Control Objectives
Los resultados deseados que deben lograrse al implementar controles de seguridad
¿Qué son los Control Objectives?
Los objetivos de control son los resultados deseados que deben lograrse al implementar uno o más controles de seguridad.
💡
No se enfocan en el "cómo", sino en el "qué" se quiere lograr.
🎯 ¿Qué buscan lograr?
Reducir Vulnerabilidades
Minimizar puntos débiles en el sistema
Prevenir Explotación
Disminuir la probabilidad de ataques exitosos
Minimizar Impacto
Reducir daños cuando ocurren incidentes
🛠️ Ejemplos Prácticos
Objetivo
Control Asociado
Evitar acceso no autorizado
ACLs Autenticación multifactor
Detectar actividades sospechosas
Logs SIEM
Recuperarse de ataques
Plan de respaldo Recuperación
🧱 Tipos de Control Relacionados
1. Countermeasures (Contramedidas)
Controles aplicados específicamente para mitigar una amenaza identificada.
2. Métricas de Control:
Funcionalidad ¿Qué hace?
Efectividad ¿Qué tan bien lo hace?
Aseguramiento ¿Podemos confiar en que funcione?
Costo-beneficio ¿Vale la pena la inversión?
🏢 Ejemplo Real
Escenario: Empresa quiere proteger datos de RRHH
1
Objetivo: Restringir acceso no autorizado a datos confidenciales
2
Control: Segmentación de red + políticas de acceso en Active Directory
3
Métrica: Disminución de incidentes de acceso indebido en 6 meses
Técnica Mnemotécnica
"Objetivo = Ojalá lo logre"
Recuerda que el objetivo es lo que se quiere lograr; el control es lo que se implementa.
💼
Consejo Profesional
Muchos errores de seguridad ocurren porque se implementan controles sin claridad sobre el objetivo de negocio que deben cumplir. Siempre pregunta: "¿Qué riesgo quiero reducir con esto?"