Controles compensatórios
O que é Controles compensatórios?
Controles compensatóriosSalvaguardas alternativas que oferecem nível de proteção equivalente quando um controle principal ou exigido não pode ser implementado.
Os controles compensatórios são adotados quando uma organização não consegue cumprir um requisito específico de segurança com o controle prescrito, mas alcança a mesma redução de risco por um mecanismo diferente. São explicitamente reconhecidos em normas como PCI DSS, ISO/IEC 27001 e NIST, e devem ser documentados, avaliados sob a ótica de risco e revisados periodicamente. Exemplos comuns incluem segmentação de rede rígida em torno de um sistema legado que não pode ser atualizado ou monitoramento reforçado quando a autenticação multifator ainda não é viável. Controles compensatórios eficazes são auditáveis, comprovadamente equivalentes ao requisito original e temporários, enquanto a lacuna é tratada.
● Exemplos
- 01
Isolar um controlador industrial legado em uma VLAN dedicada com ACLs estritas porque o firmware não pode ser atualizado.
- 02
Aplicar revisão reforçada de logs a um banco de dados sem suporte nativo a criptografia em repouso.
● Perguntas frequentes
O que é Controles compensatórios?
Salvaguardas alternativas que oferecem nível de proteção equivalente quando um controle principal ou exigido não pode ser implementado. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Controles compensatórios?
Salvaguardas alternativas que oferecem nível de proteção equivalente quando um controle principal ou exigido não pode ser implementado.
Como se defender contra Controles compensatórios?
As defesas contra Controles compensatórios costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Controles compensatórios?
Nomes alternativos comuns: Salvaguardas compensatórias, Controles alternativos.