Hay varios tipos de controles diferentes, para nombrar unos pocos hay controles Disuasivos, Preventivos, Detectivos, Correctivos y Compensadores. La idea es que cada tipo de control se especialice en proporcionar un tipo diferente de seguridad.
En el caso de su candado, eso caería bajo un control disuasorio, ya que es algo destinado a ser notable y mantener a las personas alejadas. Otros ejemplos serían una señal que advierte a las personas sobre un perro guardián, cámaras de seguridad visibles, etc. Básicamente, cualquier cosa que pueda retrasar o disuadir un ataque.
Los controles preventivos están implementados para evitar que algo suceda, por lo que, nuevamente, el bloqueo también caerá en esta categoría.
La mejor práctica es colocar la seguridad en varios tipos de control (y proveedores) para mitigar las posibilidades de que un ataque sea exitoso. Sin embargo, no existe tal cosa como eliminación de riesgos , solo que puede reducirlos a riesgo aceptable tanto como sea posible.
El punto principal es que la seguridad debe causar a un atacante más problemas que los datos que se encuentran dentro, es decir. No vale la pena el esfuerzo. Aunque estoy seguro de que probablemente haya gente por ahí que disfrutaría de un desafío por el simple hecho de hacerlo en lugar de los posibles datos a los que podría llegar.
En el caso de Seguridad de TI, colocar signos de advertencia en el inicio de sesión para indicar que un usuario será procesado se clasificaría como disuasivo .
Si vieras dos bicicletas, una con un candado grande y pesado, y otra con un candado pequeño y viejo, y quisieras robar una bicicleta, ¿cuál elegirías?
Explicación adicional
Para explicar esto con más detalle, podemos dividir los controles de Disuasión en subcategorías:
- Técnico
- físico
- Administrativo
Explicaré cada uno individualmente a continuación.
Técnico
Los controles técnicos que disuadirían a un atacante son bastante limitados, en el caso de que el propósito de todos los controles disuasorios es simplemente intentar detener a alguien de que intenta para atacar. Para los controles técnicos, podemos utilizar señales de advertencia en las páginas de inicio de sesión, un servidor proxy que redirige para advertir a los usuarios que cierto sitio está restringido, etc. Sin embargo, no va más allá de esto
Físico
Los controles físicos son cualquier cosa que haga que parezca difícil de atacar. Cosas como una cerca alta, cámaras visibles, reflectores, etc., se clasificarían como controles de disuasión física. Las señales que indican que las áreas están fuera de los límites serían otra.
Administrativo
Los controles administrativos contienen políticas, pautas y estándares. Por ejemplo, una política de seguridad estricta que establezca consecuencias graves por la violación caerá en esta categoría. La formación para la conciencia también sería un ejemplo aquí.
En resumen, todo lo que hace que un objetivo parezca más difícil sin implementar realmente nada para detenerlo se clasifica como controles de disuasión. Por lo general, hay cierta superposición, especialmente con los controles preventivos , porque cosas como una puerta cerrada con llave o una cerca alta pueden caer en ambas categorías.
Si desea leer más sobre los otros tipos de controles de acceso, aquí hay un breve blog de una guía de estudio de CISSP que los explica bastante bien: enlace