Neste artigo

Segurança da informação não se resume a instalar ferramentas. Uma estratégia eficaz depende da combinação inteligente de diferentes tipos de controles, cada um com uma função específica dentro do ciclo de proteção.

Entender essas categorias é fundamental para quem projeta, audita ou gerencia segurança — e é cobrança constante em frameworks como NIST e ISO 27001.

Este artigo apresenta os 6 tipos de controles de segurança da informação, com definições claras, exemplos práticos e orientações sobre como aplicá-los de forma integrada.

O que são controles de segurança da informação

Controles são medidas — técnicas, administrativas ou físicas — implementadas para proteger ativos de informação contra ameaças. Eles podem ser softwares, políticas, processos, equipamentos ou qualquer mecanismo que reduza risco.

A classificação por tipo de ação ajuda a garantir que a organização tenha defesa em camadas: não basta prevenir — é preciso detectar, corrigir e orientar.

6 tipos de controle
Preventivo • Dissuador • Detectivo • Corretivo • Compensatório • Diretivo

Controle Preventivo

Objetivo: evitar que o incidente aconteça

O controle preventivo é a primeira linha de defesa. Ele atua antes de qualquer evento indesejado, impedindo que ameaças se concretizem ou que vulnerabilidades sejam exploradas.

É o tipo de controle mais desejado, pois elimina o problema na origem. No entanto, nenhum controle preventivo é infalivel, por isso deve ser combinado com detectivos e corretivos.

Exemplos práticos

  • Firewall: bloqueia tráfego não autorizado antes de chegar ao ambiente interno
  • Patch management: corrige vulnerabilidades conhecidas antes que sejam exploradas
  • Controle de acesso (MFA): impede acesso não autorizado mesmo com credenciais válidas comprometidas
  • Criptografia: protege dados mesmo se o meio de armazenamento for comprometido
  • Segmentação de rede: limita o movimento lateral de um atacante

Para aprofundar em controles de acesso, consulte nosso artigo sobre gestão de acessos privilegiados (PAM).

Controle Dissuador

Objetivo: desencorajar o ataque antes que ele ocorra

O controle dissuador não impede tecnicamente o incidente, mas torna o ataque menos atrativo ao aumentar o risco percebido pelo atacante. Atua no campo psicológico e comportamental.

Assim como uma placa de “propriedade monitorada” desencoraja invasões físicas, controles dissuadores no ambiente digital sinalizam que a organização está preparada.

Exemplos práticos

  • Câmeras de segurança visíveis: sinalizam monitoramento ativo
  • Banners de login: avisos legais informando que acessos são monitorados e registrados
  • Políticas de penalidade: termos claros sobre consequências de uso indevido
  • Honeypots: sistemas-isca que sinalizam ao atacante que o ambiente é monitorado
  • Certificações visíveis: selos de ISO 27001, SOC 2 que demonstram maturidade

Controle Detectivo

Objetivo: identificar quando um incidente ocorreu ou está em andamento

O controle detectivo atua durante ou após o evento, identificando atividades suspeitas ou maliciosas que passaram pelos controles preventivos. É essencial para reduzir o tempo de resposta.

197 dias
Tempo médio para detectar um vazamento de dados sem controles detectivos adequados (IBM Cost of a Data Breach Report)

Sem detecção, um ataque pode permanecer ativo por meses, ampliando exponencialmente o custo do vazamento.

Exemplos práticos

  • IDS/IPS: detecta padrões de ataque no tráfego de rede
  • SIEM: correlaciona eventos de múltiplas fontes para identificar ameaças. Veja nosso guia de implementação de SIEM
  • Logs de auditoria: registram ações para análise posterior
  • EDR/XDR: monitoramento contínuo de endpoints com detecção comportamental
  • Monitoramento de integridade (FIM): detecta alterações não autorizadas em arquivos críticos

Controle Corretivo

Objetivo: restaurar o sistema ao estado normal após um incidente

O controle corretivo atua após a detecção, minimizando o impacto e restabelecendo a operação. É a capacidade de se recuperar com velocidade e integridade.

Uma organização sem controles corretivos pode detectar o problema, mas não consegue resolvê-lo — transformando um incidente gerenciável em uma crise prolongada.

Exemplos práticos

  • Restore de backup: recupera dados e sistemas a um estado íntegro. Veja o artigo sobre backup e resiliência
  • Reimaging: reconstrói máquinas comprometidas a partir de imagens limpas
  • Plano de resposta a incidentes: procedimentos estruturados para contenção e recuperação. Consulte nosso guia prático
  • Revogação de credenciais: desativa contas comprometidas imediatamente
  • Rollback de configurações: reverte alterações maliciosas

Controle Compensatório

Objetivo: oferecer proteção alternativa quando o controle primário não é viável

O controle compensatório não é o ideal, mas é o possível. Ele entra em cena quando restrições técnicas, operacionais ou financeiras impedem a implementação do controle recomendado.

É comum em ambientes legados, sistemas críticos que não podem ser atualizados ou situações temporárias enquanto o controle definitivo está sendo implementado.

Exemplos práticos

  • Segmentação de rede para isolar sistema que não pode receber patch
  • Monitoramento intensificado como alternativa a MFA em sistema legado
  • Revisão manual de logs quando SIEM não está disponível
  • Controle físico de acesso para compensar falta de controle lógico em equipamento antigo
  • Dupla aprovação para operações críticas em sistemas sem auditoria automatizada

Importante

Controles compensatórios devem ser documentados e justificados, especialmente em auditorias. Frameworks como PCI DSS exigem formalmente que compensatórios ofereçam nível equivalente de proteção e sejam revisados periodicamente.

Controle Diretivo

Objetivo: orientar o comportamento adequado das pessoas

O controle diretivo define o que fazer e como fazer. Ele não impede tecnicamente uma ação, mas estabelece regras, procedimentos e expectativas que guiam o comportamento correto.

Sem controles diretivos, mesmo os melhores controles técnicos falham — porque as pessoas não sabem o que se espera delas. Um programa de conscientização eficaz depende de controles diretivos bem definidos.

Exemplos práticos

  • Política de Uso Aceitável (AUP): define o que é permitido e proibido no uso de recursos
  • Política de Segurança da Informação: documento base que orienta toda a governança
  • Procedimentos operacionais padrão (SOP): instruções detalhadas para tarefas críticas
  • Termos de responsabilidade: formalizam ciência e aceite das regras
  • Classificação da informação: rótulos que orientam como cada dado deve ser tratado

Como aplicar os controles na prática

A segurança eficaz não depende de um único tipo de controle, mas da combinação inteligente de todos eles. O princípio de defesa em profundidade exige camadas complementares.

Priorização baseada em risco

Nem todo ativo precisa de todos os controles. A priorização deve considerar:

  • Criticidade do ativo
  • Ameaças mais prováveis
  • Impacto de um incidente
  • Custo e viabilidade do controle

Uma gestão de vulnerabilidades estruturada ajuda a identificar onde cada tipo de controle é mais necessário.

Exemplo de defesa em camadas

Proteção de um servidor crítico

  • Diretivo: política de hardening define configurações obrigatórias
  • Preventivo: firewall + patch + hardening aplicados
  • Dissuador: banner de acesso informando monitoramento
  • Detectivo: SIEM + EDR monitorando em tempo real
  • Corretivo: backup testado + plano de resposta
  • Compensatório: segmentação de rede caso patch não seja viável

Considerações finais

Entender os tipos de controles é o primeiro passo para construir uma segurança que vai além de ferramentas pontuais. Cada tipo cumpre um papel específico, e a força da estratégia está na integração entre eles.

Organizações que dependem apenas de controles preventivos ficam cegas quando a prevenção falha. Já aquelas que combinam prevenção, detecção, correção e orientação conseguem operar com resiliência real.

Perguntas Frequentes

Quais são os tipos de controles de segurança da informação?

Existem 6 tipos principais: preventivo (evita o incidente), dissuador (desencoraja o ataque), detectivo (identifica quando ocorreu), corretivo (restaura o estado normal), compensatório (alternativa quando o controle primário não é viável) e diretivo (orienta o comportamento).

Qual a diferença entre controle preventivo e detectivo?

O controle preventivo atua antes do incidente, impedindo que ele ocorra (ex: firewall, MFA). O detectivo atua durante ou após, identificando que algo aconteceu (ex: SIEM, IDS). Ambos são complementares e necessários em uma estratégia de defesa em camadas.

O que é um controle compensatório?

É um controle alternativo implementado quando o controle primário não é viável por razões técnicas, operacionais ou de custo. Ele não substitui o controle ideal, mas oferece nível de proteção equivalente dentro das restrições existentes.

Como escolher quais controles implementar?

A escolha deve ser baseada em análise de risco: identifique os ativos críticos, as ameaças relevantes e as vulnerabilidades existentes. Priorize controles preventivos para os riscos mais críticos, garanta detecção para todos os ambientes e tenha corretivos para os cenários de maior impacto.

Fontes e referências técnicas

  • NIST SP 800-53 — Security and Privacy Controls for Information Systems
  • ISO/IEC 27001:2022 — Annex A Controls
  • CIS Controls v8
  • COBIT 2019 — Governance and Management Objectives
  • PCI DSS v4.0 — Compensating Controls

Precisa estruturar os controles de segurança da sua empresa?

Avaliamos sua maturidade, identificamos lacunas e desenhamos um roadmap de controles alinhado ao seu risco e orçamento.

Falar com Especialista
Inteligencia Brasil

Inteligencia Brasil

Consultoria especializada em Segurança da Informação, Governança e Gestão de Riscos.