La triada de seguridad, los bastiones de seguridad, el triángulo de seguridad hacen referencia a la CIA TRIAD ¿pero sabes a qué se refieren estas 3 iniciales CIA?
La CIA TRIAD está conformada por las iniciales de los 3 pilares de la seguridad de la información:
- Confidencialidad
- Integridad
- Disponibilidad
Estos 3 conceptos “CIA” dependen perfectamente uno de otro, aquí te explicamos a que se refiere cada uno.
Confidencialidad
¡Que no se revele información a quien no está autorizado!
Esta propiedad de seguridad de los datos hace referencia a “Garantizar que la información se accedida solamente por las personas indicadas”; la propiedad de confidencialidad debe existir en los datos en cualquiera de sus 3 estados: en almacenamiento, proceso y en tránsito.
Existen muchos mecanismos para proveer confidencialidad, sin embargo, muy pocos pueden ofrecer esta propiedad en los 3 estados de la información, usualmente empleamos mecanismos distintos en cada uno de ellos.
Una violación a la confidencialidad no siempre es derivada de la actuación de los ciber atacantes, muchas veces se puede deber a fallas en los mecanismos de seguridad implementados, en la definición y el conocimiento de políticas de seguridad de la organización o fallas de configuración.
También es posible que la confidencialidad se vea afectada debido a errores humanos; el ejemplo más claro se da cuando nos alejamos de nuestro escritorio y dejamos nuestro equipo de cómputo desbloqueado. ¿Te suena conocido?
Tener información crítica o sensible en papel y dejarla a la vista de cualquier persona puede resultar “riesgoso”, pues nunca faltan personas ajenas a la organización caminando por los pasillos y que pueden llegar a ver información a las espaldas de los usuarios.
El TIP aquí es utilizar algunos de los mecanismos para minimizar riesgos como autenticación, controles de acceso y cifrado de los datos.
Integridad
¡Que los datos no sean alterados!
La integridad de la información se refiere a garantizar que la información no ha sido modificada, en cualquiera de sus 3 estados: en almacenamiento, proceso o en tránsito.
La integridad se debe analizar desde 3 perspectivas:
1.- Prevenir que alguien con permisos de modificación cometa algún error y modifique los datos.
2.-Prevenir que alguien sin permisos de modificación realice algún cambio.
3.- Prevenir que algún programa o aplicativo que interactúa directamente con la información “objetivo” realice algún cambio.
La violación a la integridad no solo puede ser efectuada por los ciber atacantes, al igual que la confidencialidad se puede deber a fallas en los mecanismos de seguridad, configuraciones o incluso derivado del error humano.
¿Conoces a alguien a quién le pasó?
El TIP aquí es implementar mecanismos para garantizar la integridad de la información, estos consisten en aplicar autenticación en el acceso a la información, controles de acceso y limitar las funciones del personal con respecto a la información.
Disponibilidad
¡Que la información siempre esté accesible para las personas autorizadas!
La disponibilidad de la información hace referencia a mantener activo el acceso a la información necesaria a aquellas personas que deben tener acceso a la misma en el momento que sea necesario.
Al igual que las propiedades anteriores, el impacto a la disponibilidad se puede deber también al error humano.
El TIP aquí es emplear mecanismos como los siguientes para minimizar impactos.
- Implementar soluciones redundantes
- Esquemas de respaldo
- Planes de continuidad del negocio (BCP) y Recuperación de desastres (DRP), mismos que deberán ser probados periódicamente para garantizar su correcto funcionamiento.
¿Pero cómo estas 3 propiedades de la CIA dependen entre sí?
Estas tres propiedades de seguridad de la información dependen una de otra de la siguiente forma:
Si no se tiene confidencialidad . . . entonces la probabilidad de que se viole la integridad de la información aumenta potencialmente. Dando pie a que una persona no autorizada pueda modificar la información.
Si se modifica la integridad de los datos . . . entonces la información o aplicaciones clave del negocio se verán afectados y no podrán dar el servicio esperado, lo que llevaría a un impacto en la disponibilidad.
Y es así como la “CIA”, confidencialidad, integridad y disponibilidad se convierten en un engrane importante para la seguridad de la información, en donde si alguno de estos elementos falla la consecuencia impacta a todos. Así mismo es importante considerar el factor humano pues como te diste cuenta en cada uno de los pilares el error humano prevalece.
La mayoría de las organizaciones emplean la “triada CIA” para revisar los mecanismos de seguridad con los que cuentan los aplicativos que utilizan, todo con el objetivo de minimizar riesgos.
No se trata de utilizar uno u otro, sino los tres conceptos “CIA” de forma equilibrada