La tríada de la CIA: explicación de la confidencialidad, la integridad y la disponibilidad

La confidencialidad, integridad y disponibilidad o la tríada CIA es el concepto más fundamental en seguridad cibernética. Sirve como principios rectores u objetivos para la seguridad de la información para que las organizaciones y las personas mantengan la información a salvo de miradas indiscretas.

Confidencialidad

La confidencialidad consiste en garantizar que el acceso a los datos esté restringido solo a la audiencia destinataria y no a otros. Como es de esperar, cuanto más sensible sea la información, más estrictas deberían ser las medidas de seguridad. Muchas leyes de privacidad se basan en controles de seguridad de confidencialidad para hacer cumplir los requisitos legales.

Algunas medidas para mantener la confidencialidad de la información son:

  • Cifrado
  • Contraseña
  • Autenticación de dos factores
  • Biométrico
  • Tokens de seguridad

Integridad

La integridad se refiere a mantener la precisión y la integridad de los datos. En otras palabras, se trata de proteger los datos para que no sean modificados por partes no autorizadas, accidentalmente por partes autorizadas o por eventos no causados ​​por humanos, como pulsos electromagnéticos o fallas del servidor. Por ejemplo, un pirata informático puede interceptar datos y modificarlos antes de enviarlos al destinatario previsto.

Las medidas para mantener la integridad de la información incluyen:

  • Cifrado
  • Hashing
  • Controles de acceso de usuario
  • Sumas de comprobación
  • Control de versiones
  • Copias de seguridad

Disponibilidad

Por último, la información debe estar disponible cuando se necesite. Para garantizar una alta disponibilidad de datos, debe mantener un hardware y software que funcione correctamente y proporcionar un ancho de banda adecuado. Pero estas medidas por sí solas no son suficientes porque hay fuerzas externas en juego; la disponibilidad de datos puede verse comprometida aún más por:

  • Denegación de servicio (DoS)
  • Cortes de energía
  • Desastres naturales

DoS, por ejemplo, podría ser empleado por una empresa rival para romper su sitio web y que su propio sitio web se vuelva más popular.

Las medidas para mitigar las amenazas a la disponibilidad incluyen:

  • Copias de seguridad fuera del sitio
  • Recuperación de desastres
  • Redundancia
  • Conmutación por falla
  • REDADA
  • Clústeres de alta disponibilidad

Desafíos para la tríada de la CIA

Los macrodatos son un desafío especial para el paradigma de la CIA debido a la cantidad cada vez mayor de datos que deben protegerse. A medida que avanza la tecnología, se agregan más dispositivos al creciente flujo de datos en una variedad de formatos diferentes. Además, debido a que el objetivo principal del manejo de macrodatos es a menudo recopilar y realizar interpretaciones con toda la información, la supervisión responsable puede ser una preocupación secundaria.

La privacidad y seguridad de Internet de las cosas es un desafío particular. Cada año hay más dispositivos habilitados para Internet en el mercado, que pueden permanecer sin parchear o usar contraseñas débiles. Si bien muchos dispositivos no transmiten información particularmente sensible, es posible que un atacante recopile suficiente información de cada punto final, la analice y, potencialmente, revele información que preferiría mantener en privado.

Además de la tríada de la CIA, también hay otros temas que se repiten con frecuencia en la seguridad de la información:

  • no repudio: garantía de que alguien / algo no puede negar algo (por ejemplo, no se puede negar la autenticidad de una firma digital)
  • autenticación: demostrar que una persona es quien dice ser
  • confiabilidad: confianza en que uno puede depender de un sistema o proceso
  • Privacidad: una contraparte generalizada de la confidencialidad que también aborda las consecuencias sociales de no cumplir con el requisito.