Este documento introduce los controles de seguridad de la información y ciberseguridad. Explica el contexto normativo de los controles y define diferentes tipos de controles, incluyendo controles organizacionales, técnicos, físicos y de personas. También proporciona ejemplos de controles para equipos, infraestructura, desarrollo, amenazas y vulnerabilidades, y servicios. El objetivo es ayudar a las organizaciones a comprender y aplicar controles de seguridad efectivos.

1. Introducción a los controles
Controles del Seguridad de la Información y
Ciberseguridad

2. ▪ Contexto Normativo
▪ Definición de Controles
▪ Caracterización de Controles
▪ Ejemplos de controles
Agenda

3. Consultas
Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl
Director del Programas de Diplomados de Ciberseguridad
www.diplomadociberseguridad.com
Cybersecurity Governance & Management Expert
Advisor | Academic |Global | 20 years experience
ISO 27001/22301/37301/27701 Implementer and Auditor
Certified COBIT 2019 | NIST | CISM | CISA | CCSA

4. IMPLEMENTADOR LÍDER ISO 27.002:2022
Contexto Normativo

5. Proyecto Ley Marco de Ciberseguridad e IC – Visión General
Disposiciones Legales
Definiciones
Principios
Obligaciones de ciberseguridad
Agencia Nacional de Ciberseguridad
Consejo Multisectorial sobre Ciberseguridad
CSIRT Defensa Nacional
Infracciones y Sanciones
Comité Interministerial de Ciberseguridad

6. A quien aplica esta Ley?
1. Servicios de Telecomunicaciones
2. Servicios de Infraestructura Digital
3. Servicios de Ciberseguridad
4. Servicios de generación, transmisión y distribución
eléctrica
5. Servicios de producción, transporte, almacenamiento y
distribución de combustibles
6. Servicios sanitarios y de agua potable
7. Servicios comerciales de transporte aéreos, ferroviarios
y marítimos
8. Servicios portuarios
9. Servicios aeroportuarios
10. Servicios bancarios y financieros
11. Servicios de AFP, fondos de cesantía y servicios de
salud previsional
12. Servicios de prestaciones de salud

7. Articulo 6 - Sobre las Obligaciones (1 de 2)
a) Implementar un SGSI
b) Mantener un registro de las acciones ejecutadas del SGSI
c) Desarrollar planes de continuidad operacional
d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas
informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad
e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un
incidente de ciberseguridad
f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento

8. Articulo 6 - Sobre las Obligaciones (2 de 2)
g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer
gravemente sus redes y sistemas informáticos.
h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores,
que incluyan campañas de ciberhigiene.
i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de
la máxima autoridad de la institución a la que pertenece.

9. Estructura de Gobernanza
Presidencia
Ministerio
Agencia Nacional
de Ciberseguridad
CSIRT Defensa
Nacional
CSIRT Sectoriales
CSIRT Nacional
Consejo
Multisectorial

10. IMPLEMENTADOR LÍDER ISO 27.002:2022
Definiciones y clasificaciones de controles

11. Contexto de Controles
Fuente: Manual de Preparación de Examen CRISK 2021

12. Alcance de Controles
Fuente: Manual de Preparación de Examen CRISK 2021

13. Categorías de Controles
Fuente: Manual de Preparación de Examen CRISK 2021

14. Categorías de Controles - NIST
Contramedidas (Pre-Incidente)
Contramedidas (Post-Incidente)

15. ▪ Un entorno de control considerará:
▪ Controles funcionales (Organizacionales, Personas, Físicos, Tecnológicos)
▪ Controles de acuerdo a su naturaleza (Defensiva, Preventiva)
▪ Controles de acuerdo a su tipo (Preventivo, Correctivo, Detectivo)
▪ Controles de acuerdo al CID (Confidencialidad, Integridad, Disponibilidad)
▪ Controles de acuerdo a función (Identificar, Proteger, Detectar, Responder, Recuperar)
▪ La importancia de clasificar los controles radica en el establecimiento de
responsabilidades y determinar las reales capacidades del entorno de control
en términos de las diversas clasificaciones.
Consideraciones

16. IMPLEMENTADOR LÍDER ISO 27.002:2022
Caracterización de controles

17. Caracterización de controles
¿Que controles deberíamos tener implementados en las personas?
▪ Antes de la Contratación
▪ Durante la Contratación
▪ Termino de la Contratación

18. Caracterización de controles - Equipamiento
¿Que controles deberíamos tener implementados en equipamiento?
▪ Controles de Personas
▪ Controles Lógicos
▪ Controles Físicos
▪ Controles Organizacionales

19. Caracterización de controles – Infraestructura Física
¿Que controles deberíamos tener implementados en la infraestructura?
▪ Controles Preventivos
▪ Controles Detectivos
▪ Controles Correctivos

20. Caracterización de controles – Desarrollo
¿Que controles deberíamos tener implementados en el Desarrollo?
▪ Para la Confidencialidad
▪ Para la Integridad
▪ Para la Disponibilidad

21. Caracterización de controles – Amenazas/Vulnerabilidades
¿Que controles deberíamos tener implementados en A/V?
▪ De Gobierno
▪ De Detección
▪ De Protección
▪ De Respuesta
▪ De Recuperación

22. Caracterización de controles – Servicios
¿Que controles deberíamos tener implementados en Servicios?

23. Aspectos Positivos:
▪ Buena visión de controles necesarios.
▪ Muchos controles implementados.
▪ Con adecuado nivel técnico.
Consideraciones
Aspectos Negativos:
▪ No hay recursos.
▪ No hay capacidades ni competencias.
▪ Poco conocimiento de categorías.
▪ Ni hay formalización.
▪ No hay alineamiento con buenas prácticas.

24. IMPLEMENTADOR LÍDER ISO 27.002:2022
Controles sobre el equipamiento

25. 8.1 Dispositivo de Usuario Final
▪ Nuevo Control de la ISO 27.002:2022.
▪ Proteger la información contra los riesgos derivados del uso de dispositivos de punto final de usuario.
▪ Son controles bastante generales y de alto grado de aceptación, los cuales se agrupan en 4 categorías:
▪ Generales
▪ Responsabilidad del usuario
▪ Uso de dispositivos personales
▪ Conexión a redes inalámbricas
▪ El control esta muy alineado con las necesidades actuales de teletrabajo.

26. 8.1 Dispositivo de Usuario Final - General
Clasificar de
acuerdo a la
información
Registro de
usuarios de
Endpoint
Requisitos de
seguridad física
Restricciones de
instalación de
software
Actualización
Automática de
software
Reglas para
conectarse a
redes
Control de
acceso
Discos cifrados
Protección
contra malware
Gestión de
Accesos remotos
Respaldos
Uso de servicios
web y
aplicaciones
Analítica de
comportamiento
Uso de
dispositivos
móviles
▪ Debería considerarse la realización de una política, la cual contenga:

27. 8.1 Dispositivo de Usuario Final - Otros
Terminar sesiones Proteger el activo
Uso en espacios
público
Protección física
Separar dispositivos
de negocio v/s
personales
Otorgar accesos solo
si los usuarios
reconocen sus
deberes
Procedimientos para
prevenir disputas de
Propiedad Intelectual
Accesos a equipos de
propiedad privada
Uso de Licencias en
dispositivos de
propiedad del usuario
Deshabilitación de
protocolos
vulnerables
Banda ancha acorde a
las necesidades de la
organización
Responsabilidad del usuario
Uso de dispositivos personales
Conexiones Inalámbricas

28. Consultas
▪ Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl

29. Introducción a los controles
Controles del Seguridad de la Información y
Ciberseguridad