¿Cuáles son los principales pilares de la seguridad informática?

/ / Publicado en Ciberseguridad, Fundamentos de seguridad de los sistemas informáticos EITC/IS/CSSF, Introducción, Introducción a la seguridad de los sistemas informáticos

La seguridad informática, a menudo denominada ciberseguridad o seguridad de la información, es una disciplina que busca proteger los sistemas informáticos y los datos que procesan contra accesos no autorizados, daños, interrupciones o robos. En el corazón de todas las iniciativas de seguridad informática se encuentran tres pilares fundamentales, comúnmente conocidos como la tríada CIA: Confidencialidad, Integridad y Disponibilidad. Estos pilares son los principios rectores que orientan el diseño, la implementación y la evaluación de las medidas de seguridad en cualquier entorno informático. Cada pilar aborda un aspecto específico de la seguridad, y su implementación eficaz garantiza una defensa robusta contra una amplia gama de amenazas.

1. Confidencialidad

La confidencialidad es el principio que garantiza que la información solo sea accesible a quienes estén autorizados a acceder a ella. Su objetivo es evitar la divulgación no autorizada de información. En la práctica, esto significa que los datos sensibles —como información personal, secretos comerciales o material gubernamental clasificado— no deben exponerse a personas, sistemas o procesos que no cuenten con los permisos necesarios.

La implementación de medidas de confidencialidad generalmente implica:

Autenticación: Verificar la identidad de usuarios y sistemas a través de contraseñas, biometría, tokens de seguridad, tarjetas inteligentes y otros mecanismos.
Control de acceso: Definición y aplicación de políticas que especifican quién puede acceder a qué datos y bajo qué circunstancias. Los modelos comunes incluyen el control de acceso discrecional (DAC), el control de acceso obligatorio (MAC) y el control de acceso basado en roles (RBAC).
Encriptación: Transformación de información a un formato ilegible para usuarios no autorizados. El cifrado se aplica a datos en reposo (p. ej., archivos en un disco duro), datos en tránsito (p. ej., datos enviados por internet) y, cada vez más, a datos en uso.
Enmascaramiento y redacción de datos: Ocultar elementos de datos específicos dentro de un conjunto de datos para evitar su divulgación, especialmente en entornos donde se deben compartir conjuntos de datos completos pero solo ciertos detalles son sensibles.

Por ejemplo, en la banca en línea, la confidencialidad garantiza que la información de la cuenta, los registros de transacciones y los detalles de identificación personal sólo sean visibles para el titular de la cuenta y los empleados autorizados del banco, no para actores externos u otros clientes.

Amenazas a la confidencialidad:
Escuchas clandestinas o interceptación: Partes no autorizadas que escuchan el tráfico de la red (por ejemplo, a través de rastreadores de paquetes en redes Wi-Fi no seguras).
Violaciones de datos: Acceso no autorizado a bases de datos debido a vulnerabilidades o credenciales comprometidas.
Ingeniería social: Atacantes que manipulan a individuos para que divulguen información confidencial.

2 Integridad

La integridad se refiere a la exactitud e integridad de los datos. Garantiza que la información no se altere de forma no autorizada, ya sea maliciosa o accidental, durante el almacenamiento, la transmisión o el procesamiento. El principio de integridad también abarca la garantía de que un sistema y su software realicen sus funciones previstas sin modificaciones no autorizadas.

Para mantener la integridad, las organizaciones implementan medidas como:

Sumas de comprobación y funciones hash: Generar huellas digitales únicas para los datos de modo que se puedan detectar cambios no autorizados comparando los hashes almacenados y calculados.
Firmas digitales: Proporcionar prueba criptográfica del origen y el estado inalterado de un documento o mensaje.
Controles de acceso y registros de auditoría: Restringir quién puede modificar los datos y mantener registros de los cambios para facilitar la detección e investigación de modificaciones no autorizadas.
Sistemas de control de versiones: Gestionar cambios en documentos y códigos mediante el seguimiento de revisiones, la facilitación de reversiones y el mantenimiento de registros históricos.

Por ejemplo, en el contexto de los registros médicos electrónicos, las medidas de integridad garantizan que los registros de los pacientes no puedan ser alterados por personas no autorizadas y que cualquier cambio pueda rastrearse hasta el profesional de la salud responsable.

Amenazas a la integridad:
Manipulación de datos: Alteración deliberada de datos por parte de atacantes, como modificar registros financieros para cometer fraude.
Errores de transmisión: Cambios no intencionales debido a fallas de red o fallas de hardware.
Malware: Virus u otro software malicioso que corrompe archivos o alteran el comportamiento del sistema.

3. Disponibilidad

La disponibilidad es el principio que garantiza que los usuarios autorizados tengan acceso confiable y oportuno a la información y los recursos cuando los necesiten. Esto implica mantener la funcionalidad de los sistemas, las redes y los datos, incluso ante fallos, ataques o desastres.

Los mecanismos para garantizar la disponibilidad incluyen:

Redundancia: Implementar sistemas de respaldo, clústeres de conmutación por error y conexiones de red redundantes para evitar puntos únicos de falla.
Copias de seguridad regulares: Copiar datos periódicamente para que puedan restaurarse después de una pérdida o corrupción.
Planificación de recuperación ante desastres: Preparándose para interrupciones a gran escala con planes que describan cómo restablecer las operaciones rápidamente.
Protección de denegación de servicio (DoS): Implementar firewalls, sistemas de prevención de intrusiones y tecnologías anti-DoS para mitigar ataques que buscan saturar los recursos y hacer que los servicios no estén disponibles.
Gestión de parches: Mantener los sistemas actualizados para protegerse contra exploits que podrían bloquear o deshabilitar los servicios.

Por ejemplo, en un servicio basado en la nube, las medidas de disponibilidad garantizan que los usuarios puedan acceder a sus cuentas y datos en cualquier momento, incluso si hay una falla de hardware en uno de los centros de datos del proveedor.

Amenazas a la disponibilidad:
Ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS): Inundar un sistema con tráfico para agotar sus recursos.
Fallos de hardware: Cortes de energía, fallas de disco u otros problemas físicos que interrumpan el servicio.
Desastres naturales: Eventos como terremotos, inundaciones o incendios que dañan la infraestructura.
Ransomware: Software malicioso que cifra los datos y exige un pago para restaurar el acceso.

Interrelación de la Tríada de la CIA

Estos tres pilares están profundamente interconectados. Mejorar uno puede afectar a los demás, y las estrategias de seguridad eficaces deben lograr un equilibrio entre ellos. Por ejemplo, si bien el cifrado de datos mejora la confidencialidad, también puede afectar la disponibilidad si se pierden las claves de cifrado, lo que hace que los datos sean irrecuperables. De igual manera, unos controles de acceso excesivamente restrictivos que protegen la confidencialidad y la integridad pueden obstaculizar el acceso de usuarios legítimos, lo que afecta la disponibilidad.

Los profesionales de seguridad deben evaluar los riesgos y diseñar controles que optimicen los tres pilares según las necesidades de la organización, las obligaciones regulatorias y el panorama de amenazas.

Más allá de la tríada de la CIA: ampliando el modelo de seguridad

Si bien la tríada de la CIA constituye el marco fundamental, la seguridad informática moderna a menudo extiende el modelo para abordar consideraciones adicionales, entre ellas:

Autenticación: Garantizar que las entidades (usuarios, dispositivos, sistemas) sean quienes dicen ser.
Autorización: Determinar si a una entidad determinada se le permite realizar una acción específica.
Rendición de cuentas (No repudio): Garantizar que las acciones puedan rastrearse hasta las entidades responsables, evitando la negación de las acciones realizadas.
Auditabilidad: Proporcionar mecanismos para registrar y revisar acciones con fines forenses y de cumplimiento.
Privacidad: Proteger la información de identificación personal (PII) de acuerdo con los estándares legales y éticos.

Aunque estas extensiones son importantes, la tríada CIA sigue siendo el núcleo conceptual de la seguridad informática.

Ejemplos que ilustran la tríada de la CIA

1. Banca en línea:
– *Confidencialidad:* El cifrado SSL/TLS protege las comunicaciones entre el navegador del usuario y los servidores del banco.
– *Integridad:* Los registros de transacciones y las firmas digitales evitan la manipulación de los saldos de las cuentas o los historiales de transacciones.
– *Disponibilidad:* Los servidores distribuidos y el equilibrio de carga garantizan que los clientes puedan acceder a sus cuentas en todo momento.

2. Sistemas de información sanitaria:
– *Confidencialidad:* Las restricciones de acceso impiden que personal no autorizado vea los registros de los pacientes.
– *Integridad:* Los registros de auditoría y de cambios rastrean las modificaciones a los registros médicos.
– *Disponibilidad:* Las fuentes de alimentación de respaldo y las redes redundantes garantizan que el personal médico pueda acceder a los datos de los pacientes durante emergencias.

3. Sitios web de comercio electrónico:
– *Confidencialidad:* Las credenciales del usuario y la información de pago se encriptan y almacenan de forma segura.
– *Integridad:* Los hashes se utilizan para verificar que los listados de productos y los detalles de los pedidos no se hayan alterado.
– *Disponibilidad:* Las plataformas de alojamiento en la nube brindan escalabilidad y resiliencia para manejar aumentos repentinos de tráfico y proteger contra ataques DoS.

Controles de seguridad comunes alineados con los pilares

Cortafuegos Haga cumplir la confidencialidad y la disponibilidad restringiendo el acceso no autorizado y filtrando el tráfico de red.
Sistemas de Detección y Prevención de Intrusos (IDPS): Monitorear los sistemas para detectar señales de infracciones que podrían comprometer la integridad o la disponibilidad.
Reseñas de acceso de usuarios: Revisar periódicamente los privilegios de los usuarios para garantizar que sólo las personas autorizadas mantengan el acceso, salvaguardando la confidencialidad y la integridad.
Políticas de seguridad y capacitación: Establecer pautas y concientizar a los usuarios para asegurar el correcto manejo de datos sensibles y la respuesta a incidentes de seguridad.

Consideraciones legales y reglamentarias

La adhesión a la tríada de la CIA también se refleja en diversas normas y regulaciones. Por ejemplo:

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA): Exige confidencialidad, integridad y disponibilidad de la información sanitaria protegida.
El Reglamento General de Protección de Datos (RGPD): Requiere que las organizaciones implementen medidas de seguridad apropiadas para proteger los datos personales, abordando los tres pilares.
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): Especifica los requisitos para proteger los datos del titular de la tarjeta, incluido el cifrado (confidencialidad), el registro (integridad) y la continuidad del negocio (disponibilidad).

Marcos de seguridad y la tríada de la CIA

Varios marcos de seguridad, como el Marco de Ciberseguridad del NIST y la norma ISO/IEC 27001, se basan en la tríada CIA. Ofrecen enfoques estructurados para identificar, evaluar y gestionar los riesgos asociados con la confidencialidad, la integridad y la disponibilidad.

Gestión de riesgos y la tríada CIA

La gestión de riesgos en seguridad informática implica identificar activos, evaluar amenazas y vulnerabilidades, evaluar los posibles impactos y aplicar controles para gestionar los riesgos de los pilares de la CIA. Por ejemplo, una organización podría realizar una evaluación de riesgos para determinar cómo un ataque de ransomware podría afectar la disponibilidad de los datos y, posteriormente, implementar medidas como copias de seguridad periódicas y capacitación de los empleados para mitigar este riesgo.

El papel de los factores humanos

El comportamiento humano desempeña un papel fundamental en el mantenimiento de la tríada CIA. Errores como contraseñas débiles, mal manejo de información confidencial o la omisión de actualizaciones de software pueden socavar los tres pilares. Por consiguiente, la formación en concienciación sobre seguridad y una cultura de responsabilidad compartida son componentes esenciales de un programa de seguridad integral.

Tendencias emergentes y desafíos futuros

A medida que la tecnología evoluciona, surgen nuevas amenazas y complejidades que desafían la aplicación de la tríada CIA. La proliferación de la computación en la nube, los dispositivos móviles, el Internet de las Cosas (IdC) y la inteligencia artificial introduce nuevos vectores de ataque y exige adaptaciones de los enfoques de seguridad tradicionales. Por ejemplo:

Entornos de nube: Los datos pueden almacenarse en múltiples ubicaciones y accederse a ellos desde distintos dispositivos, lo que complica el control sobre la confidencialidad y la disponibilidad.
Dispositivos de IoT: A menudo tienen características de seguridad limitadas, lo que los hace susceptibles a violaciones que afectan la integridad y la disponibilidad.
Trabajo remoto: Amplía la superficie de ataque, lo que requiere nuevas estrategias para mantener la tríada CIA fuera de los perímetros de red tradicionales.

Los profesionales de la seguridad deben mantenerse al tanto de estos avances y perfeccionar continuamente los controles para defender los principios de confidencialidad, integridad y disponibilidad.

Los pilares de la seguridad informática (confidencialidad, integridad y disponibilidad) proporcionan un marco integral para proteger la información y los recursos en los sistemas informáticos. Cada control, política y mejor práctica de seguridad está diseñada, en última instancia, para respaldar uno o más de estos pilares. Al comprender sus definiciones, las amenazas que abordan y los medios prácticos de implementación, las organizaciones pueden proteger mejor sus activos en un panorama digital cada vez más complejo.

Otras preguntas y respuestas recientes sobre Fundamentos de seguridad de los sistemas informáticos EITC/IS/CSSF:

Vea más preguntas y respuestas en Fundamentos de seguridad de sistemas informáticos EITC/IS/CSSF

Más preguntas y respuestas:

Etiquetado como: , , , , , , ,