Modelo de seguridad CIA

Vivimos en un mundo donde cada actividad que realizamos contribuye a la creación y uso de información. El modelo de seguridad CIA consta de un ejemplar que permite guiar las políticas o controles de ciberseguridad de una organización. Consta de una amplia trayectoria, utilizada a partir de 1998. Está compuesto por tres términos: 

• Confidencialidad (Confidentiality): Definida como la garantía que se tiene para que nuestra información personal no sea difundida por otra persona sin nuestro previo consentimiento. Ej. Registro de empleados.
• Integridad (Integrity): Nos permite garantizar la fiabilidad y precisión de la información para que así esta no pueda ser modificada sin autorización del usuario propietario de la misma. Ej. Firmas digitales.
• Disponibilidad (Availability): Posibilidad de acceso a la información siguiendo una serie de controles estrictos y pasos de verificación, que permite a los usuarios autorizados acceder a la misma cuando esto sea necesario, asegurando así la privacidad, accesibilidad y fiabilidad de la misma. Ej. Hardware confiable.

Estas serán definidas como las dimensiones básicas de la seguridad (en España se añaden la autenticidad y trazabilidad por pertenecer al Esquema Nacional de Seguridad), y existen con el fin de poder categorizar en las diferentes organizaciones los incidentes que puedan afectar a la seguridad de la información de la que estas disponen y constituir cierta protección frente a dichos riesgos. En las organizaciones se trata de proteger los activos de las amenazas para evitar posibles impactos disponiendo de información precisa, que permita acceder a la misma al usuario autorizado y cuando esté autorizado.

Este modelo consta de un ciclo continuo, y mientras que estas dimensiones pueden superponerse, en el momento en que una no funciona, el resto se vuelven inútiles, produciéndose una política de seguridad poco efectiva en la respectiva organización. Como conclusión, necesitaremos de los tres principios definidos anteriormente para diseñar y garantizar entornos seguros a lo largo del tiempo, ya sea en redes informáticas, almacenamiento de datos, ...