Controles Canónicos
Los controles canónicos son una capa de mapeo entre frameworks que unifica requisitos de seguridad equivalentes en múltiples frameworks de cumplimiento — incluyendo SOC 2, ISO 27001, GDPR, HIPAA, PCI DSS, LGPD y CCPA.
En lugar de tratar los controles de cada framework de forma aislada, los controles canónicos establecen una identidad compartida para los requisitos que abordan el mismo objetivo de seguridad subyacente. Un único control canónico puede mapearse a varios controles específicos de frameworks simultáneamente, permitiendo una detección de solapamientos más precisa, una recolección unificada de evidencias y reportes de estado consistentes en todo el programa de cumplimiento.
Cómo Funciona
Cada control canónico representa un requisito de seguridad universal — por ejemplo, Control de Acceso Lógico o Cifrado en Reposo. Los controles específicos de cada framework se mapean a estos controles canónicos, reflejando el grado en que abordan el mismo requisito.
Control Canónico: Control de Acceso Lógico (AC-001)
├── SOC 2 CC6.1
├── ISO 27001 A.5.15
└── HIPAA §164.312(a)(1)
Esta estructura potencia varias capacidades en la plataforma:
- Detección de solapamientos — Al activar un segundo framework, la plataforma identifica los controles ya cubiertos por tu programa existente.
- Compartición de evidencias — Las evidencias recopiladas para un framework pueden reutilizarse para controles equivalentes en otro, reduciendo la duplicación.
- Propagación de estado — Satisfacer un control en un framework puede satisfacer automáticamente su equivalente en otro, dependiendo del nivel de confianza del mapeo.
- Reportes de cobertura — Comprende cuánto de cada framework ya está cubierto a través de los mapeos de controles canónicos.
Dominios de Seguridad
Los controles canónicos están organizados en 17 dominios de seguridad. La tabla siguiente lista cada dominio, sus códigos de control y el área de seguridad que cubre.
| Dominio | Controles | Descripción |
|---|---|---|
| Control de Acceso | AC-001 – AC-005 | Acceso lógico, acceso físico, gestión de identidades, gestión de privilegios y aprovisionamiento |
| Criptografía | CR-001 – CR-003 | Cifrado en reposo, cifrado en tránsito y gestión de claves |
| Logging y Monitoreo | LM-001 – LM-003 | Registro de auditoría, monitoreo de seguridad y protección de la integridad de logs |
| Gestión de Cambios | CM-001 – CM-002 | Procesos de control de cambios y ciclo de vida de desarrollo seguro (SDLC) |
| Backup y Recuperación | BR-001 – BR-003 | Copias de seguridad, recuperación ante desastres y planificación de continuidad del negocio |
| Respuesta a Incidentes | IR-001 – IR-003 | Programa de respuesta, detección y análisis, y notificación de brechas |
| Gestión de Proveedores | VM-001 – VM-002 | Evaluación de riesgos de terceros y acuerdos con proveedores |
| Protección de Datos | DP-001 – DP-004 | Clasificación de datos, minimización, derechos de los interesados y privacidad por diseño |
| Política de Seguridad | SP-001 – SP-003 | Política de seguridad de la información, evaluación de riesgos y gestión del cumplimiento |
| Concienciación en Seguridad | SA-001 | Programas de formación y concienciación en seguridad |
| Gestión de Vulnerabilidades | VU-001 – VU-002 | Análisis de vulnerabilidades y pruebas de penetración |
| Seguridad de Red | NS-001 – NS-002 | Controles de red y segmentación de red |
| Gestión de Activos | AM-001 – AM-002 | Inventario de activos y protección de endpoints |
| Seguridad de Recursos Humanos | HR-001 – HR-002 | Verificación de antecedentes y condiciones de empleo |
| Consentimiento y Base Legal | CL-001 – CL-002 | Base legal para el tratamiento de datos y gestión del consentimiento |
| Transferencia Internacional de Datos | IT-001 | Mecanismos de transferencia de datos transfronteriza |
| Gobernanza | GV-001 – GV-002 | Designación del Responsable de Protección de Datos (DPO) y registros de actividades de tratamiento |
La plataforma actualmente incluye 42 controles canónicos con 168 mapeos cruzados en todos los frameworks soportados.
Niveles de Confianza del Mapeo
Cada mapeo entre un control canónico y un control específico de framework recibe un nivel de confianza que refleja el grado de equivalencia entre ellos.
| Nivel | Significado | Comportamiento en la Plataforma |
|---|---|---|
| Exacto | Los controles abordan el mismo requisito y requieren las mismas evidencias. | Las evidencias y el estado se comparten automáticamente entre los frameworks mapeados. |
| Parcial | Los controles se solapan en alcance, pero las evidencias pueden no ser totalmente transferibles. | La plataforma muestra la relación y te notifica, pero no propaga el estado automáticamente. |
| Relacionado | Los controles son temáticamente similares pero abordan requisitos distintos. | Se muestra solo como referencia — no se aplica automatización. |
El nivel de confianza del mapeo influye directamente en cómo la plataforma gestiona la reutilización de evidencias y la propagación de estado. Para mapeos de tipo exacto, satisfacer un control en un framework satisfará automáticamente su equivalente en todos los frameworks mapeados. Para mapeos de tipo parcial y relacionado, se requiere revisión antes de aplicar cualquier crédito de equivalencia.
A medida que se añaden nuevos frameworks a la plataforma, sus controles se mapean a la biblioteca de controles canónicos existente donde existan equivalencias, maximizando la reutilización en todo el programa de cumplimiento.