Los controles en seguridad de la información son divididos en dos tipos. Los controles cibernéticos son aquellos controles tecnológicos como un simple cortafuegos hasta un antivirus. Controles informáticos son los que usualmente llamamos política de seguridad, es decir que la manera de como debes de utilizar la computadora de la empresa es considerada una política de seguridad. También, podemos incluirlo en las políticas de los cortafuegos y configuraciones de los controles cibernéticos. Realizando un buen balance de estos tipos de controles de seguridad es que podemos obtener un nivel de seguridad óptimo.
Una de las maneras más comunes para un ciberdelincuente enviar programas malignos a una empresa es a través de los correos electrónicos. Un atacante pudiera realizar un ataque por correo utilizando diferentes tipos de estrategias como ingeniería social con el interés de que el usuario descargue el programa maligno que contenga una vulnerabilidad conocida o hasta una vulnerabilidad día cero (Vulnerabilidades día cero son aquellas vulnerabilidades identificadas por ciberdelincuentes, que aún no son reportadas y no existe mitigación a estas vulnerabilidades.). A esto es lo que llamamos phishing, pero es importante entender que el propósito en un phishing es solo robar credenciales del usuario, sino que el usuario descargue un tipo de programa maligno que infecte la red privada completa.
Esta crisis global ha mostrado un incremento masivo de correo phishing conteniendo programas maliciosos como el Ransomware. Es aquí donde debemos entender los diferentes controles de seguridad, ya que no se basa en solo implementar políticas de seguridad para detener estos ataques. Debemos tener buenos controles cibernéticos que tengan la capacidad de implementar configuraciones robustas que ayuden a identificar estos tipos de ataques. Es por esto por lo que debemos entender bien la diferencia de estos tipos de controles al momento de implementarlos. Al final, lo que debemos hacer para protegernos de estos correos mal intencionados es hacer un balance entre estos tipos de controles con el propósito que ayuden al usuario a identificar que x correo se basa en un phishing, por ende, no debería de hacer clic o descargar x archivo.