Qué es la triada CIA en ISO 27001 y cómo implementarla en tu organización

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

Hoy en día, las organizaciones afrontan una responsabilidad increíble cuando se trata de la protección de datos. Ya sea que la información corresponda a asuntos internos o externos, una violación de datos puede traer consecuencias sustanciales para cualquier negocio.

 

En este sentido, la mejor decisión que puedes tomar es adoptar controles de seguridad que te permitan proteger tu organización de ataques cibernéticos y amenazas internas, mientras garantizas la seguridad de los documentos.

¿Quieres saber cómo controlar el acceso, la precisión y accesibilidad de los datos? Te presento un modelo que, al implementarlo en tu organización, creas una cultura de seguridad fundamentada en los tres principios clave de la ISO 27001: la confidencialidad, integridad y disponibilidad de la información.

 

¡Empecemos!

 

Confidencialidad, integridad y disponibilidad

 

La triada CIA es un modelo que enmarca la confidencialidad, integridad y disponibilidad como pilares fundamentales de la seguridad de la información. Se utiliza para identificar amenazas, errores y soluciones.   

 

Bajo este enfoque puedes segmentar cada uno de los pilares y hacer una diferenciación muy útil a la hora de guiar a tu equipo de seguridad en la identificación estrategias de control.

 

Cuando logras cumplir los principios de la triada CIA, la seguridad de tu organización es más sólida y está mejor equipada para manejar las amenazas internas y externas.

¿Qué se entiende por confidencialidad en seguridad de la información?

 

La confidencialidad en seguridad de la información:

 

Es un pilar de seguridad de la información que te permite crear restricciones de tipo lógicas y físicas para asegurar que sólo el personal autorizado pueda acceder a los datos.

 

Establecer restricciones es muy importante. Imagina que intrusos logran ingresar a las instalaciones de tu negocio, acceden al centro de información y causan daños irreparables. ¿Por qué ocurrió esto? ¿Cómo puedes prevenirlo?

Restricciones físicas

 

Existen distintos controles físicos con los que logras asegurar la confidencialidad de la información. Algunos de ellos pueden ser:

 

  • Cercas. Puedes instalar cercas alrededor de tu negocio para impedir que personal externo ingrese de forma sospechosa al edificio.

 

  • Cámaras. Con un sistema de cámaras puedes mantener un registro histórico y en vivo de los acontecimientos internos y externos de tu negocio.                                                                                                                                                                                                                                                                                                                                                                                        Hoy en día las cámaras modernas no requieren cableado, funcionan a través de internet y son tan sencillas de usar que no requieres personal especializado.

 

 

 

  • Sistemas de alarma. Sus sensores te alertan sobre movimientos, sonidos o cualquier situación sospecha.

 

  • Sistemas de control de acceso. Permiten el acceso sólo a personal autorizado, ya sea a las instalaciones o activos de la información.

 

  • Iluminación Una buena iluminación dentro y fuera de las instalaciones es una excelente forma de disuadir a los delincuentes que quieran ingresar en la noche.

 

  • Eliminación de documentos y equipos. Todos los activos de la información que no sean necesarios deben ser destruidos de forma segura y controlada.

 

  • Auditorías internas al sistema. Es importante mantener supervisados los controles que implementes, no esperes a que ocurran eventos inesperados que alteren la seguridad de la información para identificar una falla.

Restricciones lógicas

 

Se refieren a las restricciones de tipo digital que te permiten evitar que una sola persona tenga todo el control sobre los activos de la información. Algunos ejemplos de estas restricciones son:

 

  • Sistema de cifrado y contraseñas. Son una gran técnica para prevenir las violaciones de datos, pero se deben usar, controlar y gestionar de forma adecuada.

 

  • Política de seguridad. Describe los compromisos, objetivos y controles de seguridad. Una política sólida compromete y capacita al personal para proteger los activos de la información.

 

  • Gestión de datos. Las herramientas de administración te ayudan a controlar el acceso, almacenamiento y utilización de los datos. La mayor parte de la infraestructura de TI la puedes subcontratar en la nube.

 

  • Personal capacitado. Tu personal debe contar con el conocimiento necesario para manejar las infracciones y proteger los datos confidenciales, lo ideal es centrar las capacitaciones en ingeniería social y técnicas de piratas informáticos. Estos temas te ayudarán con el objetivo.

 

  • Acceso controlado. Conoce quién tiene acceso a la información importante y procura que sean pocas personas.

 

  • Apertura de archivos controlados. Evita abrir archivos adjuntos que parezcan sospechosos.

 

  • Copias de seguridad. Te ayudan a almacenar, proteger y restaurar tus datos en caso de una infracción. 

¿Qué es la integridad en seguridad informática?

 

En ISO 27001 implica mantener y asegurar la precisión de los datos durante su almacenamiento y utilización. Para comprender mejor este principio es necesario dividirlo en dos partes:

 

  • Integridad física. Se relaciona con el almacenamiento y acceso de la información. Busca garantizar la seguridad de los dispositivos y la recuperación de los datos tras un desastre.

 

  • Integridad lógica. Busca prevenir los errores humanos que puedan alterar la naturaleza de los datos.

 

¿Por qué es importante la integridad de los datos?

 

Como sabes, una organización depende en gran medida de los datos y su análisis para adoptar medidas comerciales importantes. En este sentido, si tomas decisiones en base a datos poco fiables no solo puedes perder millones, sino que la imagen corporativa de tu negocio también sufrirá un revés.

 

Mantener la integridad de tus datos es importante porque:

 

  • Controla el almacenamiento excesivo de datos antiguos, inexactos u obsoletos.

 

  • Permite tomar mejores decisiones comerciales.

 

  • Garantiza la calidad de los productos y servicios.

 

  • Mejora el rendimiento del sistema.

 

  • Aumenta la confianza de los clientes.

 

  • Protege la privacidad de la información. 

¿Qué puede afectar la integridad de los datos?

 

  • Errores humanos. Pueden estar asociados a la eliminación accidental, errores tipográficos, datos incompletos u otros. Aunque en ocasiones son involuntarios, también pueden ocurrir bajo una intención maliciosa.

 

  • Errores de transferencia. Ocurre cuando se transfiere datos a una dirección o dispositivo incorrecto.

 

  • Amenazas cibernéticas. Por ejemplo, el spam, malware y otras amenazas cibernéticas que buscan violar la integridad de tus datos.

 

  • Problemas de seguridad. Incluyen lagunas de seguridad o configuraciones incorrectas que los ciberdelincuentes aprovechan para comprometer la integridad de la información.

 

  • Problemas de Pueden ser hardware obsoleto, daños físicos de los dispositivos o infraestructura que no ofrece seguridad.

Es importante que identifiques estas amenazas y estructures una estrategia sólida con la que puedas mantener la integridad de la información importante para tu negocio.

 

¿Cómo puedes determinar la integridad de tus datos?

 

Tus datos cumplen con este principio cuando:

 

  • Están disponibles cuando y donde se necesitan.

 

  • Se registran tal como se observan.

 

  • Son precisos y libres de errores.

 

  • Se mantienen originales.

 

  • Demuestran su naturaleza, tiempo y responsables.

 

¿Qué es la disponibilidad en seguridad informática?

 

La disponibilidad es el tercer principio de la triada CIA. Garantiza que la información esté disponible o accesible a personal autorizado siempre que sea necesario. También asegura que se cumpla el procedimiento de las copias de seguridad y exista un protocolo de recuperación ante desastres.

 

Existen dos amenazas potenciales a la disponibilidad de la información:

 

  • Denegación de servicio. Son acciones que bloquean los servicios informáticos, impidiendo que las personas autorizadas puedan acceder al sistema.

 

  • Pérdida de capacidad de Ocurre por desastres naturales o errores humanos. Este tipo de pérdidas se puede contrarrestar con planes de contingencia que ayudan a reanudar el negocio o procesar sitios alternativos para mantener los datos disponibles.

¿Qué desafíos afectan la disponibilidad de datos?

 

Numero 1. Fallas en el servidor. Los datos dejarán de estar disponibles si el servidor en el que se almacenan presenta fallas.

 

Número 2. Calidad de los datos. La información redundante e incompleta es inútil para las operaciones de TI. Al no ser de calidad se elimina.

 

Número 3. Fallas en la red. Si la red con la que accedes a los datos falla, estos dejan de estar disponibles.

 

Número 4. Error en las transferencias. Durante las transferencias pueden ocurrir errores relacionados a la red o los dispositivos que ponen en riesgo la disponibilidad de la información.

 

Número 5. Compatibilidad de datos. Los datos de un entorno pueden no ser compatibles con otro.

 

Número 6. Violaciones de datos. Los ciberdelincuentes aprovechan todas las debilidades de tu sistema para obtener y bloquear el acceso a los datos.

¿Cuáles son las mejores prácticas para implementar la triada CIA?  

 

Las siguientes son algunas de las mejores prácticas para implementar la tríada CIA en tu organización:

 

  • Categoriza los datos y activos de la información de acuerdo a los requisitos de privacidad.

 

  • Adopta el cifrado de datos y la autenticación como parte indispensable del sistema.

 

  • Controla y actualiza las listas de control de acceso.

 

  • Mantén a tu personal capacitado.

 

  • Revisa periódicamente los métodos de procesamiento, transferencia y almacenamiento de datos.

 

  • Controla las versiones, los registros y el acceso para prevenir la corrupción de datos.

 

  • Analiza y comprende los requisitos de cumplimiento de tu organización.

 

  • Invierte en herramientas confiables de copia de seguridad y recuperación; unas que garanticen la continuidad del negocio.

 

  • Desarrolla auditorias de seguridad de forma rutinaria.

 

  • Mantente al tanto de las actualizaciones del sistema, la red y las aplicaciones.

 

  • Utiliza software de monitoreo de red y soluciones antivirus. 

Conclusión

 

¿Por qué debes implementar la triada CIA? Lo debes hacer porque te proporciona buenas prácticas de seguridad que te ayudan a proteger tus datos y activos de información de accesos no autorizados que pueden conducir al hurto de identidad o afectaciones a los derechos y libertades de tus clientes.

 

También previenes golpes masivos a tu reputación corporativa, fuertes multas o acciones legales.

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

¡Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *