No son pocos los artículos sobre protección de datos en que hemos mencionado los conceptos de confidencialidad, integridad y disponibilidad, muchas veces de pasada y sin detenernos realmente a explicar más detalladamente qué es y qué entraña cada uno de ellos. Por ello, en este artículo le vamos a poner solución y ver en qué consisten la confidencialidad, integridad y disponibilidad.
En este artículo hablamos de:
La tríada de la seguridad de la información
A la confidencialidad, integridad y disponibilidad también se las conoce como la tríada de la seguridad de la información (o Tríada CID), porque son los tres pilares fundamentales sobre los que se debe asentar cualquier sistema de gestión de seguridad de la información (SGSI), por lo que es habitual que se los nombre cuando se habla de protección de datos y/o ciberseguridad.
Las políticas y procedimientos de un SGSI deben ser capaces de garantizar la confidencialidad, integridad y disponibilidad de la información. Muchas veces aparecen junto a la confidencialidad, integridad y disponibilidad, la autenticidad y la trazabilidad, puesto que la autenticidad está relacionada con la integridad y la trazabilidad en parte con todos ellos (permite seguir el movimiento de los actos y las acciones relacionados con ellos, como quién accedió a qué archivo en una determinada hora y lo modificó o movió). Pero en este artículo nos vamos a centrar en esos tres atributos clave.
Cabe señalar que, si bien lo ideal es poder garantizar al mismo nivel la confidencialidad, integridad y disponibilidad de la información o los datos, lo cierto es que generalmente no es posible, es decir, en ocasiones, para poder asegurar que todos los usuarios autorizados pueden acceder fácilmente a los datos (disponibilidad), es necesario adoptar sistemas que sean capaces de usar sin muchas complicaciones, lo que implica sacrificar, en parte, la protección de la confidencialidad y la integridad.
Por lo tanto, una buena gestión de la seguridad de la información pasa por determinar cuándo es más conveniente aplicar el principio de integridad y confidencialidad sobre el de disponibilidad y viceversa, algo que dependerá, fundamentalmente, del tipo de información que maneje la empresa.
¿Qué es la confidencialidad?
La confidencialidad es la capacidad de mantener secretos la información y datos de una entidad, por lo tanto, consiste en limitar el acceso a los mismos solo a los usuarios autorizados, de manera que nadie más pueda verlos.
No toda la información de una empresa tiene el mismo grado de confidencialidad, de hecho, habrá información que será de conocimiento público. Sin embargo, es fundamental determinar cuál es la información a la que no puede acceder todo el mundo, a quiénes se les va a dar acceso a ella y si habrá o no diferentes niveles de acceso.
Generalmente, lo que determina el grado de confidencialidad de la información es:
- El valor que tiene la información para la propia empresa; por ejemplo, una patente o una receta secreta son tipos de información confidencial a la que muy pocas personas tendrán acceso.
- El valor que tiene la información para terceros; es el caso de los socios comerciales o determinados clientes, cuya información compartida con la empresa quieren que permanezca confidencial.
- Leyes y normas que regulan la confidencialidad de cierta información, como, por ejemplo, la Ley de Protección de Datos, que establece que se debe garantizar la confidencialidad de los datos personales que se tratan en una empresa.
La confidencialidad de la información debe poder garantizarse en cada uno de sus estados, es decir, cuando los datos están en reposo, en movimiento o en uso.
¿Qué es la integridad?
La integridad es la capacidad para proteger la exactitud y corrección de los datos, es decir, la capacidad para evitar que los datos sean alterados, modificados o corrompidos de manera intencional por actores no autorizados, o no intencional, es decir, por un error de los usuarios autorizados o cualquier otro incidente de origen no malicioso.
La integridad de los datos, al igual que la confidencialidad, debe poder mantenerse en cada uno de los estados en los que se encuentren los datos, puesto que estos podrían ser alterados tanto cuando están en reposo como cuando están siendo usados o en tránsito.
Así mismo, cabe señalar que los datos pueden perder su integridad sin necesidad de perder su confidencialidad, es decir, que es posible modificar determinados datos sin que quien lo hace pueda acceder a la información que contienen.
¿Qué es la disponibilidad?
La disponibilidad es la capacidad de acceder a la información cuando se necesite, sin interrupciones y sin excesivas complicaciones. Si la disponibilidad de la información se ve comprometida, habrá tareas que no se podrán realizar y, en determinados casos, incluso podría suponer la interrupción completa de la actividad o el servicio.
Así mismo, también es posible atacar la disponibilidad sin comprometer la confidencialidad de los datos y/o su integridad.
Como con los otros dos atributos, los datos deben estar disponibles en sus tres estados.
En ocasiones, cómo vimos en el ejemplo más arriba, asegurar la disponibilidad de la información, puede implicar, en parte, aplicar medidas que afecten a la seguridad, integridad y confidencialidad de los datos. Por ello es fundamental adoptar medidas y políticas de seguridad de la información que equilibren estos tres atributos, siempre teniendo presentes los riesgos y amenazas que afectan a cada uno de ellos.
Riesgos para la confidencialidad, integridad y disponibilidad de la información
Son varios los riesgos para la confidencialidad, integridad y disponibilidad de la información, y aunque vamos a verlos por separado, muchas veces afectan en conjunto a estos tres atributos, por lo que, en general, a la hora de diseñar las medidas de seguridad para minimizar su probabilidad y nivel de impacto, se hace de forma conjunta.
En cualquier caso, algunos de los riesgos que afectan a la confidencialidad son:
- Robo de equipos informáticos y unidades externas de memoria o dispositivos móviles.
- Ataques de ingeniería social dirigidos, como el spear phishing.
- Implantación de malware que permita acceder a los archivos del sistema y otras características (por ejemplo, un spyware).
- Hackeo de cuentas y contraseñas
- Documentos confidenciales olvidados en impresoras, escritorios o cualquier sitio en el que sean susceptibles de caer en manos no autorizadas.
Entre los riesgos para la integridad tenemos:
- Virus informáticos con la capacidad para alterar o dañar archivos.
- Fallos de hardware, como un disco duro defectuoso, puede corromper la información.
- Cortes de corriente o apagados repentinos de equipos cuando están ejecutando un programa o información también pueden producir corrupción de los datos.
- Eliminación accidental de archivos por parte de los usuarios autorizados.
- Ciberataques con el fin de alterar o modificar archivos.
- Los fallos en el software, como errores de programación o un mal funcionamiento del mismo, también pueden corromper la información.
Finalmente, algunos de los riesgos más habituales para la disponibilidad son:
- Caídas de suministros de energía.
- Incidentes que afecten a equipos o instalaciones, como incendios, inundaciones, robos.
- Ataques DDoS.
- Ataques de ransomware.
- Un fallo en los servidores.
- Caídas de la red.
- Eliminación accidental.
- Pérdida de unidades externas de almacenamiento.
- Una clasificación incorrecta de los datos.
Medidas para garantizar la confidencialidad, integridad y disponibilidad
Garantizar la confidencialidad, integridad y disponibilidad de la información es tarea de las empresas y para ello pueden recurrir a diferentes medidas de seguridad, tanto técnicas como organizativas. Muchas de esas medidas las hemos tratado en diferentes artículos publicados en este blog, pero recordaremos algunas de las más usadas en cualquier plan de seguridad de la información:
Entre las medidas de seguridad para garantizar la confidencialidad tenemos:
- Controles de acceso, tanto a las instalaciones, como a los equipos y a la propia información.
- Uso de contraseñas seguras.
- Niveles de acceso basados en roles, es decir, limitar el acceso a quienes realmente necesitan usar la información para el desarrollo de sus tareas.
- Cifrado de datos.
Respecto a las medidas que se pueden aplicar para garantizar la integridad de la información, tanto la integridad informática como la integridad física:
- Usar diferentes tipos de firma electrónica, para garantizar que un archivo no ha sido alterado, así como el no repudio (aquí te explicamos cómo tener una firma electrónica).
- Empleo de controles de acceso y trazabilidad de los accesos.
- Almacenamiento de información en soportes seguros y, si es posible, en diferentes localizaciones.
- Tener una política de copias de seguridad.
- Sistemas de detección de intrusos.
- Funciones de hash criptográficos y sumas de verificación.
En cuanto a las medidas de seguridad para garantizar la disponibilidad, destacamos:
- Redundancia de sistemas críticos.
- Plan de recuperación ante desastres.
- Tener copias de seguridad y seguir la regla 3, 2, 1 (tres copias, en dos soportes o medios diferentes y una de ellas almacenada en una ubicación alternativa).
- Contar con una infraestructura de hardware y red que soporte momentos de alta demanda.
- Sistemas de prevención de ataques DDoS y ransomware.
- Plan de continuidad de negocio.
Esas son solo algunas de las medidas que una empresa puede implantar para garantizar la confidencialidad, integridad y disponibilidad de la información.
Pero, sin duda, una de las mejores herramientas para diseñar y adoptar estas medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la información, es la norma ISO 27001, que es el estándar internacional para la planificación, implantación, verificación y control de un SGSI.
La importancia de la confidencialidad, integridad y disponibilidad en la protección de datos
Finalmente, no podemos cerrar este artículo sin mencionar la importancia que para la protección de datos tienen la confidencialidad, integridad y disponibilidad.
El RGPD y la LOPDGDD establecen normas y obligaciones para evitar que empresas y otras entidades vulneren la privacidad de las personas, a través del uso y explotación de sus datos personales, además de evitar que debido a una mala gestión de los mismos, esos datos queden expuestos y, como consecuencia, los derechos y libertades fundamentales de los interesados se vean afectados en mayor o menor medida de manera negativa.
Para lograr esos objetivos, las empresas y otras entidades deben recurrir, precisamente, a la implantación de medidas de seguridad técnicas y organizativas cuyo fin es, precisamente, garantizar la confidencialidad, integridad y disponibilidad de los datos personales que tratan en el desarrollo de su actividad.
Es decir, deben evitar que actores no autorizados accedan a los datos personales de sus clientes y/o empleados (confidencialidad). Que no se alteren los datos que manejan o conservan en sus bases de datos personales, lo que podría causar algún tipo de perjuicio a sus titulares (integridad). Y para que la empresa o entidad pueda desarrollar parte de sus actividades, los empleados autorizados para ello, deben poder acceder a los datos de clientes y/o empleados, además, en algunos casos, los clientes o usuarios también deberán poder acceder la información que proporciona la empresa o entidad como parte de su servicio (disponibilidad).
En Grupo Atico34 te ayudamos a gestionar la protección de datos de tu negocio y a implantar las medidas de seguridad más adecuadas para que puedas garantizar la confidencialidad, integridad y disponibilidad de los datos. No lo dudes y ponte en contacto con nosotros para pedir más información.