Los dominios de seguridad son las categorías de los activos u objetos que los usuarios, o grupo de usuarios, pueden gestionar.
¿Qué es un dominio en ciberseguridad?
Los dominios organizan la manera en cómo los ingenieros de ciberseguridad trabajan en equipo dentro de una organización, pues cada dominio lleva tareas en específico. La palabra clave a entender aquí es la de “roles”, pues dentro del panorama de seguridad, esto hará una buena coordinación para fortalecer las tareas de ciberseguridad.
Es importante notar que la cantidad de dominios dependerá de la norma a estudiar.
Por ejemplo, CISSP (Profesional certificado en seguridad de sistemas de información) cuenta con 8 dominios y la Norma ISO 27001 cuenta con 14 dominios.
¿Cuáles son los los 8 dominios de seguridad del CISSP?
En el 2022, CISSP define ocho dominios en total que son: gestión de riesgos y seguridad, seguridad de los activos, arquitectura e ingeniería de seguridad, seguridad de la comunicación y la red, gestión de accesos e identidad, evaluación de seguridad y pruebas, operaciones de seguridad y seguridad de desarrollo de software.
A continuación vamos a explicar cada una de ellas.
1. Dominio de seguridad y gestión de riesgos (Security and Risk Management)
“Este dominio es el encargado de definir metas y objetivos de seguridad, mitigación de riesgos, cumplimiento de las normas (También conocido con la palabra en inglés “compliance”), continuidad del negocio y la ley”
La persona o personas encargadas de este dominio, podrán actualizar las políticas de una empresa según los requerimientos federales del lugar.
Todo esto se va enfocando cada vez más en los procedimientos o normas correctas para la mitigación de riesgos, sobre todo en fallas de seguridad para lograr una continuidad del negocio, lo cual es la capacidad para mantener sus actividades diarias, incluso cuando se haya sufrido un ataque.
¿Qué pasa con las leyes de seguridad? Aunque cada país tiene sus propias leyes, este dominio se encarga de cumplir cada una de ellas.
Por ejemplo, en Estados Unidos esta prohibido contraatacar a un hacker, solo permite defenderse, pero en México no existe una ley que establezca cómo actuar en este respecto, al menos al día que escribo esto pero como dato interesante y para resaltar que cada ley va evolucionando, apenas hace unos meses, la SEDENA (Secretaría de Defensa Nacional de México) sufrió un ataque cibernético, por lo que se están regulando las leyes de ataque cibernético en este país.
Siempre existe una normativa ética que todos deberíamos seguir, lo cual es el fundamento de todo analista de seguridad.
En este dominio también encontrarás una relación muy estrecha con la InfoSec o seguridad de la información, el cual es un conjunto de procesos y herramientas de la seguridad establecidos para proteger la información. Algunos procesos de diseño de InfoSec son:
- Respuesta a incidencias
- Detección y respuesta en el punto de conexión (EDR)
- Seguridad en la nube,
- Criptografía
- Seguridad de la infraestructura
- Gestión de las vulnerabilidades
- Seguridad de la aplicación
2. Dominio de Seguridad de los activos (Asset Security)
Este dominio tiene a su resguardo los activos digitales y físicos.
De igual manera tiene responsabilidades con respecto al almacenamiento, mantenimiento, retención y la destrucción de datos.
Cuando hablamos de activos, nos referimos a todos los bienes valiosos de cada empresa, esto incluye los datos de Información de Identificación Personal (PII). ¿Imaginas que un banco no cuide tus datos personales? Esto expondría tu dirección personal, tu nombre, rostro, Número de Seguridad Social, etc.
Así como mencioné los activos digitales, también debe tener esa responsabilidad con los activos físicos, como la destrucción adecuada de equipos viejos, así como la información sensible o confidencial.
Aquí nos adentramos en la creación de políticas y procedimientos para alcanzar que todos los datos sean conservados o incluso destruidos correctamente.
Un ejemplo es que, como analista de seguridad en este dominio, tengas que supervisar la destrucción correcta de sistemas de almacenamiento, como discos duros.
3. Dominio de Ingeniería y arquitectura de seguridad (Security Architecture and Engineering)
Su tarea en este dominio se centra en mejorar la seguridad de los datos mediante herramientas, sistemas y procesos adecuados, con el objetivo de proteger los activos y datos de una empresa.
Aquí escucharás el concepto de responsabilidad compartida, pues todas las personas involucradas son responsables de la seguridad con cada una de las acciones que hagan.
Uno de los trabajos en específico que realizaría el encargado de este dominio, sería la configuración de un firewall, aunque sus diseños siempre van relacionados con la simulación de amenazas, principio de privilegio mínimo, confianza cero, confianza tras verificación, defensa de profundidad, fallar de forma segura, separación de funciones y simplicidad.
4. Dominio de Comunicación y seguridad de la red (Communication and Network Security)
Aquí se salvaguardan las tareas relacionadas con la gestión y seguridad de las redes físicas y las comunicaciones inalámbricas.
Tener una red totalmente segura, es un muro adicional de protección para evitar que atacantes logren poner en riesgo los activos de una empresa.
Aquí entran actividades como el análisis del comportamiento de los usuarios dentro de la organización para mitigar riesgos de las actividades que realizan, como podría ser la conexión a puntos de acceso inalámbricos inseguros.
Aquí podemos incluir los intentos de hackeo mediante los ataques de contraseña.
5. Dominio de Gestión de identidad y acceso (Identity and Access Management o simplemente IAM)
Este dominio, como su nombre lo dice, tiene su foco en los accesos y la autorización para permitir ver o manipular determinados datos. Junto a este enfoque, su tarea se basa en mantener seguros los datos al garantizar que se sigan políticas establecidas para controlar y administrar activos tanto físicos como lógicos.
Estos activos pueden ser espacios de oficina o redes y aplicaciones. Algunas de estas tareas en específico son la validación de identidades de empleados o la documentación de roles de acceso.
La idea aquí es que se deba limitar el acceso de los datos únicamente a las personas que deban tener acceso a esos datos. Mientras menos personas tengan esa autorización, mayor será el control, pero sobre todo, debemos comprender que NO todos deben tener acceso a todos los datos. También así podemos rastrear quién tiene acceso a qué datos, lo cual es funcional en situaciones que existan incidencias o una falla de seguridad.
En este dominio tenemos cuatro componentes, los cuales se basan en la AAA de la seguridad:
- Identificación – Verificar quién es el usuario (Usualmente con un nombre de usuario, dato biométrico o tarjeta de acceso)
- Autenticación – Así se le llama al proceso de autenticar que alguien sea en verdad quien dice ser (Es lo que hace una contraseña de acceso)
- Autorización – Se da esto después de ser aprobada la identificación y la autenticación, el cual dará su nivel de acceso, según su puesto.
- Responsabilidad (Accountability) – Es el registro de todo lo que hace un usuario para comprobar que los sistemas se utilizan correctamente.
6. Evaluación de seguridad y pruebas
Como lo dice su nombre, su tarea es la de realizar las pruebas de control de seguridad, realizar auditorías de seguridad periódicas para la identificar posibles riesgos, amenazas y vulnerabilidades.
¿Para qué sirven las pruebas de seguridad? Al realizar este tipo de actividad, será más fácil para todo un equipo de seguridad el identificar nuevas formas para mitigar amenazas, así como encontrar nuevas vulnerabilidades. Todo esto siempre debe ir de la mano con los objetivos de la organización, pues los controles establecidos deben llevar al alcance de las metas ya establecidas.
Otra tarea que se hace en este dominio es la recopilación y análisis de datos, con la finalidad de establecer nuevos controles o incluso de implementar nuevos, por ejemplo, un control adicional puede ser la obligación de la autenticación de dos pasos.
7 Operaciones de seguridad (Security Operations)
Los ingenieros en este sistema van a realizar investigaciones e implementaciones de medidas preventivas. Aquí se estará al pendiente de alertas sobre posibles intrusos y ataques directos a la red.
¿Qué significa todo esto? Bueno, en realidad para comenzar una investigación, se necesita haber identificado un incidente de seguridad. Hablamos de una acción urgente para reducir los posibles riesgos contra una organización. Cuando haya un ataque, es importante mitigarlo, evitando que se vuelva cada vez más grande.
La recopilación de datos aquí, se dará después de haber neutralizado la amenaza, pues se debe adquirir evidencia de datos digitales y físicos para una investigación forense digital, en donde se deberá localizar el cuándo, cómo y por qué se produjo la falla de seguridad, con la finalidad de mejorar los estándares de seguridad dentro de una organización.
Sería una verdadera falla que volviera a pasar el mismo ataque dos veces una negligencia, ¿Verdad? Sería cometer dos veces el mismo error.
Algunas de las herramientas que este dominio puede utilizar son:
- Entrenamiento y concientización
- Informes y documentación
- Herramientas SIEM
- Playbooks (Manuales de estrategias)
- Gestión de incidentes
- Gestión de registros
8. Seguridad de desarrollo de software
En este dominio nos vamos a centrar en el uso de prácticas seguras de codificación, que son una serie de recomendaciones que se utilizan para la creación de aplicaciones y servicios seguros.
Aquí se hará el desarrollo de un software a la par de los desarrolladores de software para lograr un software seguro. Esto se debe realizar en cada fase del ciclo de vida del desarrollo de software.
0 comentarios