MODELO DE SEGURIDAD CIA
INTRODUCCIÓN:
La palabra CIA representa las iniciales de las palabras confidencialidad, integridad y disponibilidad (availability) en inglés. Todo sistema que quiera considerarse seguro debe cumplir con estos tres aspectos fundamentales que están relacionados para mantener un sistema funcional y proteger la información:
Es común representar este modelo en forma de triángulo, cuyos vértices son las dimensiones básicas de la seguridad y sus aristas los servicios básicos que implican:
La palabra CIA representa las iniciales de las palabras confidencialidad, integridad y disponibilidad (availability) en inglés. Todo sistema que quiera considerarse seguro debe cumplir con estos tres aspectos fundamentales que están relacionados para mantener un sistema funcional y proteger la información:
- Confidencialidad:
Consiste en la garantía de que la información que se proporciona al sistema, no pueda ser accedida por personas no autorizadas ni será divulgada. Un ejemplo en el que este aspecto falló fue la filtración del padrón electoral del INE el pasado mes de abril. Esta información terminó siendo subastada en Amazon, revelando información confidencial como nombres, apellidos, domicilios, etc. de más de 93 millones de mexicanos.
- Integridad:
Es el principio que se encarga de que la información en el sistema sea correcta y válida y que no pueda ser modificada por alguien no autorizado.
Un ejemplo con consecuencias financieras graves, fue un hack de bancos en Bangladesh, Sri Lanka, Filipinas, con daños de $951 millones de dólares. El hack consistió en explotar una debilidad en SWIFT, en donde la base de datos fue comprometida.
- Disponibilidad:
Consiste en que la información y los recursos relacionados estén disponible para los usuarios autorizados cuando lo requieran, incluso en momentos de emergencia o alto tráfico.
La caída del servicio de PlayStation Network en 2011 debido a una vulnerabilidad es un claro ejemplo de este principio debido a que ningún usuario podía acceder al servicio.
MODELO O TRIÁNGULO CIA:
Es común representar este modelo en forma de triángulo, cuyos vértices son las dimensiones básicas de la seguridad y sus aristas los servicios básicos que implican:
Por ejemplo, el servicio de NoRepudio
implica la arista CI formada por la configuración de la confidencialidad
y la Integridad, y que es utilizada para que alguien no niegue la autoría de una
acción, aspecto básico por ejemplo para aplicaciones de firma electrónica. De
la misma manera, la arista CA formada por la confidencialidad y la
disponibilidad tratan de hacer posible el servicio de autenticación, utilizado en
la gestión de accesos y la identificación de los usuarios. La mezcla de la
disponibilidad y la integridad permite implementar servicios relacionados con la
privacidad en el sentido de que la información de un usuario legítimo sólo esté
disponible para él y no pueda modificarse por un tercero.
No obstante, en otras fuentes, como el Esquema Nacional de Seguridad (ENS)
en España, incluye algunos aspectos adicionales, como la Trazabilidad.
Según el ENS, a fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del sistema, se tendrán en cuenta las siguientes dimensiones de la seguridad:
Según el ENS, a fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del sistema, se tendrán en cuenta las siguientes dimensiones de la seguridad:
- Disponibilidad [D].
- Autenticidad [A].
- Integridad [I].
- Confidencialidad [C].
- Trazabilidad [T].
- Otros autores, basados en el modelo CIA y extendiéndolo, quieren incluir aspectos como la mantenibilidad y la fiabilidad en un primer nivel dentro de la seguridad de la información.
Para más información podéis consultar el siguiente video: https://www.youtube.com/watch?v=KWAfVhy_GQ8&t=146s
Comentarios
Publicar un comentario