SEGUND POST - El Modelo de Seguridad CIA: Confidencialidad, Integridad y Disponibilidad


El modelo CIA es uno de los pilares fundamentales en el campo de la ciberseguridad y la gestión de la información. Este modelo conceptual define los tres objetivos esenciales que deben cumplirse para garantizar que la información esté adecuadamente protegida en cualquier sistema: ya sea una empresa, una institución pública, una red doméstica o incluso el uso personal de dispositivos conectados.

Las siglas CIA no tienen nada que ver con la famosa agencia estadounidense, sino que representan los tres principios clave que todo sistema seguro debe garantizar:

La confidencialidad se refiere a la protección de la información frente a accesos no autorizados. En otras palabras, implica que solo las personas autorizadas pueden ver o usar ciertos datos.

Esto incluye, por ejemplo:

  • Que un expediente médico solo lo puedan consultar los profesionales de la salud pertinentes.

  • Que un correo personal no pueda ser leído por otras personas.

  • Que las contraseñas o datos bancarios estén protegidos mediante cifrado.

Ejemplos de medidas técnicas para garantizar la confidencialidad:

  • Contraseñas fuertes y autenticación de doble factor.

  • Cifrado de datos.

  • Políticas de control de acceso.

  • Firewalls y sistemas de detección de intrusos.

La integridad asegura que la información se mantiene exacta, coherente y sin alteraciones no autorizadas. Es decir, que los datos no han sido modificados de forma intencionada o accidental.

Un archivo, un mensaje o una base de datos deben permanecer tal y como fueron creados, a menos que un usuario autorizado decida cambiarlos. Alteraciones no autorizadas pueden causar errores, fraudes o malentendidos.

Ejemplos prácticos de integridad:

  • Garantizar que un contrato electrónico no ha sido modificado tras su firma.

  • Verificar que un archivo descargado no ha sido alterado con malware.

  • Comprobar que las notas académicas de un estudiante no han sido manipuladas.

Herramientas comunes para proteger la integridad:

  • Sumas de verificación (hashes).

  • Firmas digitales.

  • Control de versiones.

  • Sistemas de auditoría y registro (logs).


La disponibilidad significa que la información está accesible y operativa cuando los usuarios autorizados la necesitan. De poco sirve que los datos estén bien protegidos si no se pueden usar cuando se requieren.

Los fallos en la disponibilidad pueden deberse a ataques (como el ransomware o DDoS), pero también a accidentes, cortes de energía, errores humanos o desastres naturales.

Ejemplos de cómo se garantiza la disponibilidad:

  • Tener copias de seguridad actualizadas.

  • Usar servidores redundantes o en la nube.

  • Establecer planes de recuperación ante desastres.

  • Aplicar mantenimiento preventivo a los sistemas.

Comentarios

Publicar un comentario

Entradas populares de este blog

Aplicación del dominio de desarrollo y mantenimiento de sistemas

He elegido el dominio de  adquisición, desarrollo y mantenimiento de sistemas  porque está directamente relacionado con el software que se utiliza en cualquier organización o incluso en contextos personales. Este dominio incluye controles que garantizan que los sistemas que se desarrollan o compran  sean seguros desde su diseño , evitando vulnerabilidades o puertas traseras.  Ejemplos de medidas: Revisión de código : Validar que no haya errores o fragmentos peligrosos que puedan ser aprovechados por atacantes. Pruebas de seguridad : Realizar simulaciones o auditorías antes de poner un sistema en funcionamiento. Gestión de cambios : Tener un control documentado de cada modificación del sistema, quién la hace y por qué. Seguridad en entornos de prueba : Asegurar que los datos reales no se usen en pruebas de desarrollo. Aplicación práctica: Estas medidas son muy útiles incluso en proyectos personales, como páginas web, aplicaciones o software académico. Asegurarse de qu...
Leer más

Inventario de activos del hogar

Tras definir que el alcance de mi política de seguridad es  toda la vivienda , he realizado un inventario de los principales  activos relacionados con la información  que utilizo en mi día a día. Estos activos pueden ser tanto  digitales como físicos  y son esenciales para mis tareas académicas, personales y de gestión cotidiana. Descripción de los activos Ordenador portátil : Es el dispositivo que uso para estudiar, realizar trabajos, acceder a plataformas universitarias, conectarme a clases virtuales y gestionar mis documentos personales. En él se almacenan datos sensibles como trabajos académicos, contraseñas y documentos PDF escaneados. Teléfono móvil : Además de ser un medio de comunicación, en mi móvil tengo acceso a redes sociales, banca online, correo electrónico y aplicaciones con datos privados. Es un dispositivo que manejo diariamente y que contiene información personal muy valiosa. Router Wi-Fi : Este dispositivo permite la conexión a Internet en tod...
Leer más

Análisis de riesgos cubiertos según la ISO/IEC 27002:2013

 Para esta actividad he imaginado un análisis básico sobre cómo los distintos  dominios de seguridad de la norma ISO/IEC 27002:2013  cubren amenazas y riesgos en una organización. En lugar de hacer una hoja de cálculo, describo a continuación cómo sería la evaluación para cinco dominios seleccionados, asignando valores simulados a los factores requeridos:  ponderación, nivel de amenaza, probabilidad de éxito del control y riesgo cubierto .  Ejemplo de dominios analizados: Gestión de activos Ponderación: alta, por ser clave en la protección de datos. Amenaza estimada: 7/10. Probabilidad de control efectivo: 0.70. Riesgo cubierto (estimación): 4.90. Control de accesos Ponderación: muy alta. Amenaza: 9/10. Probabilidad de éxito: 0.80. Riesgo cubierto: 7.20. Seguridad física Amenaza: 5/10. Probabilidad de protección: 0.60. Riesgo cubierto: 3.00. Seguridad de recursos humanos Amenaza: 6/10. Probabilidad: 0.75. Riesgo cubierto: 4.50. Criptografía Amenaza: 4/10. Probab...
Leer más