Un control de compensación, también llamado control alternativo, es un mecanismo que se implementa para satisfacer el requisito de una medida de seguridad que se considera demasiado difícil o poco práctica de implementar en este momento.
En la industria de tarjetas de pago (PCI), los controles de compensación se introdujeron en PCI DSS 1.0, para brindar a las organizaciones una alternativa a los requisitos de seguridad que no podían cumplirse debido a limitaciones tecnológicas o comerciales legítimas. Según el PCI Council, los controles compensatorios deben:
1) Cumplir con la intención y el rigor del requisito establecido originalmente;
2) Proporcionar un nivel de defensa similar al requisito establecido originalmente;
3) Estar "por encima y más allá" de otros requisitos de PCI DSS (no simplemente en cumplimiento con otros requisitos de PCI DSS); y
4) Ser acorde con el riesgo adicional impuesto por no adherirse al requisito establecido originalmente.
Ejemplos de controles de compensación para la seguridad de la tecnología de la información incluyen:
Segregación de funciones (SoD) - un control interno diseñado para prevenir errores y fraudes asegurando que al menos dos personas sean responsables de las partes separadas de cualquier tarea. El fraude y el error son riesgos en la gestión de nóminas. Para mitigar ese riesgo, una empresa puede tener un empleado responsable de la parte contable del trabajo y otro responsable de firmar los cheques. Sin embargo, la segregación de funciones puede resultar difícil para las empresas con poco personal. Los controles de compensación, en este caso, pueden incluir el mantenimiento y revisión de registros y pistas de auditoría.
Cifrado: convertir todos los datos electrónicos en texto cifrado y cambiar las claves criptográficas periódicamente puede ser difícil y costoso de implementar. Como suele ser el caso, es posible que se requieran múltiples controles de compensación para proporcionar una seguridad equivalente a la del control que se reemplaza. Los controles de compensación en lugar del cifrado de datos completo pueden incluir el uso de aplicaciones y servicios de seguridad de bases de datos, control de acceso a la red (NAC), estrategias de prevención de fugas de datos y cifrado de correo electrónico.