Reducir el nivel de riesgo en seguridad de la información no significa eliminarlo por completo, sino modificarlo hasta llevarlo a una zona controlada. Para lograrlo, es fundamental comprender qué tipos de controles existen, cómo funcionan y cuál conviene priorizar según el contexto de cada organización.
¿Qué es un control de riesgo según la ISO 73?
La ISO 73, el estándar especializado en gestión de riesgos sobre el cual la ISO 27001 se apoya, define un control como una política, un dispositivo, una práctica o cualquier acción que puedas implementar y que modifique el riesgo [0:22]. La palabra clave aquí es "modificar": el control no hace desaparecer el riesgo, solo lo reduce.
Un ejemplo claro es la definición de políticas de horarios de trabajo. Si no existe una política que establezca en qué turnos puede operar un funcionario, se abre la puerta a situaciones anómalas como accesos a sistemas de información a la una o dos de la mañana [1:05]. Definir una política que limite esos horarios y sensibilizar a los colaboradores es ya un control eficaz.
También es posible implementar herramientas tecnológicas que automaticen la detección de estos comportamientos, pero lo esencial es tener claro que el riesgo siempre va a existir en algún grado. Solo desaparece si dejas de realizar la actividad, algo que en la práctica resulta inviable [1:40].
¿Cuáles son las categorías de controles en seguridad de la información?
La norma ISO 27001 clasifica los controles en tres categorías principales, y existe una cuarta que, aunque no es estándar, se utiliza con frecuencia.
¿Cómo funcionan los controles preventivos?
Los controles preventivos se anticipan a los eventos antes de que sucedan [2:05]. Su objetivo es evitar que el riesgo se materialice. Un ejemplo práctico: bloquear los puertos USB de los equipos para impedir que un funcionario conecte un pendrive y extraiga información confidencial.
¿Qué papel cumplen los controles detectivos y correctivos?
Los controles detectivos actúan después de que el incidente ocurrió. No lo evitan, pero permiten identificar al responsable mediante logs o pistas de auditoría [2:30]. Por ejemplo, una trazabilidad que muestre que el usuario "Pepito.Pérez" se autenticó a la una de la mañana y accedió al reporte de ventas. El hecho ya pasó, pero se puede determinar quién lo hizo y tomar medidas disciplinarias.
Los controles correctivos buscan restaurar el orden después del incidente [3:10]. Pensemos en un funcionario despedido que borra intencionalmente la información de su equipo. El correctivo sería la restauración de un backup que devuelva el sistema al estado previo al daño.
Adicionalmenente, existen los controles disuasivos [3:35]. El ejemplo más común es una cámara de seguridad. Algunas cámaras ni siquiera están grabando —son cámaras dummy—, pero el simple hecho de que un funcionario las vea genera la percepción de vigilancia y lo disuade de actuar indebidamente. Es comparable a un policía ubicado en una esquina: su sola presencia inhibe conductas delictivas.
¿Por qué priorizar controles automáticos sobre manuales?
Los controles se clasifican también por su nivel de automatización en tres tipos: manual, semiautomático y automático [4:20].
- Automático: la tecnología opera sin intervención humana desde la entrada del dato hasta la salida de información. Ofrece la mayor certeza de funcionamiento.
- Manual: toda la operación depende de una persona. Tiende mucho más al error porque el cansancio natural afecta la precisión. Un funcionario revisando mil conciliaciones bancarias puede ejecutar bien las primeras cien, pero la fatiga compromete el resto [5:00].
- Semiautomático: combina sistema y persona. Por ejemplo, un reporte generado por un sistema que luego se manipula en Excel antes de cargarlo en otra plataforma. La intervención manual introduce riesgo de equivocación [5:30].
La recomendación es aplicar el principio de Pareto: procurar que al menos el ochenta por ciento de los controles sean automáticos [6:00]. Los semiautomáticos pueden complementar, pero los manuales deben minimizarse al máximo. No se trata de culpar a las personas, ya que el error humano es natural, sino de reducir las oportunidades de fallo.
Después de aplicar todos los controles pertinentes, lo que queda es el riesgo residual [6:30]: un nivel de riesgo menor que el riesgo inherente (el que existe sin ningún control), pero que nunca llega a cero. Comprender esta diferencia es clave para gestionar expectativas con la alta dirección y planificar mejoras continuas.
¿Has implementado alguno de estos tipos de controles en tu organización? Comparte tu experiencia y cuéntanos qué combinación te ha dado mejores resultados.
