Quien y como usan el modelo CIA

¿Quién Usa el Modelo CIA?
 

El modelo CIA es la base de la seguridad de la información, por lo que lo utiliza esencialmente cualquier entidad o persona que maneje datos que deben protegerse.

1. Profesionales de Ciberseguridad e Informática

Roles: Analistas de Seguridad, Arquitectos de Redes, Administradores de Sistemas, Ingenieros de Software.
Cómo: Lo usan como el marco de diseño para cualquier sistema. Antes de construir o configurar algo, se preguntan: "¿Cómo garantizo la Confidencialidad, la Integridad y la Disponibilidad de estos datos/servicios?"
 

2. Empresas y Organizaciones

Áreas: TI, Legal, Cumplimiento Normativo (Compliance), y la alta dirección.
Cómo: Es la base de la política de seguridad. Las normativas como ISO 27001 se construyen sobre estos tres pilares. Define los requisitos mínimos de seguridad (ej: "toda información sensible debe ser cifrada").
 

3. Organismos Gubernamentales y Militares 

Propósito: Proteger la información clasificada y la infraestructura crítica.
Cómo: Es crucial para la seguridad nacional. Por ejemplo, en un sistema de misiles, la Disponibilidad (que funcione al instante) y la Integridad (que la trayectoria no se modifique) son tan importantes como la Confidencialidad.
 

4. Usuarios Finales (Tú y Yo)

Propósito: Proteger nuestros datos personales y financieros.
Cómo: Lo aplicamos intuitivamente. Usar una contraseña fuerte (Confidencialidad), no abrir un archivo sospechoso (Integridad), y hacer copias de seguridad (Disponibilidad).
 
 

 ¿Cómo se Usa el Modelo CIA?

El modelo CIA se usa como una herramienta de evaluación y mitigación de riesgos. Es un proceso de tres pasos:

 

1. Evaluación de Riesgos

Se analiza la información o el sistema a proteger y se pregunta:

Pilar
Pregunta Clave
Ejemplo de Riesgo
Confidencialidad
¿Quién NO debe ver estos datos?
Un hacker roba números de tarjetas de crédito.
Integridad
¿Qué pasaría si estos datos se alteran?
Un empleado cambia su sueldo en la base de datos.
Disponibilidad
¿Qué pasaría si el sistema deja de funcionar?
Un ataque DoS tumba el sitio web de ventas.
 

2. Implementación de Controles (Contramedidas)

Una vez identificados los riesgos, se aplican medidas de seguridad para proteger cada pilar.

Pilar
Control Implementado
Tu Ejemplo (¡Excelente!)
Confidencialidad
Control de Acceso (ACLs), Cifrado (AES)
Enviar un correo cifrado con TLS...
Integridad
Hashing, Validación de Entradas
Verificas su hash SHA-256...
Disponibilidad
Redundancia (RAID), Sistemas de Copia de Seguridad (Backups), Tolerancia a Fallos
Sistemas redundantes, balanceo de carga, UPS...
 

3. Monitoreo y Mantenimiento

Se realizan auditorías y pruebas (como pruebas de penetración) para garantizar que los controles implementados sigan siendo efectivos. Es un ciclo constante.

Confidencialidad: Se revisan los logs de acceso para detectar intentos de entrada no autorizados.
Integridad: Se comprueban periódicamente las sumas de verificación de archivos críticos.
Disponibilidad: Se realizan pruebas de conmutación por error y de restauración de copias de seguridad.

Anterior Siguiente

Creado con eXeLearning (nueva ventana)