¿qué es la tríada de la CIA?
la seguridad de la información gira en torno a los tres principios clave: confidencialidad, integridad y disponibilidad (CIA). Dependiendo del entorno, la aplicación, el contexto o el caso de uso, uno de estos principios puede ser más importante que los demás., Por ejemplo, para una agencia financiera, la confidencialidad de la información es primordial, por lo que probablemente cifraría cualquier documento clasificado que se transfiera electrónicamente para evitar que personas no autorizadas lean su contenido. Por otro lado, las organizaciones como los mercados de internet se verían gravemente dañadas si su red estuviera fuera de servicio durante un período prolongado, por lo que podrían centrarse en estrategias para garantizar una alta disponibilidad por encima de las preocupaciones sobre los datos cifrados.,
confidencialidad
la confidencialidad se refiere a prevenir el acceso no autorizado a información confidencial. El acceso podría ser intencional, como un intruso que entra en la red y lee la información, o podría ser involuntario, debido al descuido o incompetencia de las personas que manejan la información. Las dos formas principales de garantizar la confidencialidad son la criptografía y el control de acceso.,
criptografía
El cifrado ayuda a la organización a satisfacer la necesidad de proteger la información tanto de la divulgación accidental como de los intentos de ataque internos y externos. La eficacia de un sistema criptográfico en la prevención de descifrado no autorizado se conoce como su fuerza. Un sistema criptográfico fuerte es difícil de descifrar. La fuerza también se expresa como factor de trabajo, que es una estimación de la cantidad de tiempo y esfuerzo que sería necesario para romper un sistema.,
un sistema se considera débil si permite claves débiles, tiene defectos en su diseño o se descifra fácilmente. Muchos sistemas disponibles hoy en día son más que adecuados para uso comercial y personal, pero son inadecuados para aplicaciones militares o gubernamentales sensibles. La criptografía tiene algoritmos simétricos y asimétricos.
algoritmos simétricos
los algoritmos simétricos requieren que tanto el emisor como el receptor de un mensaje cifrado tengan la misma clave y algoritmos de procesamiento., Los algoritmos simétricos generan una clave simétrica (a veces llamada clave secreta o Clave Privada) que debe ser protegida; si la clave se pierde o es robada, la seguridad del sistema se ve comprometida. Estos son algunos de los estándares comunes para algoritmos simétricos:
- Data Encryption Standard (DES). DES se ha utilizado desde mediados de la década de 1970. durante años, fue el estándar principal utilizado en el gobierno y la industria, pero ahora se considera inseguro debido a su pequeño tamaño de clave: genera una clave de 64 bits, pero ocho de esos bits son solo para la corrección de errores y solo 56 bits son la clave real., Ahora AES es el estándar principal.
- Triple-DES (3DES). 3DES es una actualización tecnológica de DES. 3DES todavía se utiliza, a pesar de que AES es la opción preferida para las aplicaciones gubernamentales. 3DES es considerablemente más difícil de romper que muchos otros sistemas, y es más seguro que DES. Aumenta la longitud de la clave a 168 bits (usando tres claves DES de 56 bits).
- estándar de cifrado avanzado (AES). AES ha reemplazado DES como el estándar utilizado por las agencias gubernamentales de los Estados Unidos. Utiliza el algoritmo Rijndael, llamado así por sus desarrolladores, Joan Daemen y Vincent Rijmen., AES admite tamaños de clave de 128, 192 y 256 bits, siendo 128 bits el predeterminado.
- Código de Ron o Código de Ron (RC). RC es una familia de cifrado producida por RSA laboratories y nombrada así por su autor, Ron Rivest. Los niveles actuales son RC4, RC5 y RC6. RC5 utiliza un tamaño de clave de hasta 2.048 bits; se considera que es un sistema Fuerte. RC4 es popular entre el cifrado inalámbrico y WEP/WPA. Es un cifrado de streaming que funciona con tamaños de clave entre 40 y 2.048 bits, y se utiliza en SSL y TLS. También es popular entre las utilidades; lo utilizan para descargar archivos torrent., Muchos proveedores limitan la descarga de esos archivos, pero el uso de RC4 para ofuscar el encabezado y la secuencia hace que sea más difícil para el proveedor de servicios darse cuenta de que son los archivos torrent los que se están moviendo.
- Blowfish y Twofish. Blowfish es un sistema de cifrado inventado por un equipo liderado por Bruce Schneier que realiza un cifrado de bloque de 64 bits a velocidades muy rápidas. Es un cifrado de bloques simétrico que puede usar claves de longitud variable (de 32 bits a 448 bits). Twofish es bastante similar, pero funciona en bloques de 128 bits. Su característica distintiva es que tiene un calendario clave complejo.,
- algoritmo internacional de cifrado de datos (IDEA). IDEA fue desarrollado por un consorcio Suizo y utiliza una clave de 128 bits. Este producto es similar en velocidad y capacidad a DES, pero es más seguro. IDEA se utiliza en Pretty Good Privacy (PGP), un sistema de cifrado de dominio público que muchas personas utilizan para el correo electrónico.
- almohadillas de una sola vez. Los pads de una sola vez son las únicas implementaciones criptográficas verdaderamente completamente seguras. Son tan seguros por dos razones. Primero, usan una clave que es tan larga como un mensaje de texto sin formato. Esto significa que no hay un patrón en la aplicación clave para que un atacante lo use., En segundo lugar, las teclas de almohadilla de una sola vez se usan solo una vez y luego se descartan. Así que incluso si pudiera romper un cifrado de una sola vez, esa misma clave nunca se volvería a usar, por lo que el conocimiento de la clave sería inútil.
algoritmos asimétricos
los algoritmos asimétricos utilizan dos claves: una clave pública y una clave privada. El remitente utiliza la Clave Pública para cifrar un mensaje, y el receptor utiliza la clave privada para descifrarlo. La Clave Pública puede ser verdaderamente pública o puede ser un secreto entre las dos partes. La clave privada, sin embargo, se mantiene privada; solo el propietario (receptor) lo sabe., Si alguien quiere enviarle un mensaje cifrado, puede usar su Clave Pública para cifrar el mensaje y luego enviarle el mensaje. Puede utilizar su clave privada para descifrar el mensaje. Si ambas claves están disponibles para un tercero, el sistema de cifrado no protegerá la privacidad del mensaje. La verdadera «magia» de estos sistemas es que la Clave Pública no se puede utilizar para descifrar un mensaje. Si Bob envía a Alice un mensaje cifrado con la Clave Pública de Alice, no importa si todos los demás en la Tierra tienen la Clave Pública de Alice, ya que esa clave no puede descifrar el mensaje., Estos son algunos de los estándares comunes para algoritmos asimétricos:
- RSA. RSA lleva el nombre de sus inventores, Ron Rivest, Adi Shamir y Leonard Adleman. El algoritmo RSA es un sistema de cifrado de Clave Pública temprano que utiliza enteros grandes como base para el proceso. Está ampliamente implementado, y se ha convertido en un estándar de facto. RSA funciona tanto con cifrado como con firmas digitales. RSA se utiliza en muchos entornos, incluyendo Secure Sockets Layer (SSL), y se puede utilizar para el intercambio de claves.
- Diffie-Hellman., Whitfield Diffie y Martin Hellman son considerados los fundadores del concepto de Clave Pública/Privada. Su algoritmo Diffie-Hellman se utiliza principalmente para generar una clave secreta compartida a través de redes públicas. El proceso no se utiliza para cifrar o descifrar mensajes; se utiliza simplemente para la creación de una clave simétrica entre dos partes.
- criptografía de curva elíptica (EEC). ECC proporciona una funcionalidad similar a RSA, pero utiliza tamaños de clave más pequeños para obtener el mismo nivel de seguridad., Los sistemas de cifrado ECC se basan en la idea de usar puntos en una curva combinados con un punto en el infinito y la dificultad de resolver problemas de logaritmos discretos.
control de acceso
El cifrado es una forma de garantizar la confidencialidad; un segundo método es el control de acceso. Hay varios enfoques para el control de acceso que ayudan con la confidencialidad, cada uno con sus propias fortalezas y debilidades:
- Control de acceso obligatorio (MAC). En un entorno MAC, todas las capacidades de acceso están predefinidas., Los usuarios no pueden compartir información a menos que los administradores establezcan sus derechos para compartirla. En consecuencia, los administradores deben realizar cualquier cambio que sea necesario hacer a dichos derechos. Este proceso impone un modelo rígido de seguridad. Sin embargo, también se considera el modelo de ciberseguridad más seguro.
- Control de acceso discrecional (DAC). En un modelo DAC, los usuarios pueden compartir información dinámicamente con otros usuarios. El método permite un entorno más flexible, pero aumenta el riesgo de divulgación no autorizada de información., Los administradores tienen más dificultades para garantizar que solo los usuarios adecuados puedan acceder a los datos.
- Control de acceso basado en roles (RBAC). El control de acceso basado en roles implementa el control de acceso basado en la función o responsabilidad del trabajo. Cada empleado tiene uno o más roles que permiten el acceso a información específica. Si una persona se mueve de un rol a otro, el acceso para el rol anterior ya no estará disponible. Los modelos RBAC proporcionan más flexibilidad que el modelo MAC y menos flexibilidad que el modelo DAC., Sin embargo, tienen la ventaja de basarse estrictamente en la función del trabajo en lugar de en las necesidades individuales.
- Control de acceso basado en reglas (RBAC). El control de acceso basado en reglas utiliza la configuración de las directivas de seguridad preconfiguradas para tomar decisiones sobre el acceso. Estas reglas se pueden configurar para:
- Denegar todos pero los que específicamente aparecen en una lista (una lista de acceso permitido)
- Denegar sólo aquellos que específicamente aparecen en la lista (una verdadera denegar el acceso de la lista)
las Entradas de la lista pueden ser nombres de usuario, direcciones IP, nombres de host o incluso dominios., Los modelos basados en reglas se utilizan a menudo junto con modelos basados en roles para lograr la mejor combinación de seguridad y flexibilidad.
- Control de acceso basado en Atributos (ABAC). ABAC es un método relativamente nuevo para el control de acceso definido en NIST 800-162, definición de control basado en Atributos y consideraciones., Es una metodología lógica de control de acceso donde la autorización para realizar un conjunto de operaciones se determina mediante la evaluación de atributos asociados con el sujeto, el objeto, las operaciones solicitadas y, en algunos casos, las condiciones ambientales frente a políticas de seguridad, reglas o relaciones que describen las operaciones permitidas para un conjunto de atributos dado.
- Las tarjetas inteligentes se utilizan generalmente para fines de control de acceso y seguridad. La tarjeta en sí por lo general contiene una pequeña cantidad de memoria que se puede utilizar para almacenar permisos y acceder a la información.,
- un token de seguridad era originalmente un dispositivo de hardware requerido para obtener acceso, como una tarjeta de acceso inalámbrica o un llavero. Ahora también hay implementaciones de software de tokens. Los Tokens a menudo contienen un certificado digital que se utiliza para autenticar al usuario.,
Integrity
Integrity tiene tres objetivos que ayudan a lograr la seguridad de los datos:
- prevenir la modificación de la información por parte de usuarios no autorizados
- prevenir la modificación no autorizada o no intencional de la información por parte de usuarios autorizados
- preservar la consistencia interna y externa:
- consistencia interna-garantiza que los datos sean consistentes internamente., Por ejemplo, en una base de datos de una organización, el número total de elementos propiedad de una organización debe ser igual a la suma de los mismos elementos que se muestran en la base de datos que posee cada elemento de la organización.
- consistencia externa: garantiza que los datos almacenados en la base de datos sean coherentes con el mundo real. Por ejemplo, el número total de artículos físicamente colocados en el estante debe coincidir con el número total de artículos indicado por la base de datos.,
varios métodos de cifrado pueden ayudar a garantizar la integridad al garantizar que un mensaje no se modificó durante la transmisión. La modificación puede hacer que un mensaje sea ininteligible o, peor aún, inexacto. Imagina las graves consecuencias si no se descubrieran alteraciones en los registros médicos o las recetas de medicamentos. Si un mensaje es manipulado, el sistema de cifrado debe tener un mecanismo para indicar que el mensaje ha sido dañado o alterado.
Hashing
la integridad también se puede verificar usando un algoritmo de hashing., Esencialmente, se genera un hash del mensaje y se agrega al final del mensaje. La parte receptora calcula el hash del mensaje que recibió y lo compara con el hash que recibieron. Si algo cambia en tránsito, los hashes no coincidirán.
el hash es una comprobación de integridad aceptable para muchas situaciones. Sin embargo, si una parte interceptora desea alterar un mensaje intencionalmente y el mensaje no está cifrado, entonces un hash es ineficaz., La parte interceptora puede ver, por ejemplo, que hay un hash de 160 bits adjunto al mensaje, lo que sugiere que se generó utilizando SHA-1 (que se discute más adelante). Luego, el interceptor puede simplemente alterar el mensaje como desee, eliminar el hash SHA-1 original y recalcular un hash del mensaje alterado.
Algoritmos de hash
los hashes utilizados para almacenar datos son muy diferentes de los hashes criptográficos. En criptografía, una función hash debe tener tres características:
- Debe ser unidireccional. Una vez que hachas algo, no puedes deshasharlo.,
- La entrada de longitud Variable produce una salida de longitud fija. Ya sea que hagas un hash de dos caracteres o dos millones, el tamaño del hash es el mismo.
- El algoritmo debe tener pocas o ninguna colisión. El hash de dos entradas diferentes no da la misma salida.
Aquí están los Algoritmos de hash y los conceptos relacionados con los que debe estar familiarizado:
- algoritmo hash seguro (SHA). Originalmente llamado Keccak, SHA fue diseñado por Guido Bertoni, Joan Daemen, Michaël Peeters y Gilles Van Assche., SHA-1 es un hash unidireccional que proporciona un valor hash de 160 bits que se puede usar con un protocolo de cifrado. En 2016, se descubrieron problemas con SHA-1; Ahora se recomienda usar SHA-2 en su lugar. SHA-2 puede producir hashes de 224, 256, 334 y 512 bits. No hay problemas conocidos con SHA-2, por lo que sigue siendo el algoritmo de hash más utilizado y recomendado. SHA-3 fue publicado en 2012 y es ampliamente aplicable, pero no ampliamente utilizado. Esto no se debe a ningún problema con SHA-3, sino al hecho de que SHA-2 está perfectamente bien.
- algoritmo de resumen de mensajes (MD)., MD es otro hash unidireccional que crea un valor hash utilizado para ayudar a mantener la integridad. Existen varias versiones de MD; las más comunes son MD5, MD4 y MD2. MD5 es la versión más reciente del algoritmo; produce un hash de 128 bits. Aunque es más complejo que sus predecesores MD y ofrece mayor seguridad, no tiene una fuerte resistencia a las colisiones, por lo que ya no se recomienda su uso. SHA (2 o 3) son las alternativas recomendadas.
- RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD se basó en MD4., Hubo preguntas con respecto a su seguridad, y ha sido reemplazado por RIPEMD-160, que utiliza 160 bits. También hay versiones que utilizan 256 y 320 bits (RIPEMD-256 y RIPEMD-320, respectivamente).
- GOST es un cifrado simétrico desarrollado en la antigua Unión Soviética que ha sido modificado para funcionar como una función hash. GOST procesa un mensaje de longitud variable en una salida de longitud fija de 256 bits.
- antes del lanzamiento de Windows NT, los sistemas operativos de Microsoft usaban el protocolo LANMAN para la autenticación., Mientras funcionaba solo como un protocolo de autenticación, LANMAN usaba Hash LM y dos claves DES. Fue reemplazado por el NT LAN Manager (NTLM) con el lanzamiento de Windows NT.
- Microsoft reemplazó el protocolo LANMAN con NTLM (NT LAN Manager) con el lanzamiento de Windows NT. NTLM utiliza algoritmos de hash MD4 / MD5. Existen varias versiones de este protocolo (NTLMv1 y NTLMv2), y todavía está en uso generalizado a pesar de que Microsoft ha nombrado a Kerberos su Protocolo de autenticación preferido., Aunque LANMAN y NTLM emplean hashing, se utilizan principalmente con el propósito de autenticación.
- un método común para verificar la integridad implica agregar un código de autenticación de mensaje (MAC) al mensaje. Un MAC se calcula utilizando un cifrado simétrico en el modo de encadenamiento de bloques de cifrado (CBC), con solo el bloque final que se produce. Esencialmente, la salida del CBC se está utilizando como la salida de un algoritmo hash. Sin embargo, a diferencia de un algoritmo hash, el cifrado requiere una clave simétrica que se intercambia entre las dos partes de antemano.,
- HMAC (hash-based message authentication code) utiliza un algoritmo hash junto con una clave simétrica. Así, por ejemplo, dos partes acuerdan utilizar un hash MD5. Una vez que se calcula el hash, es exclusivamente OR’D (XOR) con el digest, y ese valor resultante es el HMAC.
línea de base
establecer una línea de Base (configuración, línea de Base, línea de base de sistemas, línea de base de actividad) es una estrategia importante para redes seguras. Esencialmente, encuentra una línea de base que considera segura para un sistema, computadora, aplicación o servicio determinado., Ciertamente, la seguridad absoluta no es posible: el objetivo es lo suficientemente seguro, según las necesidades de seguridad y el apetito por el riesgo de su organización. Cualquier cambio se puede comparar con la línea de base para ver si el cambio es lo suficientemente seguro. Una vez que se define una línea de base, el siguiente paso es supervisar el sistema para asegurarse de que no se ha desviado de esa línea de base. Este proceso se define como medición de integridad.
disponibilidad
la disponibilidad garantiza que los usuarios autorizados de un sistema tengan acceso oportuno e ininterrumpido a la información del sistema y a la red., Estos son los métodos para lograr la disponibilidad:
- asignación distributiva. Comúnmente conocido como equilibrio de carga, la asignación distributiva permite distribuir la carga (solicitudes de archivos, enrutamiento de datos, etc.) para que ningún dispositivo esté sobrecargado.
- Alta Disponibilidad (HA). La alta disponibilidad se refiere a las medidas que se utilizan para mantener los servicios y los sistemas de información operativos durante una interrupción. El objetivo de HA es a menudo tener servicios clave disponibles el 99.999 por ciento del tiempo (conocido como disponibilidad de» cinco nueves»)., Las estrategias de HA incluyen redundancia y conmutación por error, que se discuten a continuación.
- redundancia. La redundancia se refiere a los sistemas que se duplican o fallan a otros sistemas en caso de un mal funcionamiento. Failover se refiere al proceso de reconstruir un sistema o cambiar a otros sistemas cuando se detecta un fallo. En el caso de un servidor, el servidor cambia a un servidor redundante cuando se detecta un fallo. Esta estrategia permite que el servicio continúe sin interrupciones hasta que se pueda restaurar el servidor principal., En el caso de una red, esto significa que el procesamiento cambia a otra ruta de red en caso de un error de red en la ruta principal.los sistemas de conmutación por error pueden ser costosos de implementar. En una red corporativa grande o un entorno de comercio electrónico, una conmutación por error puede implicar cambiar todo el procesamiento a una ubicación remota hasta que su instalación principal esté operativa. El sitio principal y el sitio remoto sincronizarían los datos para asegurar que la información esté lo más actualizada posible.,
muchos sistemas operativos, como Linux, Windows Server y Novell Open Enterprise Server, son capaces de agruparse para proporcionar capacidades de conmutación por error. La agrupación en clústeres implica múltiples sistemas conectados entre sí de forma cooperativa (lo que proporciona equilibrio de carga) y conectados en red de tal manera que si alguno de los sistemas falla, los otros sistemas toman la holgura y continúan operando. La capacidad general del clúster de servidores puede disminuir,pero la red o el servicio seguirán funcionando., Para apreciar la belleza de la agrupación, contemple el hecho de que esta es la tecnología sobre la que se construye Google. La agrupación en clústeres no solo le permite tener redundancia, sino que también le ofrece la capacidad de escalar a medida que aumenta la demanda.la mayoría de los ISP y proveedores de red tienen una amplia capacidad de conmutación por error interna para proporcionar alta disponibilidad a los clientes. Los clientes comerciales y los empleados que no pueden acceder a la información o los servicios tienden a perder la confianza.
la compensación por confiabilidad y confiabilidad, por supuesto, es el costo: los sistemas de conmutación por error pueden llegar a ser prohibitivamente costosos., Tendrá que estudiar sus necesidades cuidadosamente para determinar si su sistema requiere esta capacidad. Por ejemplo, si su entorno requiere un alto nivel de disponibilidad, sus servidores deben estar agrupados. Esto permitirá que los otros servidores de la red asuman la carga si uno de los servidores del clúster falla. - tolerancia a Fallos. La tolerancia a fallos es la capacidad de un sistema para mantener las operaciones en caso de fallo de un componente. Los sistemas tolerantes a fallos pueden continuar funcionando aunque un componente crítico, como una unidad de disco, haya fallado., Esta capacidad implica la sobreingeniería de sistemas mediante la adición de componentes y subsistemas redundantes para reducir el riesgo de tiempo de inactividad. Por ejemplo, la tolerancia a fallos se puede integrar en un servidor mediante la adición de una segunda fuente de alimentación, una segunda CPU y otros componentes clave. La mayoría de los fabricantes (como HP, Sun e IBM) ofrecen servidores tolerantes a fallos; normalmente tienen varios procesadores que fallan automáticamente si se produce un mal funcionamiento.hay dos componentes clave de la tolerancia a fallos que nunca debe pasar por alto: piezas de repuesto y energía eléctrica., Las piezas de repuesto siempre deben estar disponibles para reparar cualquier componente crítico del sistema si falla. La estrategia de redundancia «N + 1» significa que tiene el número de componentes que necesita, más uno para conectarse a cualquier sistema en caso de que sea necesario. Dado que los sistemas informáticos no pueden funcionar en ausencia de energía eléctrica, es imperativo que la tolerancia a fallos también se integre en su infraestructura eléctrica. Como mínimo, un sistema de alimentación ininterrumpida (UPS) con protección contra sobretensiones debe acompañar a cada servidor y estación de trabajo., Que el UPS debe estar clasificado para la carga que se espera que lleve en caso de un corte de energía (teniendo en cuenta el ordenador, el monitor y cualquier otro dispositivo conectado a él) y ser revisado periódicamente como parte de su rutina de mantenimiento preventivo para asegurarse de que la batería esté operativa. Tendrá que reemplazar la batería cada pocos años para mantener el UPS operativo.
Un UPS le permitirá continuar funcionando en ausencia de energía durante solo un corto período de tiempo. Para la tolerancia a fallos en situaciones de mayor duración, necesitará un generador de respaldo., Los generadores de respaldo funcionan con gasolina, propano, gas natural o diesel y generan la electricidad necesaria para proporcionar energía constante. Aunque algunos generadores de respaldo pueden encenderse instantáneamente en caso de un corte de energía, la mayoría tarda poco en calentarse antes de que puedan proporcionar energía constante. Por lo tanto, encontrará que todavía necesita implementar Sai en su organización. - Matriz redundante de discos independientes (RAID). RAID es una tecnología que utiliza varios discos para proporcionar tolerancia a errores., Hay varios niveles RAID: RAID 0 (discos rayados), RAID 1 (discos duplicados), RAID 3 o 4 (discos rayados con paridad dedicada), RAID 5 (discos rayados con paridad distribuida), RAID 6 (discos rayados con paridad dual), RAID 1+0 (o 10) y RAID 0+1. Puede leer más sobre ellos en esta lista de prácticas recomendadas de seguridad de datos.
- Plan de recuperación ante desastres (DR). Un plan de recuperación ante desastres ayuda a una organización a responder eficazmente cuando ocurre un desastre. Los desastres incluyen fallas del sistema, fallas de la red, fallas de la infraestructura y desastres naturales como huracanes y terremotos., Un plan DR define métodos para restaurar los servicios lo más rápido posible y proteger a la organización de pérdidas inaceptables en caso de desastre.en una organización más pequeña, un plan de recuperación ante desastres puede ser relativamente simple y directo. En una organización más grande, podría involucrar múltiples instalaciones, planes estratégicos corporativos y departamentos completos.un plan de recuperación en casos de desastre debería abordar el acceso a la información y su almacenamiento. Su plan de copia de seguridad para datos confidenciales es una parte integral de este proceso.
F. A. Q.
¿cuáles son los componentes de la tríada CIA?,
- Confidencialidad: los sistemas y datos son accesibles únicamente a usuarios autorizados.
- integridad: los sistemas y los datos son precisos y completos.
- Disponibilidad: los Sistemas y los datos son accesibles cuando se necesitan.
¿por qué es importante la tríada CIA para la seguridad de los datos?
el objetivo final de la seguridad de los datos es garantizar la confidencialidad, integridad y disponibilidad de los datos críticos y confidenciales. La aplicación de los principios de la tríada de la CIA ayuda a las organizaciones a crear un programa de seguridad eficaz para proteger sus valiosos activos.,
¿cómo se puede aplicar la tríada CIA en la gestión de riesgos?
durante las evaluaciones de Riesgos, las organizaciones miden los riesgos, amenazas y vulnerabilidades que podrían comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Al implementar controles de seguridad para mitigar esos riesgos, satisfacen uno o más de los principios básicos de la tríada de la CIA.
¿cómo se puede comprometer la confidencialidad de los datos?
la confidencialidad requiere impedir el acceso no autorizado a información confidencial., El acceso podría ser intencional, como un intruso que entra en la red y lee la información, o podría ser involuntario, debido al descuido o incompetencia de las personas que manejan la información.
¿qué medidas pueden ayudar a preservar la confidencialidad de los datos?
Una de las mejores prácticas para proteger la confidencialidad de los datos es cifrar todos los datos sensibles y regulados. Nadie puede leer el contenido de un documento cifrado a menos que tenga la clave de descifrado, por lo que el cifrado protege contra compromisos maliciosos y accidentales de confidencialidad.,
¿cómo se puede comprometer la integridad de los datos?
la integridad de los datos puede verse comprometida a través de errores humanos y ciberataques como malware destructivo y ransomware.
¿qué medidas pueden ayudar a preservar la integridad de los datos?,
para preservar la integridad de los datos, debe:
- evitar cambios en los datos por parte de usuarios no autorizados
- evitar cambios no autorizados o involuntarios en los datos por parte de usuarios autorizados
- garantizar la precisión y consistencia de los datos a través de procesos como la comprobación de errores y la validación de datos
una práctica recomendada valiosa para garantizar la precisión de los datos es la supervisión de la integridad de los archivos (fim)., FIM ayuda a las organizaciones a detectar cambios incorrectos en archivos críticos en sus sistemas auditando todos los intentos de acceder o modificar archivos y carpetas que contienen información confidencial, y verificando si esas acciones están autorizadas.
¿cómo se puede comprometer la disponibilidad de datos?
las amenazas a la disponibilidad incluyen fallas de infraestructura como problemas de red o hardware; tiempo de inactividad de software no planificado; sobrecarga de infraestructura; cortes de energía; y ciberataques como ataques DDoS o ransomware.
¿qué medidas pueden ayudar a preservar la disponibilidad de datos?,
es importante implementar protecciones contra interrupciones en todos los sistemas que requieren un tiempo de actividad continuo. Las opciones incluyen redundancia de hardware, conmutación por error, agrupación en clústeres y copias de seguridad de rutina almacenadas en una ubicación geográficamente separada. Además, es crucial desarrollar y probar un plan integral de recuperación ante desastres.