Controles compensatorios
¿Qué es Controles compensatorios?
Controles compensatoriosSalvaguardas alternativas que ofrecen un nivel de protección equivalente cuando no se puede implementar un control principal o exigido.
Los controles compensatorios se aplican cuando una organización no puede cumplir un requisito de seguridad específico con el control prescrito, pero logra la misma reducción de riesgo mediante un mecanismo diferente. Están reconocidos explícitamente en marcos como PCI DSS, ISO/IEC 27001 y NIST, y deben documentarse, evaluarse por riesgo y revisarse periódicamente. Ejemplos comunes son la segmentación estricta de red en torno a un sistema heredado no parcheable o el monitoreo reforzado cuando aún no es factible la autenticación multifactor. Los buenos controles compensatorios son auditables, demostrablemente equivalentes al requisito original y temporales mientras se subsana la brecha.
● Ejemplos
- 01
Aislar un controlador industrial heredado en una VLAN dedicada con ACL estrictas porque no se puede actualizar el firmware.
- 02
Aplicar revisión reforzada de registros a una base de datos que no soporta cifrado en reposo nativo.
● Preguntas frecuentes
¿Qué es Controles compensatorios?
Salvaguardas alternativas que ofrecen un nivel de protección equivalente cuando no se puede implementar un control principal o exigido. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Controles compensatorios?
Salvaguardas alternativas que ofrecen un nivel de protección equivalente cuando no se puede implementar un control principal o exigido.
¿Cómo defenderse de Controles compensatorios?
Las defensas contra Controles compensatorios combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Controles compensatorios?
Nombres alternativos comunes: Salvaguardas compensatorias, Controles alternativos.