Tríada CIA: Un marco de principios para definir políticas de seguridad de la información
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
La tríada CIA (confidencialidad, integridad, disponibilidad) es un modelo ampliamente utilizado en la seguridad de la información, que guía los esfuerzos y las políticas de una organización para proteger sus datos. Sin embargo, en situaciones del mundo real, es necesario hacer concesiones.
Componentes de la tríada CIA
La tríada CIA representa los principios de confidencialidad, integridad y disponibilidad. Estas siglas hacen referencia a los tres pilares fundamentales de la seguridad de la información:
Confidencialidad: Solo los usuarios y procesos autorizados deben tener acceso o la capacidad de modificar los datos.
Integridad: Los datos deben mantenerse correctos y no deben ser alterados de manera indebida, ya sea accidental o maliciosamente.
Disponibilidad: Los usuarios autorizados deben poder acceder a los datos siempre que los necesiten.
Considerar estos tres principios como una tríada asegura que los profesionales de la seguridad reflexionen profundamente sobre cómo se superponen y, a veces, entran en conflicto, lo que puede ayudar a establecer prioridades al implementar políticas de seguridad.
¿Por qué es importante la tríada CIA?
Quienes tienen conocimientos básicos de ciberseguridad entienden la importancia de la confidencialidad, la integridad y la disponibilidad como fundamentos esenciales de la política de seguridad de la información. Sin embargo, ¿por qué es útil considerarlas como una tríada interrelacionada en lugar de pensar en ellas por separado?
La tríada CIA proporciona un marco para entender la amplia variedad de software, servicios y técnicas de seguridad disponibles en el mercado. En lugar de abordar el vago “problema” de la “ciberseguridad” de manera general, la tríada CIA permite a los líderes de TI formular preguntas específicas mientras planifican y asignan recursos: ¿Esta herramienta mejora la seguridad de nuestra información? ¿Este servicio garantiza la integridad de nuestros datos? ¿Fortalecer nuestra infraestructura incrementará la disponibilidad de los datos para quienes los necesitan?
Además, organizar estos tres conceptos en una tríada revela las tensiones que a menudo existen entre ellos. Por ejemplo, exigir una autenticación rigurosa para acceder a los datos puede garantizar su confidencialidad, pero también puede dificultar el acceso para quienes tienen derecho a verlos, reduciendo su disponibilidad. Tener presente la tríada CIA al establecer políticas de seguridad de la información obliga a los equipos a tomar decisiones equilibradas sobre cuál de los tres elementos es prioritario para conjuntos específicos de datos y para la organización en su totalidad.
Ejemplos de la tríada CIA
Para entender cómo se aplica la tríada CIA en la práctica, consideremos un cajero automático de un banco, que permite a los usuarios acceder a saldos bancarios y otra información. Este dispositivo incorpora herramientas que abordan los tres principios de la tríada:
Confidencialidad: Se garantiza al requerir autenticación de dos factores (una tarjeta física y un código PIN) antes de permitir el acceso a los datos.
Integridad: El cajero automático y el software del banco aseguran la integridad de los datos al garantizar que cualquier transferencia o retiro realizado se refleje correctamente en la cuenta bancaria del usuario.
Disponibilidad: La máquina proporciona disponibilidad al estar en un lugar público y ser accesible incluso cuando la sucursal bancaria está cerrada.
Gran parte de lo que el público en general considera “ciberseguridad” se refiere principalmente a la confidencialidad, es decir, cualquier medida que restrinja el acceso a los datos. Esto incluye:
Autenticación: Procesos que permiten a los sistemas verificar la identidad de un usuario. Esto abarca contraseñas, biometría, tokens de seguridad, claves criptográficas, entre otros métodos.
Autorización: Determina quién tiene derecho a acceder a ciertos datos. El hecho de que un sistema reconozca a un usuario no significa que todos los datos estén disponibles para él. Los mecanismos de acceso aseguran que solo los usuarios autorizados puedan acceder a información sensible, protegiendo así los datos de posibles usuarios deshonestos o cuentas pirateadas. La mayoría de los sistemas operativos refuerzan la confidencialidad permitiendo que muchos archivos sean accesibles solo para sus creadores o administradores.
Criptografía de clave pública: Una infraestructura ampliamente utilizada que refuerza tanto la autenticación como la autorización. Al autenticar a los usuarios mediante claves criptográficas, se establece su derecho a participar en comunicaciones cifradas.
La confidencialidad también se puede mantener con métodos no técnicos, como guardar datos impresos bajo llave, colocar espacio entre computadoras y combatir intentos de ingeniería social.
La pérdida de confidencialidad ocurre cuando datos sensibles son vistos por personas no autorizadas. Grandes violaciones de datos, como el hackeo de Marriott, son ejemplos destacados de esta pérdida.
Las técnicas para mantener la integridad de los datos abarcan diversas disciplinas. Por ejemplo, muchos métodos que protegen la confidencialidad también refuerzan la integridad de los datos: si los datos no son accesibles, no pueden ser alterados maliciosamente. Además, las reglas de acceso a los datos, implementadas por la mayoría de los sistemas operativos, juegan un papel crucial. En algunos casos, ciertos usuarios pueden leer archivos, pero no editarlos, lo que ayuda a mantener la integridad de los datos sin comprometer su disponibilidad.
Además de los ataques maliciosos que buscan eliminar o alterar datos, existen otras formas de pérdida de integridad de los datos. Por ejemplo, la corrupción de datos en la memoria RAM puede ocurrir debido a interacciones con rayos cósmicos, un fenómeno más común de lo que se cree. Aunque este es un ejemplo extremo, cualquier técnica diseñada para proteger la integridad física de los medios de almacenamiento también protege la integridad virtual de los datos.
Muchas defensas contra violaciones de integridad se centran en detectar cambios en los datos, como las sumas de comprobación, o restaurar datos a un estado conocido, como copias de seguridad frecuentes y detalladas. Las violaciones de integridad pueden ser menos comunes o evidentes que las de confidencialidad o disponibilidad, pero aún son críticas. Por ejemplo, alterar datos comerciales para influir en la toma de decisiones o hackear un sistema financiero para inflar temporalmente el valor de una acción y desviar el excedente son ejemplos serios. Un ataque más simple y común es la desfiguración de un sitio web, donde los piratas informáticos alteran el HTML por diversión o motivos ideológicos.
Garantizar la disponibilidad de los datos suele ser responsabilidad de departamentos no directamente asociados con la ciberseguridad. La mejor manera de asegurar que los datos estén disponibles es mantener todos los sistemas operativos y capaces de manejar las cargas de red esperadas. Esto implica mantener el hardware actualizado, monitorear el uso del ancho de banda y proporcionar capacidad de conmutación por error y recuperación ante desastres en caso de fallos del sistema.
Otras técnicas para mantener la disponibilidad incluyen equilibrar este principio con los otros dos de la tríada. Por ejemplo, los permisos de archivo integrados en los sistemas operativos permiten que ciertos usuarios puedan leer archivos sin editarlos, equilibrando así la necesidad de disponibilidad con la integridad de los datos.
Un ejemplo clásico de pérdida de disponibilidad debido a un actor malintencionado es un ataque de denegación de servicio (DoS). Este tipo de ciberagresión no altera los datos ni accede a información confidencial, sino que abruma al sistema con tráfico para que no pueda mantener su sitio web en línea. Aunque sencillo, los ataques DoS son muy dañinos y demuestran la importancia de la disponibilidad en la tríada de seguridad.
Beneficios de la tríada CIA
La tríada CIA proporciona a los equipos de seguridad de la información un marco estructurado para desarrollar políticas de seguridad y considerar las compensaciones involucradas en las decisiones de seguridad. Esto ofrece varios beneficios y ventajas, tales como:
Orientación para los controles: La tríada CIA ofrece una guía sólida para seleccionar e implementar controles y tecnologías de seguridad.
Prioridades de seguridad equilibradas: Ayuda a los equipos de seguridad a crear políticas que estén equilibradas y adaptadas a las necesidades específicas de la organización.
Simplicidad: Al dividir la toma de decisiones de seguridad en tres elementos centrales, la tríada CIA proporciona un enfoque sencillo para la formulación de políticas, garantizando una comunicación clara en toda la organización, vinculada a los principios de la tríada.
Base para el cumplimiento: Muchas normas regulatorias se basan en la tríada CIA, por lo que establecer políticas de seguridad alineadas con esta tríada puede mejorar la capacidad de la organización para cumplir con dichas normas.
Para más información, visite: https://www.silikn.com/