Tipos y Clases de Controles para Seguridad de la Información

00:11:10
https://www.youtube.com/watch?v=k-fYKddYNsU

Summary

TLDREl video expone la importancia de implementar diferentes tipos y clases de controles para asegurar la protección de la información. Subraya que, además de los controles tecnológicos, los controles administrativos y físicos son esenciales. Un control es un medio para gestionar un riesgo, y existen diversos tipos como los físicos, lógicos o técnicos, y administrativos. Asimismo, hay siete clases de controles: directivos, preventivos, detectivos, correctivos, restauradores, disuasivos, y compensatorios, como lo definen las organizaciones ISS2 e ISACA. Los administrativos incluyen prácticas como la segregación de funciones, rotación de puestos y vacaciones obligatorias, útiles para detectar irregularidades y prever dependencias. Además, los controles se dividen en operativos y reactivos, cada uno con un propósito específico, desde prevenir hasta minimizar los efectos de un incidente. Elaborar mapas de controles es crucial para evitar solapamientos y justificarlos adecuadamente ante la dirección, asegurando que no solo se implemente tecnología sin objetivos claros o redundancia.

Takeaways

  • 🎯 Un control gestiona un riesgo.
  • 🛡️ Existen controles físicos, lógicos y administrativos.
  • 📊 ISACA y ISS2 establecen 7 clases de controles.
  • 🔄 Rotación de personal detecta irregularidades.
  • 🌐 Mapas de controles previenen solapamientos.
  • ⚠️ Compensatorios ofrecen medidas alternativas.
  • 🤝 La segregación de funciones previene fraudes.
  • 🔍 Controles comprometen detectores y correctivos.
  • 🔧 Herramientas tecnológicas deben justificar su uso.
  • 📑 Políticas son mandatorias; guías son apoyo.

Timeline

  • 00:00:00 - 00:05:00

    Introducción a los tipos y clases de controles en la seguridad de la información, destacando la importancia de implementar controles administrativos, físicos y tecnológicos. Se describe qué es un control y su relación con la gestión de riesgos, mencionando los controles físicos, lógicos o técnicos, y administrativos. También se detallan las siete clases de controles: directivos, preventivos, detectivos, correctivos, restauradores, disuasivos y compensatorios; cada uno con su función específica para gestionar riesgos. Los controles pueden ser operativos (proactivos) o reactivos, y la idea es cubrir todo el ciclo de vida de un incidente, asegurando un enfoque integral en la seguridad de la información.

  • 00:05:00 - 00:11:10

    La importancia de evitar el solapamiento de controles y justificar su implementación ante un comité ejecutivo usando un mapa de controles. Ejemplos de controles tecnológicos preventivos y detectivos, como un analizador de vulnerabilidades y un SIEM, respectivamente. Explicación de cómo los antivirus y perros entrenados pueden tener múltiples funciones de control. Descripción de controles administrativos como la segregación de funciones, rotación de puestos, y vacaciones obligatorias, los cuales ayudan a prevenir conflictos de interés y detectar irregularidades. Importancia de redactar adecuadamente las políticas y normas para asegurar su cumplimiento.

Mind Map

Video Q&A

  • ¿Cuáles son los tipos de controles mencionados en el video?

    Los tipos de controles son físicos, lógicos o técnicos, y administrativos.

  • ¿Qué objetivo tiene un control según el video?

    El objetivo de un control es gestionar un riesgo y debe ser justificado por él.

  • ¿Cuántas clases de controles existen según ISACA y ISS2?

    Existen siete clases de controles: directivos, preventivos, detectivos, correctivos, restauradores, disuasivos y compensatorios.

  • ¿Qué acciones comprenden los controles administrativos?

    Incluyen la segregación de funciones, rotación de puestos y uso de vacaciones obligatorias para detectar irregularidades y evitar dependencias.

  • ¿Cómo se clasifican los controles operativos según el video?

    Se clasifican en operativos (directivos, disuasivos, preventivos) y reactivos (detectivos, correctivos, restauradores).

  • ¿Para qué sirve un mapa de controles como el mencionado en el video?

    Sirve para evitar el solapamiento de controles y justificar su implementación ante un comité ejecutivo.

  • ¿Qué importancia tienen las vacaciones obligatorias en la seguridad de la información?

    Permiten detectar irregularidades que podría haber cometido un empleado y evitar depender de personas en roles clave.

  • ¿Qué diferencia hay entre políticas y guías según el video?

    Las políticas son mandatorias con redacción imperativa, mientras que las guías son discrecionales y de apoyo.

  • ¿Qué son los controles compensatorios?

    Son medidas alternativas de control cuando no se puede implementar el control requerido por una normativa.

  • ¿Qué es la rotación de personal y para qué se utiliza?

    La rotación de personal consiste en intercambiar empleados en puestos clave para reducir la colusión y detectar irregularidades.

View more video summaries

Get instant access to free YouTube video summaries powered by AI!
Subtitles
es
Auto Scroll:
  • 00:00:08
    a
  • 00:00:10
    buenos días y bienvenidos a otro vídeo
  • 00:00:13
    programa de su canal audi hack hoy
  • 00:00:15
    hablaremos sobre tipos y clases de
  • 00:00:16
    controles esto debido a que muchas veces
  • 00:00:19
    se piensa que se hora de la información
  • 00:00:21
    es solamente implementar controles
  • 00:00:22
    técnicos tecnológicos informáticos y
  • 00:00:24
    nada más pero nosotros sabemos que para
  • 00:00:27
    que la suya sea integral se debe
  • 00:00:29
    implementar controles también
  • 00:00:30
    administrativos y físicos aparte los
  • 00:00:32
    tecnológicos en ese entender partamos
  • 00:00:35
    desde lo más básico que es un control un
  • 00:00:37
    control es un medio para gestionar un
  • 00:00:39
    riesgo es decir que un control debe ser
  • 00:00:41
    justificado por un riesgo lo que hacen
  • 00:00:44
    las auditorías de hecho es cuando
  • 00:00:46
    simplemente en cuatro les revisan cuál
  • 00:00:47
    ha sido el riesgo que ha originado en la
  • 00:00:50
    necesidad de implementar ese control
  • 00:00:52
    entonces vemos que hay diferentes tipos
  • 00:00:55
    de controles los controles físicos los
  • 00:00:57
    controles lógicos o técnicos y los
  • 00:00:59
    controles administrativos nos vienen a
  • 00:01:01
    ser los tipos de control sin embargo
  • 00:01:03
    también hay clases de controles todas
  • 00:01:06
    las clases de controles son 7 definidas
  • 00:01:09
    tanto por el 10 ese 2 como ishak a estas
  • 00:01:11
    dos organizaciones coinciden en este
  • 00:01:14
    listado es decir controles directivos
  • 00:01:16
    preventivos de efectivos correctivos
  • 00:01:19
    restauradores disuasivos o
  • 00:01:20
    compensatorias y compensatorio
  • 00:01:23
    directivos son aquellos que especifican
  • 00:01:25
    acciones que se pueden realizar o no a
  • 00:01:27
    la organización preventivos son aquellos
  • 00:01:30
    que buscan evitar que sucede un
  • 00:01:31
    incidente de efectivos son aquellos que
  • 00:01:34
    buscan identificar actividades de un
  • 00:01:36
    potencial intruso incidente correctivo
  • 00:01:39
    son aquellos que buscan solucionar un
  • 00:01:40
    componente o sistema que después de que
  • 00:01:42
    ha ocurrido un incidente restauradores
  • 00:01:44
    su propósito retornar en el ambiente
  • 00:01:46
    operaciones regulares y disuasivos la
  • 00:01:49
    intención es desanimar a un atacante
  • 00:01:51
    potencial por otro lado tenemos los
  • 00:01:53
    compensatorios su objetivo es proveer
  • 00:01:56
    una medida alternativa de control cuando
  • 00:01:58
    no hemos podido implementar el control
  • 00:02:00
    como estaba requerido por una norma
  • 00:02:02
    interna o externa entonces vemos que
  • 00:02:04
    tenemos estas siete clases de controles
  • 00:02:06
    que repito ha sido definidas tanto por
  • 00:02:08
    el ss2 como ishak a estas dos
  • 00:02:09
    organizaciones que son independientes de
  • 00:02:11
    una de la otra
  • 00:02:12
    coinciden en esto mismo otro que no es
  • 00:02:13
    propio y saca nuestro que dice ese voz
  • 00:02:15
    es una muy buena práctica que se lleva
  • 00:02:18
    en la industria
  • 00:02:20
    vemos en la tablita que comparto en
  • 00:02:24
    pantalla que los controles de clase
  • 00:02:27
    directiva disuasiva y preventiva forman
  • 00:02:30
    parte de un carácter del control
  • 00:02:32
    operativo en cambio los controles de
  • 00:02:34
    efectivos correctivos y restauradores
  • 00:02:36
    son de carácter reactivo los proactivos
  • 00:02:39
    lo que vienen a hacer es reducir la
  • 00:02:41
    probabilidad de que un incidente se
  • 00:02:42
    produzca y los reactivos lo que buscan
  • 00:02:44
    es minimizar el efecto una vez que ha
  • 00:02:47
    ocurrido el incidente la idea de estas
  • 00:02:49
    clases de controles es poder cubrir todo
  • 00:02:51
    el ciclo de vida de un incidente por
  • 00:02:54
    otro lado los compensatorios lo que
  • 00:02:55
    buscan es alternar ya sea en controles
  • 00:02:58
    del tiempo por activo o de tipo reactivo
  • 00:03:01
    vemos algunos ejemplos en la parte
  • 00:03:03
    directiva administrativa vienen las
  • 00:03:05
    políticas las normas que uno elabora
  • 00:03:07
    para apoyar a la ciudad de información
  • 00:03:09
    en la parte técnica que es el grueso de
  • 00:03:11
    nuestro trabajo viene todo lo que son
  • 00:03:13
    las herramientas los controles
  • 00:03:14
    tecnológicos en lo que mejor nos
  • 00:03:16
    manejamos lo que mejor conocemos lo que
  • 00:03:17
    mejor tiene la industria en soluciones
  • 00:03:19
    no los ideas es bárboles arquitecturas
  • 00:03:21
    etcétera y en la parte física viene más
  • 00:03:23
    la parte electrónica barreras la parte
  • 00:03:25
    que es más evidente en lo que es más
  • 00:03:27
    palpable bien
  • 00:03:31
    hay que tomar en cuenta que estas
  • 00:03:34
    tabletas lo que buscan es que no sólo
  • 00:03:37
    hacemos control la idea de tener una
  • 00:03:39
    mapa como este un cuadrito como éste es
  • 00:03:42
    que justamente abordemos la asegura de
  • 00:03:43
    la información implementando controles
  • 00:03:45
    no solamente tecnológicos no solamente
  • 00:03:47
    controles que se encasillen en la parte
  • 00:03:48
    técnica sino también que los apoyos en
  • 00:03:50
    la parte administrativa y física con que
  • 00:03:52
    con el objetivo de poder cumplir el
  • 00:03:54
    objetivo de control valga la redundancia
  • 00:03:56
    la idea es cumplir el objetivo de
  • 00:03:58
    control un objetivo de control
  • 00:03:59
    dictaminado por una necesidad de cumplir
  • 00:04:01
    una norma interna o externa entonces uno
  • 00:04:03
    o más controles lo que van a hacer es
  • 00:04:05
    buscar cumplir un objetivo de control
  • 00:04:11
    y muchas veces se comete el error de
  • 00:04:13
    solapar controlen o de cubrir solamente
  • 00:04:15
    controles técnicos informáticos y dejar
  • 00:04:18
    de lado la parte administrativa las
  • 00:04:20
    buenas prácticas administrativas y
  • 00:04:22
    también la parte de su gráfica que
  • 00:04:24
    quizás no lo implementamos nosotros
  • 00:04:26
    directamente puede haber un área de
  • 00:04:27
    suela física un área de su hogar
  • 00:04:28
    corporativa que de esos temas pero
  • 00:04:30
    nosotros trabajamos con ellos para
  • 00:04:32
    cubrir o proteger la información es
  • 00:04:35
    bueno elaborar entonces un mapa como
  • 00:04:37
    éste no solamente para evitar el
  • 00:04:39
    solapamiento de controles sino también
  • 00:04:41
    para exponerlo ante el comité ejecutivo
  • 00:04:42
    de sobra de la información y poder
  • 00:04:44
    justificar el por qué estamos
  • 00:04:45
    implementando tales controles porque
  • 00:04:47
    muchas veces se piensa que estamos
  • 00:04:49
    concentrados simplemente en herramientas
  • 00:04:50
    sin embargo puede ser que estamos
  • 00:04:52
    implementando una herramienta que es
  • 00:04:55
    tecnológica pero es detective y por otro
  • 00:04:58
    lado el siguiente mes estamos
  • 00:05:00
    implementando otra herramienta
  • 00:05:00
    tecnológica pero que es de un carácter
  • 00:05:04
    correctivo web o preventivo ejemplo si
  • 00:05:06
    implementamos primeramente un analizador
  • 00:05:09
    de vulnerabilidades seguramente estamos
  • 00:05:11
    cubriendo una necesidad
  • 00:05:14
    preventiva no prevenir el tema de
  • 00:05:17
    vulnerar legales y el siguiente mes
  • 00:05:19
    vamos a implementar un cien unidades lo
  • 00:05:22
    que queremos es detectar posibles
  • 00:05:24
    incidentes entonces esto es más o menos
  • 00:05:26
    para que la gente del comité directivo
  • 00:05:29
    de seguridad de los miembros que no
  • 00:05:32
    precisamente son técnicos entiendan que
  • 00:05:34
    estamos implementando controles para
  • 00:05:36
    cubrir el ciclo de vida de un incidente
  • 00:05:38
    y no solamente concentrándonos en una
  • 00:05:40
    casilla o que estamos comprando juguetes
  • 00:05:43
    injustificados y redundando en controles
  • 00:05:46
    tecnológicos son de hecho me está
  • 00:05:48
    tablita me sirvió de mucho cuando
  • 00:05:50
    trabajaba en el banco para apoyar y
  • 00:05:51
    justificar los controles que íbamos
  • 00:05:53
    implementando poco a poco para que los
  • 00:05:55
    miembros del comité de estímulo dijo a
  • 00:05:56
    través de israel estamos comprando otra
  • 00:05:59
    herramienta otra solución pero si el
  • 00:06:01
    anterior mes habíamos comprado una
  • 00:06:02
    herramienta porque otra vez sucede que
  • 00:06:04
    la anterior herramienta era preventiva
  • 00:06:05
    ahora es directiva sin embargo pueden
  • 00:06:08
    haber soluciones integrales es decir que
  • 00:06:10
    ocupe más de una casilla por ejemplo un
  • 00:06:11
    antivirus es un control que es
  • 00:06:13
    preventivo de efectivo y correctivo por
  • 00:06:15
    las características que tienen o de
  • 00:06:17
    prevenir los virus detectar
  • 00:06:20
    con modelos de cuarentena etcétera lo
  • 00:06:22
    mismo pasa con los perros un perro por
  • 00:06:23
    ejemplo normal generalmente uno lo usa
  • 00:06:27
    en seguridad física como un sereno un
  • 00:06:29
    cuidador un perro que está disuadiendo y
  • 00:06:31
    si es un perro entrenado pasa a ser un
  • 00:06:34
    control de efectivo no un perro que
  • 00:06:35
    detectan explosivos detecta persona hay
  • 00:06:38
    otro tipo de elementos depende como
  • 00:06:40
    sobre entrenado entonces es bueno
  • 00:06:43
    es de mucha ayuda elaborar este tipo de
  • 00:06:45
    mapas para poder trabajar en abordar los
  • 00:06:48
    controles
  • 00:06:53
    dentro de los controles administrativos
  • 00:06:57
    tenemos la segregación de funciones
  • 00:06:58
    rotación de puestos y uso obligatorio de
  • 00:07:01
    vacaciones durante al menos 10 días
  • 00:07:02
    estos días deben ser son un número de
  • 00:07:04
    ejemplos simplemente la idea es que sea
  • 00:07:08
    una serie de días consecutivos donde
  • 00:07:10
    otra persona ocupe el puesto esto no es
  • 00:07:13
    solamente por la salud del empleado y
  • 00:07:14
    evitar el estrés laboral y demás que
  • 00:07:16
    seguramente son cosas que se preocupan
  • 00:07:18
    recursos humanos sin embargo para
  • 00:07:20
    nosotros es un tema de que la persona
  • 00:07:23
    que está cubriendo el cargo puede
  • 00:07:24
    detectar situaciones irregulares en el
  • 00:07:25
    puesto no precisamente fraudes pero sí
  • 00:07:28
    quizás errores o algunas omisiones que
  • 00:07:30
    está cometiendo el empleado entonces
  • 00:07:32
    estos diez días pueden ayudar a que se
  • 00:07:35
    identifiquen algunas cosas irregulares y
  • 00:07:37
    también evitar la dependencia de
  • 00:07:39
    personas clave es decir que hay otra
  • 00:07:40
    persona que está entrenada en cubrir ese
  • 00:07:41
    puesto en caso de cualquier contingencia
  • 00:07:44
    entonces como parte del plan de carrera
  • 00:07:45
    de un backup es que pueda cubrir está
  • 00:07:48
    hueca por al menos diez días
  • 00:07:49
    consecutivos
  • 00:07:54
    entonces en los controles
  • 00:07:56
    administrativos aparte de las políticas
  • 00:07:58
    procedimientos estándares guías etcétera
  • 00:08:00
    que los aquellos que quiero mencionaron
  • 00:08:04
    por ejemplo la segregación de funciones
  • 00:08:06
    que estábamos hablando ayuda a separar
  • 00:08:07
    actividades en conflicto de interés
  • 00:08:09
    el famoso coin o el conflicto de interés
  • 00:08:11
    el conflicto de interés o mejor dicho la
  • 00:08:14
    segregación de funciones viene a ser un
  • 00:08:16
    control de tipo preventivo es decir
  • 00:08:18
    previene que dos personas o una persona
  • 00:08:23
    esté tan empoderada cubra todo un
  • 00:08:25
    proceso y empieza a cometer cosas
  • 00:08:27
    irregulares debido a que participa en
  • 00:08:29
    gran parte de un proceso sensible
  • 00:08:31
    entonces la idea es evitar al completo
  • 00:08:33
    interés como la segregación de funciones
  • 00:08:34
    separar estas este proceso en varias
  • 00:08:37
    funciones donde varias personas
  • 00:08:38
    interactúen y podamos evitar así que no
  • 00:08:41
    sólo la persona vea todo el proceso y
  • 00:08:43
    pueda ser difícil es crear un fraude
  • 00:08:46
    pero tiene un pequeño riesgo residual
  • 00:08:50
    que es la colusión aunque la colusión
  • 00:08:52
    que todas personas o las tres personas
  • 00:08:54
    que participen en este proceso se pongan
  • 00:08:56
    de acuerdo para igual nomás cometer un
  • 00:08:58
    hecho irregular
  • 00:08:58
    entonces para cubrir ese riesgo residual
  • 00:09:01
    que es la colusión viene otro control
  • 00:09:04
    administrativo que es la rotación del
  • 00:09:06
    personal no la rotación del puesto
  • 00:09:07
    intercambiar personal en puestos clave
  • 00:09:09
    para reducir la colusión que es lo que
  • 00:09:13
    habíamos visto con la aceleración de
  • 00:09:14
    funciones ayuda a identificar
  • 00:09:16
    situaciones irregulares entonces viene
  • 00:09:18
    también a ser de tipo detective con la
  • 00:09:21
    segregación de funciones estamos
  • 00:09:23
    cubriendo un control de manera
  • 00:09:25
    preventiva y con la rotación de personal
  • 00:09:27
    estamos apoyando a esos controles de una
  • 00:09:30
    manera efectiva
  • 00:09:32
    por otro lado vienen las vacaciones
  • 00:09:33
    obligatorias que tenías un control
  • 00:09:35
    dentro de segura de la información
  • 00:09:36
    decíamos durante diez días consecutivos
  • 00:09:38
    para que otra persona temporalmente
  • 00:09:40
    ocupe el cargo también es un tipo de
  • 00:09:41
    control de efectivo
  • 00:09:45
    hay muchos tipos de controles
  • 00:09:47
    administrativos hablábamos durante el
  • 00:09:50
    anterior vídeo programa de incluso el
  • 00:09:53
    tema de memorando un despido los posee
  • 00:09:56
    los procesos debe team para realizar
  • 00:09:58
    antecedentes del personal antes de que
  • 00:09:59
    se incorpore a la compañía hay una
  • 00:10:01
    diversidad de controles administrativos
  • 00:10:05
    en la parte de políticas procedimientos
  • 00:10:08
    normas hay que tomar en cuenta que estos
  • 00:10:11
    tipos de controles administrativos son a
  • 00:10:15
    su vez mandatorio una política una norma
  • 00:10:17
    un procedimiento son de carácter
  • 00:10:18
    mandatorio es decir tienen otro tipo de
  • 00:10:20
    redacción generalmente es un dvd veraz
  • 00:10:22
    hará
  • 00:10:23
    en cambio las guías y líneas base son
  • 00:10:26
    controles de tipo discrecional de un
  • 00:10:29
    nivel de cumplimiento discrecional es
  • 00:10:30
    decir que son pautas de que se podría
  • 00:10:34
    ser o no vienen con una reversión de
  • 00:10:36
    tipo podría debería que más son más de
  • 00:10:39
    tipo apoyo a los procedimientos a las
  • 00:10:41
    normas ya las políticas entonces es
  • 00:10:43
    bueno tomar en cuenta eso hasta el tema
  • 00:10:46
    de la redacción cuando lados este tipo
  • 00:10:48
    de documentos puede ser debe o de veras
  • 00:10:50
    no hay ningún problema y eso lo dice las
  • 00:10:52
    guías de xp lo que sí es ese dos de la
  • 00:10:56
    organización y sc dos para que podamos
  • 00:10:58
    hacer un tipo de relación apropiada de
  • 00:11:00
    este tipo de controles administrativos
  • 00:11:02
    bien eso sería todo en este vídeo
  • 00:11:05
    programa hasta otras
Tags
  • controles de seguridad
  • seguridad de la información
  • administrativos
  • tecnológicos
  • físicos
  • riesgos
  • ISACA
  • ISS2
  • políticas
  • segregación de funciones