El Estándar
Dominios de Control
OFDSS abarca 79 requisitos de seguridad individuales en 13 dominios de control, cada uno abordando un área crítica de la seguridad de datos para los servicios financieros nativos de la nube.
1. Asignación de Recursos
Asegura que se asignen recursos adecuados —personal, presupuesto y herramientas— a la seguridad de la información. Este dominio establece la base para un programa de seguridad sólido al requerir compromiso organizacional.
2. Gestión de Activos
Abarca la identificación, clasificación y gestión de activos de información. Las empresas deben mantener un inventario de activos y comprender la sensibilidad de los datos que manejan.
3. Controles de Acceso
Aborda la autenticación, autorización y gestión de accesos. Esto incluye el aprovisionamiento de usuarios, la autenticación multifactor, el control de acceso basado en roles y el principio de mínimo privilegio.
4. Controles de Cambios
Establece requisitos para gestionar cambios en sistemas y aplicaciones. Este dominio asegura que los cambios sean revisados, probados y aprobados antes de su implementación en producción.
5. Ciclo de Vida del Desarrollo de Software (SDLC)
Abarca las prácticas de desarrollo seguro de software, incluyendo la revisión de código, las pruebas de seguridad y la gestión de vulnerabilidades a lo largo del proceso de desarrollo.
6. Criptografía
Aborda el uso de cifrado para proteger datos en reposo y en tránsito. Esto incluye las prácticas de gestión de claves, los estándares de cifrado y la gestión de certificados.
7. Minimización de Datos
Asegura que las empresas recopilen, procesen y retengan únicamente la cantidad mínima de datos necesaria. Este dominio se alinea con los principios de privacidad y los requisitos regulatorios.
8. Auditoría y Alertas
Abarca las capacidades de registro, monitoreo y alertas. Las empresas deben mantener registros de auditoría, monitorear eventos de seguridad y contar con mecanismos de alerta para actividad sospechosa.
9. Gestión de Incidentes
Establece requisitos para detectar, responder y recuperarse de incidentes de seguridad. Esto incluye planes de respuesta a incidentes, procedimientos de comunicación y revisión posterior al incidente.
10. Seguridad de Red
Aborda la arquitectura, segmentación y protección de redes. Esto incluye la gestión de firewalls, el monitoreo de redes y los principios de diseño seguro de redes.
11. Concientización y Capacitación
Abarca los programas de concientización y capacitación en seguridad para los empleados. Las empresas deben asegurar que el personal comprenda sus responsabilidades de seguridad y esté capacitado sobre las amenazas actuales.
12. Gestión de Proveedores
Aborda los requisitos de seguridad para proveedores y prestadores de servicios externos. Las empresas deben evaluar las prácticas de seguridad de los proveedores y gestionar el riesgo asociado a estos.
13. Pruebas Independientes
Requiere pruebas de seguridad independientes de forma regular, incluyendo pruebas de penetración y evaluaciones de vulnerabilidades. Este dominio asegura que los controles de seguridad sean validados por terceros calificados.
Resumen
| # | Dominio | Área de Enfoque |
|---|---|---|
| 1 | Asignación de Recursos | Compromiso organizacional |
| 2 | Gestión de Activos | Clasificación e inventario de datos |
| 3 | Controles de Acceso | Autenticación y autorización |
| 4 | Controles de Cambios | Procesos de gestión de cambios |
| 5 | SDLC | Prácticas de desarrollo seguro |
| 6 | Criptografía | Cifrado y gestión de claves |
| 7 | Minimización de Datos | Privacidad y manejo de datos |
| 8 | Auditoría y Alertas | Monitoreo y registro |
| 9 | Gestión de Incidentes | Respuesta y recuperación |
| 10 | Seguridad de Red | Arquitectura y segmentación |
| 11 | Concientización y Capacitación | Educación de empleados |
| 12 | Gestión de Proveedores | Riesgo de terceros |
| 13 | Pruebas Independientes | Validación externa |