¿Qué es CIA (en ciberseguridad)?

No, no estamos hablando de la Agencia Central de Inteligencia.

Al igual que otros acrónimos desafortunados que existen en el mundo (uno de nuestros favoritos es la WTF, también conocida como la Federación Mundial de Comercio), CIA a menudo puede significar algunas cosas. Normalmente, sí, se refiere a la Agencia Central de Inteligencia. Pero cuando se trata de ciberseguridad, significa algo completamente diferente.

En ciberseguridad, CIA se refiere a la tríada de la CIA, un concepto que se centra en el equilibrio entre la confidencialidad, la integridad y la disponibilidad de los datos bajo la protección de su programa de seguridad de la información.

Este concepto ha surgido en las últimas dos décadas como un principio clave para los profesionales de la seguridad de la información, ya que ayuda a dirigir los esfuerzos, el gasto y las horas al intentar crear y optimizar un programa de ciberseguridad y alinearlo con las necesidades del negocio.

Leer más: Terminología de ciberseguridad en Términos sencillos

Desglosar la CIA de la ciberseguridad

Confidencialidad

Mantener seguros los datos

En su esencia, el principio de confidencialidad consiste en mantener lo que necesita ser privado, privado. La regulación gubernamental, los requisitos de cumplimiento de la industria, las expectativas de sus socios comerciales y las prioridades comerciales de su empresa juegan un papel importante en la definición de qué datos deben mantenerse confidenciales.

En la práctica, la confidencialidad consiste en controlar el acceso a los datos para que solo los usuarios autorizados puedan acceder o modificarlos. No importa en qué industria se encuentre una empresa, es responsabilidad de esa empresa mantener sus datos y los datos de sus clientes/clientes fuera de las manos de aquellos que los usarían indebidamente. Este es quizás el más obvio de los tres componentes de la CIA.

La confidencialidad puede violarse tanto intencionalmente como no, a través de ataques directos destinados a obtener acceso a través de partes vulnerables de una red o a través de la negligencia y el error humano. Tener controles sólidos y una buena capacitación para los empleados ayuda mucho a mantener la confidencialidad de una empresa.

Integrity

Mantener los datos limpios

Integrity se centra en mantener los datos limpios y limpios, tanto cuando se cargan como cuando se almacenan. Esto significa asegurarse de que solo aquellos a quienes se les permite modificarlo, lo modifiquen.

Si bien la filtración de datos es un problema, que los datos se alteren de forma maliciosa o accidental también puede crear un mundo de problemas y semanas de dolores de cabeza para las empresas. Cuando esto sucede, la confianza vuela por la ventana. Las empresas, sus socios y sus clientes deben poder confiar en información precisa, fiable y actualizada en todo momento. Si este no puede ser el caso, hay un problema.

Este requisito no solo es aplicable a los datos que deben mantenerse confidenciales. El contenido en el sitio web de una empresa también debe ser preciso. Los precios, las descripciones e incluso los horarios de las tiendas deben ser precisos. Este tipo de datos públicamente visibles también debe tener su integridad protegida.

Disponibilidad

Mantener los datos accesibles

Disponibilidad significa esencialmente que cuando un usuario autorizado necesita acceder a datos o información, puede hacerlo. A veces puede confundirse o incluso parecer contradecir la confidencialidad.

Mientras que la confidencialidad consiste en asegurarse de que solo las personas que necesitan acceder a los datos puedan acceder a ellos, la disponibilidad consiste en asegurarse de que sea fácil acceder a esos datos si una persona autorizada lo necesita. Esto puede incluir asegurarse de que las redes y las aplicaciones se ejecuten como deberían, que los protocolos de seguridad no obstaculicen la productividad o que haya un recurso disponible para cuando surja un problema y necesite solucionarse.

Cuando la disponibilidad está bajo ataque o se queda en el camino, el negocio puede detenerse. Ya se trate de un bloqueo de nómina, correo electrónico o datos confidenciales necesarios para operar un negocio, si los empleados no pueden llegar a lo que necesitan para trabajar, bueno, no pueden trabajar. Encontrar el equilibrio entre el acceso a los datos y asegurarse de que su negocio pueda seguir funcionando es una parte clave de la tríada de la CIA.

Un ejemplo

La confidencialidad, la integridad y la disponibilidad establecen las bases para todos los marcos de seguridad. El tira y afloja que a veces existe entre ellos varía de una industria a otra y ayuda a establecer prioridades para los equipos de ciberseguridad. ¿Qué es la CIA en ciberseguridad en acción?

Por ejemplo, imagine que dirige un negocio de comercio electrónico exitoso.

• El cumplimiento de PCI requiere, y sus clientes esperan, que la información de la tarjeta de crédito se almacene de forma segura para que no se produzcan transacciones fraudulentas (confidencialidad).
• Su sitio de comercio electrónico debe estar disponible las 24 horas del día, los 7 días de la semana para que pueda atender a los compradores siempre que elijan comprar (disponibilidad).
• Y cuando llega su pedido, no quieren haber recibido la cosa equivocada porque la descripción del producto en el sitio no reflejaba el producto correctamente, o porque algo en el back-end se estropeó (integridad).

Para abordar cada uno de ellos se requerirá la cooperación del equipo de seguridad y la empresa. A los desarrolladores se les pedirá que escriban código que cumpla con los requisitos de PCI. Se le pedirá que asegure y mantenga hardware de calidad (o servicios en la nube) y software para ejecutar el sitio web de manera confiable. Las ventas y el cumplimiento de pedidos tendrán que funcionar para garantizar que ponen la información correcta en el sitio web y que se implementan las metodologías adecuadas para garantizar que el paquete correcto se envíe al comprador correcto. La seguridad debe trabajar con todos estos departamentos para ayudar a garantizar que se cumplan esos objetivos.

En esta situación, si bien todos son obviamente importantes, la confidencialidad y la accesibilidad probablemente tendrán prioridad sobre la integridad, ya que una identidad robada y las reclamaciones fraudulentas son más importantes que un paquete incorrecto.

Pero ahora, imagina que eres un contratista del gobierno. La información clasificada con la que trabajas a diario (confidencialidad) y la fiabilidad de esa información (integridad) tienen prioridad sobre lo fácil que es para alguien acceder a ella (disponibilidad), dictando tus prioridades en esa dirección. Unos pocos pasos adicionales de inicio de sesión no significan nada cuando la seguridad nacional está en juego.

Encontrar el equilibrio adecuado entre los diferentes componentes de la tríada de la CIA para su negocio no siempre es fácil y requiere una sólida asociación con las necesidades comerciales de su organización para hacerlo correctamente. Pero cuando está fuera de equilibrio, su negocio sufrirá.

Las operaciones de seguridad eficaces son fundamentales para cumplir los objetivos de la CIA

Sin supervisión, análisis y alertas eficaces sobre los eventos de seguridad en su entorno, no podrá medir qué tan bien está cumpliendo sus objetivos de la CIA, y puede pasar por alto las violaciones de esos objetivos, escalando los eventos a incidentes.

deepwatch se creó para proporcionar valiosos servicios de operaciones de seguridad gestionadas para ayudar a los clientes a mantener la visibilidad de su rendimiento, identificar eventos e incidentes de seguridad y cumplir con sus objetivos de ciberseguridad CIA.

Obtenga más información sobre quiénes somos y cómo estamos cambiando el servicio de ciberseguridad administrada o póngase en contacto con nosotros hoy mismo.