Blog

Tres elementos clave de seguridad, detrás de las siglas CIA

La tríada denominada CIA es un principio rector que muchas organizaciones utilizan para consolidar sus políticas, procesos y procedimientos de seguridad de la información. CIA responde al acrónimo inglés de confidencialidad, integridad y disponibilidad, los tres elementos que dan cuerpo a la seguridad y solidez de los datos. En ocasiones, se le suele cambiar el orden a los términos, para evitar confusiones con la agencia central de inteligencia, y se la denomina AIC.

Los elementos de esta tríada se consideran los componentes más importantes de la seguridad tecnológica y se trata de un modelo diseñado para guiar las políticas de seguridad de la información, en el seno de una organización. Sus elementos son los siguientes:

C de Confidencialidad, como forma de evitar que la información caiga en manos equivocadas, al tiempo que se garantiza el acceso a ella de las personas pertinentes. Es decir, que los datos mantienen su integridad, tanto en tránsito como en reposo, incluso que son ilegibles si se pierden o son robados.

I de Integridad, como sinónimo de consistencia, precisión y fiabilidad de la información, en su ciclo de vida completo. Es decir, que los datos son precisos, completos y que se mantienen actualizados, todo el tiempo necesario.

A de Disponibilidad (en inglés, Availability), que supone garantizar que las personas autorizadas puedan acceder a esos datos, siempre que los necesiten. En este terreno, las organizaciones también deben comprender cómo los individuos y su trabajo pueden verse afectados, en caso de no poder acceder a los datos que necesitan.

En resumen, el atributo de Confidencialidad se traduce en un conjunto de reglas que limita el acceso a la información, la Integridad proporciona la garantía de que la información es fiable y precisa, y la Disponibilidad garantiza el acceso a ella de las personas adecuadas y autorizadas.

La primera puede ser equivalente a la privacidad, por cuanto está diseñada para evitar que la información confidencial llegue a personas equivocadas. Es decir, se restringe el acceso a ella solo al personal autorizado. Incluso, se puede establecer una clasificación, en función de la cantidad o tipo de daño que podría causar, si los datos cayeran en manos equivocadas, antes de establecer medidas más o menos estrictas de control.

A veces, salvaguardar la confidencialidad de los datos puede implicar una capacitación especial para quienes tienen acceso a los documentos. Un buen ejemplo de ello son los métodos de cifrado que empleamos en cuentas u operaciones online. Las identificaciones de usuario y las contraseñas constituyen un procedimiento estándar de esto mismo. Otras opciones incluyen verificación biométrica y tokens de seguridad.

La integridad implica mantener la consistencia, precisión y fiabilidad de los datos, durante todo su ciclo de vida. Los datos no deben modificarse en tránsito, y deben tomarse medidas para garantizar que personas no autorizadas no alteran los datos (por ejemplo, en una violación de la confidencialidad). Estas medidas incluyen permisos de archivos y control de acceso de usuarios. El control de versiones se puede utilizar para evitar que los cambios erróneos o la eliminación accidental, por parte de usuarios autorizados, se conviertan en un problema. Además, deben existir algunos medios para detectar cualquier cambio en los datos que pueda ocurrir, como resultado de eventos no causados ​​por el hombre, como un pulso electromagnético (EMP) o un bloqueo del servidor.

La disponibilidad se garantiza mejor manteniendo rigurosamente todo el hardware actualizado, realizando reparaciones inmediatas, cuando sea necesario, y manteniendo un entorno de sistema operativo que funcione correctamente y libre de conflictos de software. También es importante mantenerse al día con todas las actualizaciones necesarias del sistema. Proporcionar un ancho de banda de comunicación adecuado y prevenir la aparición de cuellos de botella son igualmente importantes. La redundancia, la conmutación por error, incluso los clústeres de alta disponibilidad, pueden mitigar las graves consecuencias derivadas de estos potenciales problemas de hardware.

Una recuperación ante desastres, rápida y adaptativa, resulta esencial para prever los peores escenarios. Y esa capacidad depende de la existencia de un plan integral al respecto que libre de cualquier contingencia que pueda producirse.