¿Qué es la tríada de la CIA?

Entendiendo la importancia de los tres principios fundamentales de la seguridad de la información.

En la comunidad de la seguridad informática, la sigla “CIA” no tiene nada que ver con una cierta agencia de inteligencia estadounidense muy conocida. Estas tres letras significan confidencialidad, integridad y accesibilidad, también conocidas como la tríada de la CIA.

La tríada de la CIA es tan fundamental para la seguridad de la información que cada vez que se filtran datos, se ataca un sistema, un usuario muerde un anzuelo de phishing, una cuenta es secuestrada, un sitio web es maliciosamente retirado o se produce una serie de incidentes de seguridad, usted puede estar seguro de que uno o más de estos principios han sido violados.

Los profesionales de ciberseguridad evalúan las amenazas y vulnerabilidades basándose en el impacto potencial que tienen en la confidencialidad, integridad y disponibilidad de los activos de una organización. Es decir, sus datos, aplicaciones y sistemas críticos. Basándose en esa evaluación, el equipo de seguridad implementa un conjunto de controles de seguridad para reducir el riesgo en su entorno.

Confidencialidad

La confidencialidad se refiere a los esfuerzos de una organización para mantener sus datos privados o secretos. En la práctica, se trata de controlar el acceso a los datos para evitar su divulgación no autorizada. Esto implica asegurarse que sólo aquellos autorizados tengan acceso a activos específicos y, que quienes no están autorizados, sean impedidos activamente de obtener acceso. Por ejemplo, solo algunos empleados autorizados deberían tener acceso a la base de datos de nómina de todos los empleados en una organización. Además, dentro de un grupo de usuarios autorizados, puede haber limitaciones adicionales y más estrictas en cuanto a la información a la que esos usuarios autorizados pueden acceder.

La confidencialidad puede romperse de muchas maneras, por ejemplo, a través de ataques directos diseñados para obtener acceso no autorizado a sistemas, aplicaciones y bases de datos con el fin de robar o manipular datos. O también puede violarse involuntariamente, a través de errores humanos, descuidos o controles de seguridad inadecuados. Por ejemplo, no proteger las contraseñas, compartir las cuentas de los usuarios, no encriptar los datos, por nombrar algunos.

Las contramedidas para proteger la confidencialidad incluyen la clasificación y el etiquetado de los datos; fuertes controles de acceso y mecanismos de autenticación; encriptación de los datos en proceso, en tránsito y en almacenamiento; capacidades de borrado remoto, y educación y capacitación adecuadas para todas las personas con acceso a los datos.

Integridad

En el uso diario, la integridad se refiere a la entereza de algo. En seguridad informática, la integridad consiste en garantizar que los datos no hayan sido manipulados y, por lo tanto, sean confiables. Los clientes del eCommerce, por ejemplo, esperan que la información sobre productos y precios sea precisa, o que la cantidad, el precio, la disponibilidad y otros datos, no sean alterados después de realizar un pedido.

Los clientes bancarios deben poder confiar en que su información bancaria y los saldos de sus cuentas no sean manipulados. Garantizar la integridad implica proteger los datos en uso, en tránsito (por ejemplo, al enviar un correo electrónico o al cargar o descargar un archivo) y al almacenarlos, ya sea en aparatos físicos o en la nube.

Al igual que en el caso de la confidencialidad, la integridad puede verse comprometida directamente a través de un vector de ataque, como por ejemplo la manipulación de sistemas de detección de intrusos, la modificación de archivos de configuración o el cambio de registros del sistema para evadir la detección, o también involuntariamente, a través de errores humanos, como falta de cuidado o errores de codificación.

Las contramedidas que protegen la integridad de los datos incluyen la encriptación; la función hash; las firmas digitales; los certificados digitales; los sistemas de detección de intrusos; las auditorías; el control de versiones; los mecanismos de autenticación, y los controles de acceso.

Accesibilidad

Los sistemas, aplicaciones y datos son de poco valor para una organización y sus clientes si no son accesibles cuando los usuarios autorizados los necesitan. En pocas palabras, la accesibilidad significa que las redes, los sistemas y las aplicaciones están en su pleno funcionamiento. Garantiza que los usuarios autorizados tengan acceso oportuno y fiable a los recursos cuando los necesiten.

Muchas cosas pueden poner en peligro la accesibilidad, incluyendo fallas de hardware o software, fallas en el suministro eléctrico, desastres naturales o errores humanos. Quizás el ataque más conocido que amenaza la accesibilidad es la denegación de servicio, en el que el rendimiento de un sistema, sitio web, aplicación basada en la web o servicio basado en la web, se degrada de forma intencional y maliciosa. Con ello, el sistema se vuelve completamente inalcanzable.

Entre las medidas para asegurar la accesibilidad están la redundancia en servidores, redes, aplicaciones y servicios; tolerancia a fallos de hardware para servidores y almacenamiento; parches de software y actualizaciones de sistema regulares, por nombrar algunos.

Aplicando los principios

Dependiendo de los objetivos de seguridad de una organización, la industria, la naturaleza del negocio y de cualquier requisito reglamentario aplicable, uno de estos tres principios podría tener prioridad sobre otro. Por ejemplo, la confidencialidad es vital dentro de ciertas agencias gubernamentales, como los servicios de inteligencia; la integridad tiene prioridad en el sector financiero, donde la diferencia entre $1.00 y $1.000.000.000.00 podría ser catastrófica, y la accesibilidad es crítica en el sector del comercio electrónico, donde el tiempo de inactividad puede costar millones de dólares a las compañías.

Un concepto clave que hay que entender sobre la tríada de la CIA es que priorizar uno o más principios puede significar el compromiso de los otros. Por ejemplo, un sistema que requiere alta confidencialidad e integridad podría sacrificar el rendimiento a la alta velocidad que otros sistemas -como el comercio electrónico- podrían valorar más. Esta compensación no es necesariamente algo malo, sino que es una elección consciente. Cada organización debe decidir cómo aplicar estos principios basados en sus necesidades únicas, equilibradas con su deseo de proporcionar una experiencia de usuario segura y sin fisuras.

Deja un comentario