En post anteriores revisamos lo que es un riesgo (Efecto de la incertidumbre sobre los objetivos), en este post vamos a ver cinco clases de controles que se utilizan para tratar los riesgos. Empecemos por definir lo que es un control:
Control: Medida por la que se modifica el riesgo.
Los controles incluyen procesos, políticas, dispositivos, prácticas, entre otras acciones que modifican el riesgo. Otros términos utilizados para referirse a control son: salvaguarda o contramedida.
Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado, pero que se corrige. Ejemplo: implementación de un sistema de prevención de intrusos IPS.
Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Ejemplo: implementación de un sistema de detección de intrusos IDS.
Control de acceso: Significa garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad. Ejemplo: implementación de un firewall.
Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza. Ejemplo: carteles acerca de que el cliente está siendo monitoreado por cámara para que desista de su intención.
Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Ejemplo: Implementación de un plan de recuperación de desastres DRP.
Estas son las cinco clases de controles usadas para tratar los riesgos junto con un ejemplo de cada una de ellas. Úsalas para tratar los riesgos en tu organización.
No hay comentarios:
Publicar un comentario