La confidencialidad, integridad y disponibilidad, también conocida como la tríada de la CIA, es un modelo diseñado para guiar las políticas de seguridad de la información dentro de una organización. El modelo también se conoce a veces como la tríada AIC (disponibilidad, integridad y confidencialidad) para evitar confusiones con la Agencia Central de Inteligencia. Aunque los elementos de la tríada son tres de las necesidades de ciberseguridad más fundamentales y cruciales, los expertos creen que la tríada de la CIA necesita una actualización para mantenerse eficaz.
En este contexto, la confidencialidad es un conjunto de reglas que limita el acceso a la información, la integridad es la garantía de que la información es confiable y veraz, y la disponibilidad es una garantía de acceso confiable a la información por parte de personas autorizadas.
Confidencialidad, integridad, disponibilidad
El siguiente es un desglose de los tres conceptos clave que forman la tríada de la CIA:
- Confidencialidad: es aproximadamente equivalente a las medidas de confidencialidad que están diseñadas para evitar que la información sensible provenga de intentos de acceso no autorizados. Es común que los datos se clasifiquen de acuerdo con la cantidad y el tipo de daño que podrían producirse si cayeran en las manos equivocadas. Entonces se pueden implementar medidas más o menos estrictas de acuerdo con esas categorías.
- Integridad: implica mantener la coherencia, precisión y confiabilidad de los datos durante todo su ciclo de vida. Los datos no deben modificarse en tránsito, y deben tomarse medidas para garantizar que personas no autorizadas no puedan alterar los datos (por ejemplo, en una violación de la confidencialidad).
- Disponibilidad: significa que la información debe ser consistente y fácilmente accesible para las partes autorizadas. Esto implica mantener adecuadamente el hardware y la infraestructura técnica y los sistemas que contienen y muestran la información.
Los tres principios de la tríada de la CIA.
¿Porqué la tríada de la CIA es importante?
Dado que cada letra representa un principio fundamental en ciberseguridad, la importancia del modelo de seguridad de la tríada de la CIA habla por sí sola. La confidencialidad, la integridad y la disponibilidad juntas se consideran los tres conceptos más importantes dentro de la seguridad de la información.
Considerar estos tres principios juntos en el marco de la "tríada" puede ayudar a guiar el desarrollo de políticas de seguridad para las organizaciones. Al evaluar las necesidades y los casos de uso de posibles nuevos productos y tecnologías, la tríada ayuda a las organizaciones a formular preguntas específicas sobre cómo se proporciona valor en esas tres áreas claves.
Pensar en los tres conceptos de la tríada de la CIA juntos como un sistema interconectado, en lugar de conceptos independientes, puede ayudar a las organizaciones a comprender las relaciones entre los tres.
Ejemplos de la tríada de la CIA
A continuación se muestran ejemplos de las diversas prácticas y tecnologías de gestión que componen la tríada de la CIA. Si bien muchas estrategias de ciberseguridad de la tríada de la CIA implementan estas tecnologías y prácticas, esta lista no es de ninguna manera exhaustiva.
Confidencialidad
A veces, salvaguardar la confidencialidad de los datos implica una formación especial para quienes están al tanto de documentos sensibles. La capacitación puede ayudar a familiarizar a las personas autorizadas con los factores de riesgo y cómo protegerse contra ellos. Otros aspectos de la capacitación pueden incluir contraseñas sólidas y mejores prácticas relacionadas con contraseñas e información sobre métodos de ingeniería social para evitar que los usuarios infrinjan las reglas de manejo de datos con buenas intenciones y resultados potencialmente desastrosos.
Un buen ejemplo de métodos utilizados para garantizar la confidencialidad es exigir un número de cuenta o un número de ruta cuando se realizan operaciones bancarias en línea. El cifrado de datos es otro método común para garantizar la confidencialidad. Las identificaciones de usuario y las contraseñas constituyen un procedimiento estándar. La autenticación de dos factores (2FA) se está convirtiendo en la norma. Otras opciones incluyen verificación biométrica y tokens de seguridad, llaveros o tokens de software. Además, los usuarios pueden tomar precauciones para minimizar la cantidad de lugares donde aparece información y la cantidad de veces que se transmite realmente para completar una transacción requerida. Se pueden tomar medidas adicionales en el caso de documentos extremadamente sensibles, como almacenar solo en computadoras con espacio de aire, dispositivos de almacenamiento desconectados o, para información altamente sensible, solo en forma impresa.
Integridad
Estas medidas incluyen permisos de archivos y controles de acceso de usuarios. El control de versiones se puede utilizar para evitar que los cambios erróneos o la eliminación accidental por parte de usuarios autorizados se conviertan en un problema. Además, las organizaciones deben poner algunos medios para detectar cualquier cambio en los datos que pueda ocurrir como resultado de eventos no causados por humanos, como un pulso electromagnético (EMP) o un bloqueo del servidor.
Los datos pueden incluir sumas de comprobación, incluso sumas de comprobación criptográficas, para verificar la integridad. Deben estar disponibles copias de seguridad o redundancias para restaurar los datos afectados a su estado correcto. Además, las firmas digitales se pueden utilizar para proporcionar medidas efectivas de no repudio, lo que significa que no se puede negar la evidencia de inicios de sesión, mensajes enviados, visualización y envío de documentos electrónicos.
Disponibilidad
La mejor forma de garantizar esto es mantener rigurosamente todo el hardware, realizar reparaciones de hardware inmediatamente cuando sea necesario y mantener un entorno de sistema operativo (SO) que funcione correctamente y que no tenga conflictos de software. También es importante mantenerse al día con todas las actualizaciones necesarias del sistema. Proporcionar un ancho de banda de comunicación adecuado y prevenir la aparición de cuellos de botella son tácticas igualmente importantes. La redundancia, la conmutación por error, RAID, incluso los clústeres de alta disponibilidad, pueden mitigar las consecuencias graves cuando ocurren problemas de hardware.
La recuperación rápida y adaptable ante desastres es esencial para los peores escenarios; esa capacidad depende de la existencia de un plan integral de recuperación ante desastres. Las salvaguardias contra la pérdida de datos o las interrupciones en las conexiones deben incluir eventos impredecibles como desastres naturales e incendios. Para evitar la pérdida de datos por tales incidentes, se puede almacenar una copia de respaldo en un lugar geográficamente aislado, quizás incluso en una caja fuerte a prueba de fuego e impermeable. El equipo o software de seguridad adicional, como los firewalls y los servidores proxy, pueden proteger contra el tiempo de inactividad y los datos inalcanzables bloqueados por ataques maliciosos de denegación de servicio (DoS) e intrusiones en la red.
Desafíos especiales para la tríada de la CIA
Los macrodatos plantean desafíos al paradigma de la CIA debido al gran volumen de información que las organizaciones necesitan salvaguardar, la multiplicidad de fuentes de donde provienen los datos y la variedad de formatos en los que existen. Los conjuntos de datos duplicados y los planes de recuperación ante desastres pueden multiplicar los costos ya elevados. Además, debido a que la principal preocupación de los macrodatos es recopilar y realizar algún tipo de interpretación útil de toda esta información, a menudo falta una supervisión responsable de los datos. El denunciante Edward Snowden llevó ese problema al foro público cuando informó sobre la recopilación de un volúmen masivo de datos personales de ciudadanos estadounidenses por parte de la Agencia de Seguridad Nacional.
La privacidad de Internet de las cosas protege la información de las personas de la exposición en un entorno de IoT. Casi cualquier entidad u objeto físico o lógico puede recibir un identificador único y la capacidad de comunicarse de forma autónoma a través de Internet o una red similar. Es posible que los datos transmitidos por un punto final determinado no causen problemas de privacidad por sí mismos. Sin embargo, cuando se recopilan, cotejan y analizan incluso datos fragmentados de varios puntos finales, puede producir información confidencial.
La seguridad de Internet de las cosas también es un desafío porque IoT consta de muchos dispositivos habilitados para Internet además de las computadoras, que a menudo no se actualizan y a menudo se configuran con contraseñas predeterminadas o débiles. A menos que esté adecuadamente protegido, IoT podría usarse como un vector de ataque separado o como parte de un robot.
A medida que se desarrollan más y más productos con capacidad para conectarse en redes, es importante considerar de forma rutinaria la seguridad en el desarrollo de productos.
Mejores prácticas para implementar la tríada CIA
Al implementar la tríada de la CIA, una organización debe seguir un conjunto general de mejores prácticas. Algunas de las mejores prácticas, divididas por cada uno de los tres temas, incluyen:
Confidencialidad
- Los datos deben manejarse en base a la privacidad requerida por la organización.
- Los datos deben cifrarse mediante 2FA.
- Deben mantenerse actualizadas las listas de control de acceso y otros permisos de archivos.
Integridad
- Asegúrese de que los empleados conozcan los requisitos de cumplimiento y normativos para minimizar los errores humanos.
- Utilice software de copia de seguridad y recuperación.
- Para garantizar la integridad, utilice el control de versiones, el control de acceso, el control de seguridad, los registros de datos y las sumas de verificación.
Disponibilidad
- Utilice medidas preventivas como redundancia, conmutación por error y RAID. Asegúrese de que los sistemas y las aplicaciones se mantengan actualizados.
- Utilice sistemas de monitoreo de red o servidor.
- Asegúrese de que exista un plan de recuperación de datos y continuidad comercial (BC) en caso de pérdida de datos.
Historia de la tríada de la CIA
El concepto de tríada de la CIA se formó con el tiempo y no tiene un solo creador. La confidencialidad podría haber sido propuesta por primera vez en 1976 en un estudio de la Fuerza Aérea de los Estados Unidos. Asimismo, el concepto de integridad se exploró en un artículo de 1987 titulado "Una comparación de políticas de seguridad informática comerciales y militares" escrito por David Clark y David Wilson. El documento reconoció que la informática comercial necesitaba registros contables y corrección de datos. Aunque no es tan fácil encontrar una fuente inicial, el concepto de disponibilidad se generalizó un año después, en 1988.
En 1998, la gente veía los tres conceptos juntos como la tríada de la CIA.