En su primera pregunta, es absolutamente correcto que los controles de seguridad se pueden clasificar de muchas maneras diferentes, y que un control de seguridad en particular podría caer en varias de esas categorizaciones.
Tampoco existe un conjunto absoluto de categorías universalmente aceptadas, algunas son categorizaciones más antiguas que tuvieron sentido en los años 90 y 2000, y las nuevas categorizaciones han evolucionado para abordar las estrategias de defensa contemporáneas contra las amenazas. El artículo de Wikipedia sobre Controles de seguridad enumera dos esquemas de categorización: {Físico, de procedimiento, técnico, legal} y {Personas, Tecnología, Operaciones}. El Manual de IS muestra otro conjunto {Admin, Logical, Physical}. Y puede buscar en Google incluso más opiniones sobre cómo clasificar los controles de seguridad.
Sin embargo, sugeriría que, en primer lugar, no te cuelgues demasiado en las categorías de control de seguridad. Son de un nivel demasiado alto y no son muy útiles en el diseño y desarrollo reales de una solución de seguridad para un sistema en particular. La forma en que son útiles es para recordarle (al profesional de la seguridad) que los controles de seguridad son más que solo técnicos .
Una buena solución de seguridad que logra un nivel aceptable de riesgo residual es aquella que tiene una diversidad de controles superpuestos, que se basan en información de seguridad continua de humanos talentosos y en procedimientos operativos rutinarios (de aquellos humanos con menos talento) además de Tecnologías de seguridad. Sin embargo, muchos profesionales de la seguridad solo se enfocan en los últimos juguetes de seguridad técnica, pero olvidan cerrar la puerta al armario de la red (para citar un ejemplo trivial).
[Una nota aparte, si estás estudiando para obtener una credencial profesional o una clase de seguridad, entonces no importa lo que pienses de otra manera, para aprobar tendrás que repetir la definición de categorías de esa credencial o clase, y dónde se ubican controles de seguridad dentro de esas categorías.]
Para su segunda pregunta amplificadora, algunos ejemplos de controles de seguridad nocionales que pueden ajustarse a múltiples clasificaciones que se me ocurren de la cabeza:
- "Asegúrese de que las puertas de las salas de equipos de cómputo estén cerradas": esto es tanto administrativo / físico (las cerraduras deben estar instaladas en las puertas) como de procedimiento / operacional (una persona necesita verificar las cerraduras de manera continua normalmente a diario).
- "Los registros de auditoría de eventos críticos de seguridad deben revisarse de inmediato": esto es tanto técnico (parte del software o hardware tiene que generar esos registros) como de procedimientos / operacionales (un ser humano necesita revisar los eventos y decidir el curso de acción).
- "Los administradores con acceso a servidores de bases de datos confidenciales se someterán a verificaciones periódicas de antecedentes": administración (configura una infraestructura de seguridad y recursos humanos / fondos), procedimental / operativo (el personal de recursos humanos tiene que realizar estas comprobaciones periódicamente), técnico (la mayoría las verificaciones de antecedentes ahora se realizan a través de servicios en línea).
- "Los enrutadores de límite se configurarán para realizar la detección de intrusión en la red": técnico (el hardware del enrutador y su software), y operativo / de procedimiento (alguien no solo tiene que configurar el enrutador la primera vez, esa configuración debe ser auditada periódicamente porque los administradores desafortunadamente realizan cambios no documentados y no apropiados a la configuración del enrutador "sobre la marcha").
Estoy seguro de que otros respondedores pueden sugerir muchos más ejemplos.