00:00:08
a
00:00:10
buenos días y bienvenidos a otro vídeo
00:00:13
programa de su canal audi hack hoy
00:00:15
hablaremos sobre tipos y clases de
00:00:16
controles esto debido a que muchas veces
00:00:19
se piensa que se hora de la información
00:00:21
es solamente implementar controles
00:00:22
técnicos tecnológicos informáticos y
00:00:24
nada más pero nosotros sabemos que para
00:00:27
que la suya sea integral se debe
00:00:29
implementar controles también
00:00:30
administrativos y físicos aparte los
00:00:32
tecnológicos en ese entender partamos
00:00:35
desde lo más básico que es un control un
00:00:37
control es un medio para gestionar un
00:00:39
riesgo es decir que un control debe ser
00:00:41
justificado por un riesgo lo que hacen
00:00:44
las auditorías de hecho es cuando
00:00:46
simplemente en cuatro les revisan cuál
00:00:47
ha sido el riesgo que ha originado en la
00:00:50
necesidad de implementar ese control
00:00:52
entonces vemos que hay diferentes tipos
00:00:55
de controles los controles físicos los
00:00:57
controles lógicos o técnicos y los
00:00:59
controles administrativos nos vienen a
00:01:01
ser los tipos de control sin embargo
00:01:03
también hay clases de controles todas
00:01:06
las clases de controles son 7 definidas
00:01:09
tanto por el 10 ese 2 como ishak a estas
00:01:11
dos organizaciones coinciden en este
00:01:14
listado es decir controles directivos
00:01:16
preventivos de efectivos correctivos
00:01:19
restauradores disuasivos o
00:01:20
compensatorias y compensatorio
00:01:23
directivos son aquellos que especifican
00:01:25
acciones que se pueden realizar o no a
00:01:27
la organización preventivos son aquellos
00:01:30
que buscan evitar que sucede un
00:01:31
incidente de efectivos son aquellos que
00:01:34
buscan identificar actividades de un
00:01:36
potencial intruso incidente correctivo
00:01:39
son aquellos que buscan solucionar un
00:01:40
componente o sistema que después de que
00:01:42
ha ocurrido un incidente restauradores
00:01:44
su propósito retornar en el ambiente
00:01:46
operaciones regulares y disuasivos la
00:01:49
intención es desanimar a un atacante
00:01:51
potencial por otro lado tenemos los
00:01:53
compensatorios su objetivo es proveer
00:01:56
una medida alternativa de control cuando
00:01:58
no hemos podido implementar el control
00:02:00
como estaba requerido por una norma
00:02:02
interna o externa entonces vemos que
00:02:04
tenemos estas siete clases de controles
00:02:06
que repito ha sido definidas tanto por
00:02:08
el ss2 como ishak a estas dos
00:02:09
organizaciones que son independientes de
00:02:11
una de la otra
00:02:12
coinciden en esto mismo otro que no es
00:02:13
propio y saca nuestro que dice ese voz
00:02:15
es una muy buena práctica que se lleva
00:02:18
en la industria
00:02:20
vemos en la tablita que comparto en
00:02:24
pantalla que los controles de clase
00:02:27
directiva disuasiva y preventiva forman
00:02:30
parte de un carácter del control
00:02:32
operativo en cambio los controles de
00:02:34
efectivos correctivos y restauradores
00:02:36
son de carácter reactivo los proactivos
00:02:39
lo que vienen a hacer es reducir la
00:02:41
probabilidad de que un incidente se
00:02:42
produzca y los reactivos lo que buscan
00:02:44
es minimizar el efecto una vez que ha
00:02:47
ocurrido el incidente la idea de estas
00:02:49
clases de controles es poder cubrir todo
00:02:51
el ciclo de vida de un incidente por
00:02:54
otro lado los compensatorios lo que
00:02:55
buscan es alternar ya sea en controles
00:02:58
del tiempo por activo o de tipo reactivo
00:03:01
vemos algunos ejemplos en la parte
00:03:03
directiva administrativa vienen las
00:03:05
políticas las normas que uno elabora
00:03:07
para apoyar a la ciudad de información
00:03:09
en la parte técnica que es el grueso de
00:03:11
nuestro trabajo viene todo lo que son
00:03:13
las herramientas los controles
00:03:14
tecnológicos en lo que mejor nos
00:03:16
manejamos lo que mejor conocemos lo que
00:03:17
mejor tiene la industria en soluciones
00:03:19
no los ideas es bárboles arquitecturas
00:03:21
etcétera y en la parte física viene más
00:03:23
la parte electrónica barreras la parte
00:03:25
que es más evidente en lo que es más
00:03:27
palpable bien
00:03:31
hay que tomar en cuenta que estas
00:03:34
tabletas lo que buscan es que no sólo
00:03:37
hacemos control la idea de tener una
00:03:39
mapa como este un cuadrito como éste es
00:03:42
que justamente abordemos la asegura de
00:03:43
la información implementando controles
00:03:45
no solamente tecnológicos no solamente
00:03:47
controles que se encasillen en la parte
00:03:48
técnica sino también que los apoyos en
00:03:50
la parte administrativa y física con que
00:03:52
con el objetivo de poder cumplir el
00:03:54
objetivo de control valga la redundancia
00:03:56
la idea es cumplir el objetivo de
00:03:58
control un objetivo de control
00:03:59
dictaminado por una necesidad de cumplir
00:04:01
una norma interna o externa entonces uno
00:04:03
o más controles lo que van a hacer es
00:04:05
buscar cumplir un objetivo de control
00:04:11
y muchas veces se comete el error de
00:04:13
solapar controlen o de cubrir solamente
00:04:15
controles técnicos informáticos y dejar
00:04:18
de lado la parte administrativa las
00:04:20
buenas prácticas administrativas y
00:04:22
también la parte de su gráfica que
00:04:24
quizás no lo implementamos nosotros
00:04:26
directamente puede haber un área de
00:04:27
suela física un área de su hogar
00:04:28
corporativa que de esos temas pero
00:04:30
nosotros trabajamos con ellos para
00:04:32
cubrir o proteger la información es
00:04:35
bueno elaborar entonces un mapa como
00:04:37
éste no solamente para evitar el
00:04:39
solapamiento de controles sino también
00:04:41
para exponerlo ante el comité ejecutivo
00:04:42
de sobra de la información y poder
00:04:44
justificar el por qué estamos
00:04:45
implementando tales controles porque
00:04:47
muchas veces se piensa que estamos
00:04:49
concentrados simplemente en herramientas
00:04:50
sin embargo puede ser que estamos
00:04:52
implementando una herramienta que es
00:04:55
tecnológica pero es detective y por otro
00:04:58
lado el siguiente mes estamos
00:05:00
implementando otra herramienta
00:05:00
tecnológica pero que es de un carácter
00:05:04
correctivo web o preventivo ejemplo si
00:05:06
implementamos primeramente un analizador
00:05:09
de vulnerabilidades seguramente estamos
00:05:11
cubriendo una necesidad
00:05:14
preventiva no prevenir el tema de
00:05:17
vulnerar legales y el siguiente mes
00:05:19
vamos a implementar un cien unidades lo
00:05:22
que queremos es detectar posibles
00:05:24
incidentes entonces esto es más o menos
00:05:26
para que la gente del comité directivo
00:05:29
de seguridad de los miembros que no
00:05:32
precisamente son técnicos entiendan que
00:05:34
estamos implementando controles para
00:05:36
cubrir el ciclo de vida de un incidente
00:05:38
y no solamente concentrándonos en una
00:05:40
casilla o que estamos comprando juguetes
00:05:43
injustificados y redundando en controles
00:05:46
tecnológicos son de hecho me está
00:05:48
tablita me sirvió de mucho cuando
00:05:50
trabajaba en el banco para apoyar y
00:05:51
justificar los controles que íbamos
00:05:53
implementando poco a poco para que los
00:05:55
miembros del comité de estímulo dijo a
00:05:56
través de israel estamos comprando otra
00:05:59
herramienta otra solución pero si el
00:06:01
anterior mes habíamos comprado una
00:06:02
herramienta porque otra vez sucede que
00:06:04
la anterior herramienta era preventiva
00:06:05
ahora es directiva sin embargo pueden
00:06:08
haber soluciones integrales es decir que
00:06:10
ocupe más de una casilla por ejemplo un
00:06:11
antivirus es un control que es
00:06:13
preventivo de efectivo y correctivo por
00:06:15
las características que tienen o de
00:06:17
prevenir los virus detectar
00:06:20
con modelos de cuarentena etcétera lo
00:06:22
mismo pasa con los perros un perro por
00:06:23
ejemplo normal generalmente uno lo usa
00:06:27
en seguridad física como un sereno un
00:06:29
cuidador un perro que está disuadiendo y
00:06:31
si es un perro entrenado pasa a ser un
00:06:34
control de efectivo no un perro que
00:06:35
detectan explosivos detecta persona hay
00:06:38
otro tipo de elementos depende como
00:06:40
sobre entrenado entonces es bueno
00:06:43
es de mucha ayuda elaborar este tipo de
00:06:45
mapas para poder trabajar en abordar los
00:06:48
controles
00:06:53
dentro de los controles administrativos
00:06:57
tenemos la segregación de funciones
00:06:58
rotación de puestos y uso obligatorio de
00:07:01
vacaciones durante al menos 10 días
00:07:02
estos días deben ser son un número de
00:07:04
ejemplos simplemente la idea es que sea
00:07:08
una serie de días consecutivos donde
00:07:10
otra persona ocupe el puesto esto no es
00:07:13
solamente por la salud del empleado y
00:07:14
evitar el estrés laboral y demás que
00:07:16
seguramente son cosas que se preocupan
00:07:18
recursos humanos sin embargo para
00:07:20
nosotros es un tema de que la persona
00:07:23
que está cubriendo el cargo puede
00:07:24
detectar situaciones irregulares en el
00:07:25
puesto no precisamente fraudes pero sí
00:07:28
quizás errores o algunas omisiones que
00:07:30
está cometiendo el empleado entonces
00:07:32
estos diez días pueden ayudar a que se
00:07:35
identifiquen algunas cosas irregulares y
00:07:37
también evitar la dependencia de
00:07:39
personas clave es decir que hay otra
00:07:40
persona que está entrenada en cubrir ese
00:07:41
puesto en caso de cualquier contingencia
00:07:44
entonces como parte del plan de carrera
00:07:45
de un backup es que pueda cubrir está
00:07:48
hueca por al menos diez días
00:07:49
consecutivos
00:07:54
entonces en los controles
00:07:56
administrativos aparte de las políticas
00:07:58
procedimientos estándares guías etcétera
00:08:00
que los aquellos que quiero mencionaron
00:08:04
por ejemplo la segregación de funciones
00:08:06
que estábamos hablando ayuda a separar
00:08:07
actividades en conflicto de interés
00:08:09
el famoso coin o el conflicto de interés
00:08:11
el conflicto de interés o mejor dicho la
00:08:14
segregación de funciones viene a ser un
00:08:16
control de tipo preventivo es decir
00:08:18
previene que dos personas o una persona
00:08:23
esté tan empoderada cubra todo un
00:08:25
proceso y empieza a cometer cosas
00:08:27
irregulares debido a que participa en
00:08:29
gran parte de un proceso sensible
00:08:31
entonces la idea es evitar al completo
00:08:33
interés como la segregación de funciones
00:08:34
separar estas este proceso en varias
00:08:37
funciones donde varias personas
00:08:38
interactúen y podamos evitar así que no
00:08:41
sólo la persona vea todo el proceso y
00:08:43
pueda ser difícil es crear un fraude
00:08:46
pero tiene un pequeño riesgo residual
00:08:50
que es la colusión aunque la colusión
00:08:52
que todas personas o las tres personas
00:08:54
que participen en este proceso se pongan
00:08:56
de acuerdo para igual nomás cometer un
00:08:58
hecho irregular
00:08:58
entonces para cubrir ese riesgo residual
00:09:01
que es la colusión viene otro control
00:09:04
administrativo que es la rotación del
00:09:06
personal no la rotación del puesto
00:09:07
intercambiar personal en puestos clave
00:09:09
para reducir la colusión que es lo que
00:09:13
habíamos visto con la aceleración de
00:09:14
funciones ayuda a identificar
00:09:16
situaciones irregulares entonces viene
00:09:18
también a ser de tipo detective con la
00:09:21
segregación de funciones estamos
00:09:23
cubriendo un control de manera
00:09:25
preventiva y con la rotación de personal
00:09:27
estamos apoyando a esos controles de una
00:09:30
manera efectiva
00:09:32
por otro lado vienen las vacaciones
00:09:33
obligatorias que tenías un control
00:09:35
dentro de segura de la información
00:09:36
decíamos durante diez días consecutivos
00:09:38
para que otra persona temporalmente
00:09:40
ocupe el cargo también es un tipo de
00:09:41
control de efectivo
00:09:45
hay muchos tipos de controles
00:09:47
administrativos hablábamos durante el
00:09:50
anterior vídeo programa de incluso el
00:09:53
tema de memorando un despido los posee
00:09:56
los procesos debe team para realizar
00:09:58
antecedentes del personal antes de que
00:09:59
se incorpore a la compañía hay una
00:10:01
diversidad de controles administrativos
00:10:05
en la parte de políticas procedimientos
00:10:08
normas hay que tomar en cuenta que estos
00:10:11
tipos de controles administrativos son a
00:10:15
su vez mandatorio una política una norma
00:10:17
un procedimiento son de carácter
00:10:18
mandatorio es decir tienen otro tipo de
00:10:20
redacción generalmente es un dvd veraz
00:10:22
hará
00:10:23
en cambio las guías y líneas base son
00:10:26
controles de tipo discrecional de un
00:10:29
nivel de cumplimiento discrecional es
00:10:30
decir que son pautas de que se podría
00:10:34
ser o no vienen con una reversión de
00:10:36
tipo podría debería que más son más de
00:10:39
tipo apoyo a los procedimientos a las
00:10:41
normas ya las políticas entonces es
00:10:43
bueno tomar en cuenta eso hasta el tema
00:10:46
de la redacción cuando lados este tipo
00:10:48
de documentos puede ser debe o de veras
00:10:50
no hay ningún problema y eso lo dice las
00:10:52
guías de xp lo que sí es ese dos de la
00:10:56
organización y sc dos para que podamos
00:10:58
hacer un tipo de relación apropiada de
00:11:00
este tipo de controles administrativos
00:11:02
bien eso sería todo en este vídeo
00:11:05
programa hasta otras
