¿Qué es un control de seguridad? es un sistema de protección que se utiliza para proteger los activos de una organización.
Se debe entender por activo todo aquello que sea de mayor o menor valor para una organización, como lo pueden ser datos personales, edificios, computadoras, mano de obra, etc.
Podemos clasificar en tres categorías los controles de seguridad e identificar al menos cinco tipos distintos.
¿Cómo se pueden clasificar los controles de seguridad?
Como lo acabamos de mencionar, podemos clasificar los controles de seguridad por su función que tienen o por el objetivo que consiguen.
Puedes también ver más temas dando clic en las siguientes imágenes
Así que empecemos a ver las tres categorías de estos controles por su función.
- Controles de seguridad administrativos
Estos controles tienen por enfoque el factor humano. Dentro de este tipo de controles podemos encontrar políticas de seguridad, procedimientos y responsabilidades de los empleados para la protección de la organización.
Podríamos decir que su eficiencia se basa en la capacidad de la organización para lograr que cada empleado cumpla cada uno de estos controles. Por lo regular se encontrarán sanciones o incluso incentivos en estos controles en caso de que se cumplan o no estas políticas.
En la mayoría de sus casos, estas políticas requerirán de los otros dos tipos de controles.
- Controles de seguridad técnicos
Como su nombre lo dice, estos controles usan sistemas de protección tecnológico. Ejemplo de estos controles son los firewalls, sistemas de prevención y detección de intrusiones, uso de VPN, sistemas de cifrado, etc.
Cada uno de esos controles se podrán configurar de manera distinta, según los objetivos que quiera alcanzar la organización.
Es importante mencionar que estos tipos de controles siempre van a necesitar de personal especializado para su correcto uso. Según el tamaño de la organización, podrán ser internos o incluso mediante la contratación de servicios externos.
- Controles físicos
Los controles físicos son aquellos sistemas que están en contacto directo con los empleados.
Ejemplos de los controles de seguridad físico son las cerraduras, lectores de tarjetas, biométricos, etc.
¿Cuáles son los tipos de controles de seguridad?
Ahora vamos a ver la clasificación por tipos de controles que hacen referencia al objetivo de seguridad que tienen y los podemos clasificar en cinco:
- Controles preventivos
- Controles correctivos
- Controles de detección
- Controles disuasivos
- Controles compensatorios
Los controles preventivos tienen el objetivo de prevenir cualquier incidente, a diferencia de los controles correctivos, que son aquellos que se utilizan después de que se haya suscitado algún incidente.
Para los controles de detección su objetivo es el de detectar anomalías, verificar si ya se suscita algún incidente de seguridad o si está en curso alguno. Los controles disuasivos buscan disuadir de alguna manera que se lleve a cabo una incidencia.
Por último, los controles compensatorios, buscan, de alguna manera, ser un respaldo por si algún otro control no es suficiente para proteger a la organización de un riesgo.
Ejemplos de controles de ciberseguridad por clasificación
A continuación vamos a ver un ejemplo de cada uno dentro de su clasificación, además que podrás notar en cómo se pueden categorizar todos los tipos de controles.
- Controles administrativo
- Nombre de control: Control de mínimo privilegio
Tipo de control: Preventivo
Objetivo: Evitar el uso inadecuado de datos sensibles al evitar que los usuarios tengan acceso a información que NO necesitan para trabajar.
- Nombre de control: Plan de recuperación ante incidentes
Tipo de control: Correctivo
Objetivo: Continuar con la operación de la organización después de haberse enfrentado a un incidente.
- Controles técnicos
- Nombre de control: Sistema de detección de intrusiones o IDS
Tipo de control: Detección
Objetivo: Detectar algún intento o incluso una intrusión anómalo, según la configuración.
- Nombre de control: Control de cifrado
Tipo de control: Disuasivo
Objetivo: Lograr la transmisión segura y confidencial de datos a través de una red.
- Controles físicos
- Nombre de control: Iluminación correcta en áreas de operación
Tipo de control: Disuasivo
Objetivo: Disuadir de que se realice alguna incidencia porque hay luz.
- Vigilancia de Circuito Cerrado de Televisión (CCTV)
Tipo de control: Disuasivo / Detección / Prevención
Objetivo: Este tipo de control entra en tres categorías distintas, ya que en un incidente, se puede disuadir a las personas que hagan alguna actividad ilícita, preventivo por que puede reducir el porcentaje de eventos adversos a los objetivos de la organización y también de detección, pues al realizarse un incidente físico, puede detectar quién y a qué hora realizó el incidente.
