Explica las categorías de controles de seguridad y da ejemplos de cada una.
Respuesta breve
Los controles se clasifican de dos maneras. Por tipo: administrativo (políticas, formación, procedimientos), técnico/lógico (cortafuegos, MFA, cifrado) y físico (cerraduras, tarjetas, cámaras). Por función: preventivo (detener un evento — MFA, control de acceso), detectivo (descubrir un evento — SIEM, IDS, registros de auditoría), correctivo (reparar después — restaurar copia de seguridad, aplicar parche), disuasorio (desalentar — banners de advertencia) y compensatorio (una alternativa cuando el control principal no es viable). La defensa en profundidad superpone estos controles para que ningún fallo aislado lleve a un compromiso.
Clasificar los controles es vocabulario fundamental de la GRC. Los entrevistadores lo preguntan para confirmar que sabes asociar una salvaguarda real con su propósito — que es exactamente lo que haces al diseñar un marco de controles o al cerrar una brecha detectada en una auditoría.
Clasificar por tipo
Esto describe qué tipo de cosa es el control:
- Administrativo (gerencial) — políticas, normas, procedimientos, evaluaciones de riesgo, formación en concienciación sobre seguridad, verificaciones de antecedentes.
- Técnico (lógico) — cortafuegos, MFA, cifrado, listas de control de acceso, IDS/IPS, protección de endpoints.
- Físico — cerraduras, vallas, lectores de tarjetas, esclusas de seguridad, CCTV, guardias.
Clasificar por función
Esto describe qué hace el control en la cronología de un evento:
- Preventivo — detiene un incidente antes de que ocurra (control de acceso, MFA, validación de entradas).
- Detectivo — identifica un incidente en curso o posterior (SIEM, IDS, registros de auditoría, monitorización de integridad de archivos).
- Correctivo — restaura los sistemas tras un incidente (restaurar desde copia de seguridad, aplicar un parche, reinstalar la imagen).
- Disuasorio — desalienta a un actor de intentarlo (banners de advertencia, cámaras visibles, política de sanciones).
- Compensatorio — una salvaguarda alternativa usada cuando el control principal no es viable, que ofrece una protección comparable (p. ej. monitorización reforzada cuando no se puede parchear un sistema heredado).
Superponerlos
Un control aislado acabará fallando. La defensa en profundidad superpone controles preventivos, detectivos y correctivos a través de los tipos administrativo, técnico y físico para que un único fallo no lleve a un compromiso.
Por qué importa
La señal más clara es un candidato capaz de situar una salvaguarda dada en ambas clasificaciones y explicar correctamente los controles compensatorios — aparecen constantemente en los hallazgos de auditoría y en las decisiones de tratamiento del riesgo.
Posibles preguntas de seguimiento
- ¿Cuándo usarías un control compensatorio en lugar del principal?
- Da un ejemplo de una tecnología que actúe a la vez como control detectivo y correctivo.
- ¿Cómo respaldan estas categorías una estrategia de defensa en profundidad?