La triada (la confidencialidad, integridad y disponibilidad) trabaja en conjunto para proteger y resguardar la información, aunque es probable que, en función de la información, su estado y ubicación, un principio pueda ser más relevante respecto de los otros dos y en otro contexto sea otro el principio mayormente relevante. Siempre, por supuesto, en función del activo y su información. Para alinear; Por ahora, y simplificando, entendamos a un ACTIVO como “cualquier cosa que tenga o represente valor” para el negocio u organización. Luego profundizamos en ello 😉. Entremos en detalle respecto de la TRIADA.

Confidencialidad

Se trata del primer principio de la TRIADA (CIA) y corresponde al concepto de limitar el acceso a la información (data) únicamente para aquellos usuarios y sistemas (recursos) debidamente autorizados restringiendo cualquier otro acceso no autorizado. Es decir, se trata del principio de garantizar que únicamente aquellas partes debidamente autorizadas poseen acceso a la información previniendo el acceso no permitido a esta en cualquiera de sus “intenciones”: ver, editar, copiar, mover, eliminar, etc. Este principio está íntimamente relacionado con el concepto de “mínimo privilegio” el cual plantea que cada usuario y/o sistema (recurso) debe poseer el mínimo privilegio que le permita trabajar/operar abordando “la necesidad de saber”. Es decir, en función del rol de cada usuario/sistema (recurso), únicamente se deben proveer los accesos/privilegios mínimos que permitan ejercer esta función/rol de manera adecuada NO MÁS, NO MENOS. ¿Cómo vamos hasta ahora? Sigamos.

Por otor lado, junto a la confidencialidad existe la PRIVACIDAD encargándose de proteger la confidencialidad de los datos personales. Es decir, tiene que ver con el resguardo de la privacidad, de la información de personal. Se trata de información asociada a personas y que permite identificar de manera particular a estas como lo es el RUT/DNI, Numero de Seguro Social, Nombres/Apellidos, Dirección, Teléfono, etc. A nivel internacional, a esta información se le conoce como PII por sus siglas en inglés de Personal Identifiable Information. Hoy, la información personal está siendo fuertemente resguardada y protegida existiendo normas y leyes que se encargan de ello y de asociar sanciones punitivas para su incumplimiento. Chile está trabajando arduamente en la próxima ley de datos personales, sin duda un gran avance.

La confidencialidad, como primer principio, cuando no es aplicada debidamente, se corre el riesgo de que la información relevante sea accesible de forma no controlada dando paso a posibles incumplimientos legales y/o contractuales como también respecto de ceder ventajas competitivas cuando, por ejemplo, es información de “know how” del negocio. Por supuesto, un incidente de este tipo afecta e impacta enormemente la imagen y reputación causando un daño que incluso podría hacer desaparecer el negocio (por supuesto, en función del incidente, del tamaño de la organización, etc.). Las amenazas más comunes, y hoy muy empleadas, incluyen, aunque no se limitan a, el Phishing y otras formas de ingeniería social, robo de credenciales, escuchas de red (sniffing), malware, espionaje industrial y/o gubernamental, error humano, etc.

Para finalizar, hay que indicar que para mantener y resguardar la confidencialidad existen controles como el control de acceso a la información basada en roles, el cifrado (encriptación) de la información, el acceso vía multifactor de autenticación y otras medidas más que pronto abordaremos con mayor detalle. Sin duda, el recurso humano es la primera y última línea de defensa y la necesidad de educar, concientizar y entrenar a nuestros colaboradores y socios de negocio es fundamental.

Integridad

Corresponde al segundo principio de la TRIADA; La integridad es todo esfuerzo por mantener la “exactitud, validez e integridad (no modificación)” (Def CISSP CBK – 9 edición) de la información (datos) y sistemas. Se trata de asegurar que los datos no son manipulados por nadie que no posea accesos y privilegios debidos y, de existir lo anterior, dejar el debido registro de estas modificaciones siendo, siempre, posible identificar los cambios y su origen. Es decir, el principal objetivo de la integridad es asegurar que los datos se mantienen intactos, correctos y confiables toda vez que una falla en este principio puede provocar un grave impacto negativo en los procesos de negocio siendo origen de muchos errores y situaciones producto de la inconsistencia y/o falta de integridad de los datos.

Al igual que con la confidencialidad, la integridad puede ser comprometida por actos maliciosos de terceros, malware, errores humanos, falta de control o negligencia; De hecho, una amenaza del tipo ransomware impacta directamente a la integridad y la disponibilidad (ahora vamos con este pilar). Por supuesto, muchas veces la integridad se ve afectada por negligencia de los propios dueños de datos; Usuarios o administradores TIC quienes, estos últimos, por ejemplo, al ingresar una línea de comando errónea pueden impactar los datos contenidos en una base de datos, aplicación y/o sistema de manera accidental. Cómo medida de protección, el respaldo de información es la principal herramienta de recuperación, junto a la formación y educación de usuarios, las soluciones de journal y control de versiones, el acceso basado en roles y privilegios, el control restringido de acceso y el uso de hashes criptográficos para medir y validar la integridad de datos.

Finalmente, existen dos conceptos bajo el alero del pilar de la integridad: Autenticidad y No Repudio. Autenticidad se refiere a garantizar que los datos son genuinos y que las partes (involucrados) sean realmente quienes dicen ser. Por otro lado, el No Repudio es un principio legal (implantado técnicamente) que postula que las partes involucradas no negarán la participación en acciones realizadas con datos (creación, modificación, eliminación, etc.). Para lo anterior, la implementación de firma electrónica es el mecanismo común y ampliamente usado para establecer y garantizar los conceptos de autenticidad y no repudio. ¿Cómo vamos hasta acá?

Disponibilidad

El tercer, y último, pilar fundamental de la TRIADA es la disponibilidad la cual es todo respecto de asegurar que, solo para aquellos debidamente autorizados, la información está disponible cada vez que se necesite. Es decir, garantizar que los datos, información, sistemas y/o aplicaciones están disponibles, para aquellas partes debidamente autorizadas, cada vez que estas requieran de su uso. Se infiere, entonces, que las amenazas posibles son aquellas que interrumpen la disponibilidad de la información impactando los procesos de negocio y generando pérdidas económicas, daños a la imagen, pérdida de ingresos y/o clientes. Una de las amenazas más comunes a la disponibilidad son los ataques de denegación de servicios (DoS y DDoS), la eliminación, el movimiento de información, ransomware, fallas de hardware, inundaciones, errores de software, etc. Finalmente, el respaldo vuelve a ser un actor principal para recuperar la disponibilidad de información, el uso de sistemas y fuentes de poder redundantes como también el uso de la nube permiten asegurar la disponibilidad de la información.

Como en los dos principios anteriores, la disponibilidad posee tres conceptos íntimamente asociados a esta:

• Accesibilidad: Es la capacidad (habilidad) y facilidad de utilizar un recurso y/o acceder a los datos cuando estos son necesitados facilitando las posibles barreras que impidan acceder a la información para aquellas partes debidamente autorizadas. 
• Usabilidad: Es la capacidad de una parte, usuario, de hacer uso de la información disponible asociado a los roles y privilegios que se poseen con la información disponible.
• Puntualidad: Tiene todo que ver con tiempo. Es decir, es el tiempo entre que la información disponible es solicitada y hasta cuando esta es accedida por aquellas partes debidamente autorizada. Es un concepto asociado con el concepto de SLA.

Hasta ahora, hemos revisado los tres pilares fundamentales de la seguridad de la información y los conceptos asociados a estos repasando, brevemente, las amenazas posibles y algunas medidas de control para mitigar el impacto frente a la materialización de un riesgo que impacte, de manera negativa, a la confidencialidad, integridad y/o disponibilidad.

Bases de la Seguridad de la Información 101 listo… sigamos con más 😉

Ciertamente, espero te haya gustado este contenido y sea de lectura amena. Ayúdame a mejorar, deja tu feedback o háblame directamente ;) GRACIAS!

César Millavil A

COMPUNETGROUP CEO

+56993431807

C|EH - ISO27001LA – ISO27032LM