Repaso rápido: Controles de seguridad – ISC2 CC

Lo que realmente debes saber

Los controles de seguridad son medidas utilizadas para reducir el riesgo y proteger sistemas, datos, usuarios y procesos. Para ISC2 CC debes entender que no todos los controles hacen lo mismo: algunos previenen, otros detectan, otros corrigen o reducen el impacto de un incidente.

Un error común es pensar que un control siempre es una herramienta técnica. En realidad, un control puede ser técnico, administrativo o físico.

Conceptos clave

• Control preventivo: intenta impedir que ocurra un incidente.
• Control detectivo: detecta eventos, anomalías o actividad sospechosa.
• Control correctivo: ayuda a restaurar una situación después de un problema.
• Control disuasorio: desalienta comportamientos no autorizados.
• Control compensatorio: reduce el riesgo cuando el control principal no está disponible o no es suficiente.
• Control técnico: usa tecnología, sistemas o software.
• Control administrativo: se refiere a políticas, procedimientos, formación y gestión.
• Control físico: protege entornos, edificios, dispositivos y accesos físicos.

Diferencias que no debes confundir

Tipo de control	Función principal
Preventivo	Impide o reduce la probabilidad de un incidente
Detectivo	Detecta eventos o actividad sospechosa
Correctivo	Ayuda a recuperarse después de un incidente
Disuasorio	Desalienta comportamientos no autorizados
Compensatorio	Reduce el riesgo como alternativa o apoyo a otros controles
Técnico	Usa herramientas tecnológicas
Administrativo	Usa reglas, políticas y procesos
Físico	Protege personas, instalaciones y dispositivos

Controles preventivos

Un control preventivo sirve para evitar que se produzca un problema o para reducir su probabilidad.

Ejemplos:

• firewall;
• autenticación multifactor;
• control de accesos;
• formación anti-phishing;
• parcheo de sistemas;
• política de contraseñas.

Para el examen ISC2 CC debes recordar que un control preventivo actúa antes del incidente.

Controles detectivos

Un control detectivo sirve para identificar actividades sospechosas, anomalías o incidentes que ya están en curso o que ya han ocurrido.

Ejemplos:

• IDS;
• logs de seguridad;
• sistemas SIEM;
• alertas de monitorización;
• audit trail;
• revisión de accesos.

Un control detectivo no necesariamente impide el incidente, pero permite descubrirlo y reaccionar.

Controles correctivos

Un control correctivo sirve para restaurar la situación después de un incidente o un error.

Ejemplos:

• backup;
• disaster recovery;
• restauración de configuraciones;
• eliminación de malware;
• aplicación de parches después de una compromisión;
• procedimientos de incident response.

Un control correctivo es importante porque ningún sistema es completamente inmune a los incidentes.

Controles disuasorios

Un control disuasorio sirve para desalentar comportamientos no deseados o no autorizados.

Ejemplos:

• carteles de videovigilancia;
• políticas disciplinarias;
• avisos legales;
• badges visibles;
• cámaras;
• presencia de guardias.

El punto clave es que el control disuasorio no siempre bloquea físicamente la acción, sino que intenta disuadir a quien podría realizarla.

Controles compensatorios

Un control compensatorio se utiliza cuando el control principal no es posible, no es suficiente o debe estar respaldado por otro control.

Ejemplo: si un sistema legacy no soporta MFA, se pueden usar segmentación de red, monitorización más estricta, restricciones IP y controles de acceso más rigurosos.

El control compensatorio no es un control aleatorio: debe reducir concretamente el riesgo residual.

Controles técnicos, administrativos y físicos

Los controles también pueden clasificarse según su naturaleza.

Los controles técnicos usan tecnología. Ejemplos: firewall, antivirus, MFA, cifrado, IDS, IPS.

Los controles administrativos se refieren a reglas y procesos. Ejemplos: políticas de seguridad, formación, procedimientos, risk assessment, onboarding y offboarding.

Los controles físicos protegen entornos y dispositivos. Ejemplos: cerraduras, badges, cámaras, puertas, armarios rack cerrados, control de acceso a edificios.

Ejemplos prácticos para recordar

Escenario	Control más probable
Bloquear tráfico no autorizado	Preventivo / Técnico
Detectar intentos de intrusión	Detectivo / Técnico
Restaurar datos perdidos	Correctivo
Disuadir accesos no autorizados a un edificio	Disuasorio / Físico
Definir reglas empresariales de seguridad	Administrativo
Usar backups después de ransomware	Correctivo
Formar usuarios contra phishing	Preventivo / Administrativo
Usar cámaras en la entrada	Disuasorio / Físico

Errores comunes en los quiz

• Confundir controles preventivos y detectivos.
• Pensar que un IDS es preventivo solo porque está relacionado con la seguridad.
• Olvidar que un backup es un control correctivo.
• Confundir controles técnicos y administrativos.
• Pensar que los controles físicos no forman parte de la ciberseguridad.
• Creer que un control compensatorio siempre elimina completamente el riesgo.
• Pensar que un control disuasorio siempre bloquea físicamente un ataque.

Mini escenario de examen

Una empresa instala un sistema IDS para recibir alertas cuando se detecta tráfico sospechoso en la red. Este es un control detectivo, porque sirve para detectar actividad potencialmente peligrosa y generar alertas.

Si en cambio la empresa usa un firewall para bloquear tráfico no autorizado antes de que llegue a los sistemas internos, ese es un control preventivo.

Mini checklist antes del quiz

Antes de empezar el quiz deberías saber explicar:

• qué hace un control preventivo;
• qué hace un control detectivo;
• qué hace un control correctivo;
• qué significa control disuasorio;
• cuándo se usa un control compensatorio;
• la diferencia entre controles técnicos, administrativos y físicos;
• por qué los backups son controles correctivos;
• por qué un IDS es detectivo y no preventivo;
• por qué varios controles juntos reducen mejor el riesgo.