueden representar riesgos de seguridad, las organizaciones pueden reforzar sus defensas con herramientas como administradores de contraseñas. Bitwarden ofrece acceso multiplataforma para aplicaciones móviles, de navegador y de escritorio, lo que permite un entorno con contraseñas y dispositivos ilimitados.

La mayoría de las organizaciones lidian con muchas piezas en movimiento para fortalecer la seguridad. Para evitar que asuntos importantes queden desatendidos, Shapiro cree que “las empresas deben asegurarse de que cada aplicación que incorporen a su stack use autenticación federada con su proveedor de identidad principal. Uno de los peores escenarios es tener cuentas o aplicaciones que no se conocen bien y que permanecen activas después de que un empleado dejó la organización”.

Sjut enfatiza que la seguridad no debe limitarse a “una función empresarial. Como industria, todos deberíamos promover la seguridad integrada para no terminar en una situación en la que tengamos que tapar agujeros con muchas medidas diferentes”.

Los profesionales de seguridad deben unir todas las piezas y determinar qué funciona mejor para ellos. Los controles son esenciales para mitigar los riesgos comerciales y garantizar la seguridad de manera eficaz.

“Queremos encontrar el equilibrio adecuado entre seguridad y productividad. Creo que un error que cometen muchas empresas es poner en la agenda un objetivo de seguridad que puede impedir que las personas sean productivas. Esto las vuelve menos seguras a largo plazo, porque los empleados crean su propia TI en la sombra, que queda completamente fuera de los límites de los controles de seguridad de la empresa. Desde nuestro punto de vista, se trata de equilibrio, junto con un enfoque basado en riesgos”. - Bjoern Sjut

Si las organizaciones quieren que sus departamentos de seguridad sean eficaces, deben aceptar y habilitar a los usuarios para que hagan su trabajo de manera eficiente.

“Siempre es importante que el departamento de TI sea accesible. Debes crear un entorno donde el camino de menor resistencia para el usuario no eluda tu seguridad”. - Schlomo Schapiro

Los empleados que no pueden compartir archivos de trabajo relevantes con clientes o miembros del equipo tienen más probabilidades de eludir los protocolos de seguridad. La única forma de protegerse contra eso es garantizar que “los empleados se sientan respaldados en su productividad. En realidad, se trata de colaboración y de encontrar el equilibrio adecuado entre productividad y seguridad (Sjut)”.

Los administradores de contraseñas pueden ayudar a los usuarios a mantener el equilibrio entre seguridad y productividad. Ofrecen una vía rápida y eficiente para crear, gestionar y proteger contraseñas. Los administradores de contraseñas confiables, como Bitwarden, también incluyen herramientas de MFA que los usuarios pueden aprovechar para obtener una capa adicional de seguridad, como Bitwarden Authenticator integrado o la aplicación independiente Bitwarden Authenticator.

Las personas tienden naturalmente a evitar la fricción, incluida la que causan las políticas de seguridad. Fowler les preguntó a Schapiro y Sjut cómo incentivan mejor a los empleados para que eviten eludir las mejores prácticas de seguridad.

“Mi recomendación personal es pensar en tus usuarios como desarrolladores ciudadanos. Es importante habilitar a tus empleados para que aprovechen los sistemas que proporcionas. Es importante ser accesible, acercarse con disposición de ayudar y priorizar la habilitación de los usuarios”. - Schlomo Schapiro

Sjut señaló que, en muchas empresas, puede ser difícil para los usuarios averiguar cómo obtener acceso a una herramienta que necesitan. Esto es particularmente común en empresas medianas, porque la empresa puede ser lo suficientemente grande como para perder de vista todas las herramientas disponibles, pero no lo bastante grande como para contar con supervisión corporativa.

“En mi opinión, muchas empresas gestionan su TI de manera incorrecta. No la gestionan como una defensora del statu quo. La gestionan más como una unidad de administración de instalaciones para mantener las operaciones en marcha. Muy pocas organizaciones de TI tienen el objetivo de hacer que las personas sean más productivas”. - Bjoern Sjut

Schapiro enfatizó la importancia de tener control sobre los perímetros de SaaS y contar con un plan sólido para recuperar copias de seguridad, incluidas pruebas rutinarias para asegurarse de que todos entiendan su rol. Las organizaciones deben enfocarse en proteger y mantener los sistemas críticos para prevenir brechas de seguridad y garantizar que sigan funcionando y estén protegidos contra posibles ataques.

Sjut dijo que, además de las copias de seguridad, muchas empresas no tienen realmente una comprensión sólida de la identidad, incluso con personas con las que colaboran, como freelancers.

“Me desconcierta la cantidad de cuentas personales de Google que se usan para gestionar datos de Google Analytics”, dijo Sjut. “La mayoría de las empresas necesitan ocuparse de las identidades digitales. Mi impresión general es que rara vez hay alguien que se sienta responsable de las identidades digitales dentro de la organización. Las empresas deben comprender cuál es su proveedor de identidad principal, cómo funcionan las identidades y si las tienen bajo control. Cuantas más personas inicien sesión en aplicaciones en la nube desde un dispositivo personal sin que el empleador comprenda esa identidad, más difícil será mitigar los daños”.

Los controles de seguridad se pueden clasificar, en términos generales, en tres tipos principales: controles físicos, técnicos y administrativos. Cada tipo desempeña un papel fundamental en la creación de un marco de seguridad integral. Al integrar estos tres tipos de controles, las organizaciones pueden crear una estrategia de defensa en varias capas que aborde diversos aspectos de seguridad.

• Los controles físicos incluyen medidas como sistemas de control de acceso, cámaras de vigilancia y sistemas de alarma.

• Los controles técnicos abarcan herramientas y tecnologías como administradores de contraseñas, firewalls, sistemas de detección de intrusiones y cifrado.

• Los controles administrativos incluyen políticas, procedimientos y programas de capacitación diseñados para gestionar y gobernar la postura de seguridad general de una organización.

Los controles de seguridad técnicos son críticos para proteger los activos digitales de una organización, incluidos los sistemas informáticos, las redes y los datos. Estos controles incluyen una variedad de tecnologías y prácticas diseñadas para prevenir, detectar y responder a amenazas cibernéticas, como cifrado, firewalls, controles de acceso, antivirus y detección de malware. Son indispensables para protegerse contra amenazas cibernéticas como hackeos, malware y ransomware, y para garantizar la integridad y confidencialidad de los activos digitales.

Los administradores de contraseñas como Bitwarden proporcionan informes sobre el estado de las contraseñas, contraseñas comprometidas o reutilizadas, contraseñas débiles, sitios web no seguros, inicios de sesión en dos pasos inactivos y filtraciones de datos conocidas.

Los controles de seguridad administrativos son medidas diseñadas para gestionar y gobernar la postura de seguridad de una organización mediante políticas, procedimientos y capacitación. Estos controles son esenciales para guiar el comportamiento de los empleados y garantizar el cumplimiento de los estándares de seguridad. Los controles de seguridad administrativos son cruciales para protegerse contra amenazas internas, ingeniería social e incumplimientos normativos, y para garantizar un enfoque integral de la gestión de la seguridad.

• Las pautas claras sobre políticas y procedimientos de seguridad ayudan a los empleados a comprender sus roles y responsabilidades para mantener la seguridad, lo que garantiza una aplicación consistente de las medidas de seguridad.

• Educar a los empleados sobre las mejores prácticas de seguridad y las posibles amenazas ayuda a crear una cultura consciente de la seguridad y reduce el riesgo de error humano.

• Los planes de respuesta a incidentes permiten que las organizaciones respondan rápidamente a incidentes de seguridad, minimizando el daño y garantizando una respuesta coordinada.

• Cumplir con los requisitos normativos y de cumplimiento, como HIPAA y PCI-DSS, garantiza que las organizaciones cumplan con sus obligaciones legales y protejan la información confidencial.

• Identificar y mitigar rutinariamente los riesgos de seguridad ayuda a las organizaciones a evitar posibles amenazas y mantener una postura de seguridad sólida.

Los controles de seguridad son medidas indispensables que las organizaciones deben implementar para proteger sus activos de una amplia variedad de riesgos y amenazas de seguridad. Comprender los diferentes tipos de controles de seguridad —físicos, técnicos y administrativos— y sus funciones es crucial para desarrollar una estrategia de seguridad eficaz. Además, conocer las áreas que suelen pasarse por alto, como la capacitación en concientización sobre seguridad y los controles de seguridad física, puede ayudar a las organizaciones a abordar posibles vulnerabilidades. Al adoptar un enfoque integral que incluya una combinación de estos controles, las organizaciones pueden garantizar la confidencialidad, integridad y disponibilidad de su información y activos, mejorando así su resiliencia de seguridad general.