Fundamentos de la Seguridad Informática: La Tríada CIA y Control de Acceso

Amenazas contra los Datos (2A)

Las principales amenazas que comprometen la seguridad de los datos son:

• Interceptación
• Modificación
• Interrupción
• Fabricación

Conceptos Fundamentales de Seguridad

Confidencialidad

Condición por la cual solo el personal o las entidades autorizadas acceden a la información.

Integridad

Asegura que los datos enviados no se modifican en el camino.

Disponibilidad

Asegura que la recepción y el acceso a los recursos son correctos y oportunos.

Sujeto

Entidad activa que requiere acceso a un objeto.

Objeto

Entidad pasiva que contiene información (ejemplos: PC, archivo, base de datos, directorio).

Control de Acceso

Proporciona la habilidad de controlar, restringir, monitorear y proteger la Confidencialidad, Integridad y Disponibilidad de los recursos.

Principios Fundamentales: La Tríada CIA

Los conceptos fundamentales en la seguridad de la información se resumen en la triada CIA (Confidentiality, Integrity and Availability).

Confidencialidad

Es la condición por la que la información no es divulgada a individuos, programas o procesos no autorizados. Su objetivo es asegurar que solo las personas apropiadas tengan acceso a la información.

Integridad

La integridad se refiere a la "habilidad" de la estructura básica de un sistema para asegurar la exactitud y confiabilidad del sistema en sí. El sistema en su totalidad (software, hardware y comunicaciones) debe ser capaz de mantener y procesar los datos de forma correcta.

Este principio asegura que el tráfico (transacciones, solicitudes, comandos, etc.) desde el origen hasta el destino debe estar libre de cualquier modificación no autorizada. En resumen, la integridad busca mantener la información precisa, completa y protegida de modificaciones no autorizadas, tanto durante la transmisión como en el almacenamiento.

Disponibilidad

Para que la información sea efectiva en los procesos de una organización, debe estar disponible y ser útil en el momento en que sea requerida. Esto incluye el concepto de utilidad, es decir, que la información debe tener la cualidad de ser útil.

Es crucial entender que solo estar disponible no es suficiente. El sistema debe poseer:

• Una respuesta eficiente y una capacidad adecuada para soportar un tiempo de respuesta aceptable.
• La capacidad de recobrarse rápidamente de interrupciones (de corto o largo plazo).

Por lo tanto, la disponibilidad implica poseer la información en el momento oportuno para la toma de decisiones.

Acceso y Mecanismos de Control

Acceso

Es la habilidad para interactuar (usar, modificar o consultar) con los recursos de las Tecnologías de la Información disponibles.

Control de Acceso

Es el medio por el cual la habilidad de acceso es explícitamente habilitada o restringida.

Controles Basados en Host o Terminal

Los controles de acceso basados en un host o terminal de computación no solo prescriben quién o qué proceso puede tener acceso a un recurso específico, sino que también especifican el tipo de acceso permitido.

Importancia Estratégica del Control de Acceso

El control de acceso es considerado por la mayoría de los profesionales de la seguridad informática como la piedra angular de todos los proyectos de seguridad.

Los distintos aspectos (físicos, técnicos y administrativos) de los mecanismos de control de acceso trabajan unidos para construir la arquitectura de seguridad, que es el fundamento principal en la protección de los activos de información sensibles y críticos para una organización.