Muchos durante nuestra carrera utilizamos el Cubo de McCumber, sabemos de primera mano que nos ha servido para integrar nuestra estrategia para la seguridad de la información, a ciencia cierta, en la actualidad, ya es un tema crítico en cualquier organización y la complejidad de los factores que la afectan puede dificultar su gestión efectiva.
Pasaba el 1991, cuando John McCumber creó el McCumber Cube, lo realizo mientras trabajaba en el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, este un marco de seguridad de la información que ayuda a las organizaciones a evaluar y establecer iniciativas considerando las tres dimensiones interrelacionadas:
Información, Tecnología y Organización.
Este modelo ofrece una forma integral y efectiva para abordar los desafíos de la seguridad de la información en las organizaciones modernas, estas tres dimensiones son nombradas de distintas formas, es lo mismo, únicamente varía de acuerdo a su interpretación, a mí me gusta más esta definición de dichas dimensiones:
- Los principios fundamentales para proteger los sistemas de información.
- La protección de la información en cada uno de sus estados posibles.
- Las medidas de seguridad utilizadas para proteger los datos.
Adentrándonos más en temas de actualidad e innovación hablaré un poco del aseguramiento de la información con (IA), para este fin la definimos como la práctica de asegurar la información y gestionar los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de la información.
El aseguramiento de la información incluye la protección de la integridad, disponibilidad, autenticidad, autorización, no repudio y confidencialidad de los datos del usuario, ya aquí entran en la estructura nuevos conceptos, los mencionó nuevamente:
- Autenticación.
- Autorización.
- No repudio.
- Confidencialidad de los datos del usuario.
La autenticación es el proceso de identificar a los usuarios y garantizar que los mismos sean quienes dicen ser, esto evita que cualquiera pueda entrar en un determinado sistema o iniciar sesión en alguna plataforma de forma indebida, sin que realmente sea el usuario legítimo que tiene el poder para hacerlo.
Por su parte la autorización, verifica los permisos que corresponden a cada identidad.
El no repudio es un servicio de seguridad que permite probar la participación de las partes en una comunicación, siempre tendremos dos posibilidades:
- No repudio en origen, aquí el emisor no puede negar que envió porque el destinatario tiene pruebas del envío.
- No repudio en destino, en este el receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción.
Nota:
La posesión de un documento y su firma digital asociada será prueba efectiva del contenido y del autor del documento.
Hay situaciones según el giro de la empresa que se considera explícitamente el cuidado de la confidencialidad de los datos del usuario, como una entidad financiera, PAC de hacienda, etc.
Regresando a la inclusión de la IA, es más amplio el escenario, abarca no solo protecciones digitales, sino también técnicas físicas, estas protecciones se aplican a los datos en tránsito, tanto en formato físico como electrónico, así como a los datos en reposo, para tal efecto la IA se considera mejor como un superconjunto de la seguridad de la información, dicho de otra manera, un término general y como el resultado comercial de la gestión de riesgos de la información.
Debemos de considerar que el aseguramiento de la información con IA, es el proceso de procesamiento, almacenamiento y transmisión de la información correcta a las personas correctas en el momento correcto, la IA se relaciona con el nivel comercial y la gestión de riesgos estratégicos de la información y los sistemas relacionados, en lugar de la creación y aplicación de controles de seguridad.
Entonces, la IA se utiliza para beneficiar a las empresas mediante el uso de la gestión de riesgos de la información, la gestión de la confianza, la resiliencia, la arquitectura adecuada, la seguridad del sistema y la protección, lo que aumenta la utilidad de la información solo para sus usuarios autorizados y la reduce.
Por lo tanto, además de defenderse contra piratas informáticos y códigos maliciosos, los profesionales de IA consideran cuestiones de gobierno corporativo como la privacidad, el cumplimiento normativo y de estándares, la auditoría, la continuidad del negocio y la recuperación ante desastres en relación con los sistemas de información.
Se ha convertido la IA, un campo interdisciplinario que requiere experiencia en negocios, contabilidad, experiencia del usuario, examen de fraude, ciencias forenses, ciencias de la gestión, ingeniería de sistemas, ingeniería de seguridad y criminología, además de informática, nada más, sin considerar infraestructura, presupuestos, gestión de proveedores, el apoyo de la dirección del negocio.
Evolución
Con el crecimiento de las redes de telecomunicaciones también viene la dependencia de las redes, lo que hace que las comunidades sean cada vez más vulnerables a los ataques cibernéticos que podrían interrumpir, degradar o destruir servicios vitales.
A partir de la década de 1950, el papel y el uso del aseguramiento de la información han crecido y evolucionado, al principio, el aseguramiento de la información implicaba solo la copia de seguridad de los datos, sin embargo, una vez que aumentó el volumen de información, el acto de aseguramiento de la información comenzó a automatizarse, reduciendo el uso de la intervención del operador, lo que permitió la creación de copias de seguridad instantáneas.
El último gran desarrollo del aseguramiento de la información es la implementación de sistemas distribuidos para el procesamiento y almacenamiento de datos a través de técnicas como SAN y NAS, así como el uso de computación en la nube, estos tres desarrollos principales de la información están en línea con las tres generaciones de tecnologías de la información, la primera utilizada para prevenir intrusiones, la segunda para detectar intrusiones y la tercera para supervivencia, por lo tanto, el aseguramiento de la información es un esfuerzo de colaboración de todos los sectores de la vida para permitir un intercambio de ideas libre e igualitario.
Pilares
El aseguramiento de la información se construye los siguientes pilares: disponibilidad, integridad, autenticación, autorización, confidencialidad y no repudio.
Estos pilares se tienen en cuenta para proteger los sistemas y, al mismo tiempo, permitirles brindar servicios de manera eficiente, sin embargo, estos no actúan independientemente unos de otros, sino que interfieren con el objetivo de los otros pilares, dichos pilares de la seguridad de la información han cambiado lentamente para convertirse en los pilares de la seguridad cibernética.
Como administrador, es importante enfatizar los pilares que desea para lograr el resultado deseado para su sistema de información, equilibrando los aspectos de servicio y privacidad.
- 1. La confidencialidad
Es un conjunto de reglas que evita que la información sensible sea revelada a personas no autorizadas, espacio de recursos y procesos, los métodos utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la autenticación y el control de acceso.
Analizando, se considera que la confidencialidad es, en esencia, lo opuesto a la integridad, sabemos que la confidencialidad es una medida de seguridad que protege contra quién puede acceder a los datos, lo que se hace protegiendo quién tiene acceso a la información, esto es diferente de Integridad porque la integridad protege quién puede cambiar la información.
La confidencialidad a menudo se garantiza con el uso de criptografía y estenografía de datos, se puede ver dentro de la clasificación y la superioridad de la información, por ejemplo: con operaciones internacionales como la OTAN, la confidencialidad es la garantía de la información en los países que deben seguir la HIPAA o el etiquetado de la información de la política de seguridad del proveedor de atención médica y con ellos las regulaciones de información necesaria para garantizar la no divulgación de la información.
- 2. La integridad
Consiste en garantizar que la información o los procesos del sistema estén protegidos contra modificaciones intencionales o accidentales, una forma de garantizar la integridad es utilizar una función hash o suma de comprobación.
La integridad específicamente se refiere a la protección de la información contra alteraciones no autorizadas, que nos quede bien claro este punto, el objetivo de la integridad de la información es garantizar que los datos sean precisos durante toda su vida útil.
Para tal caso, la autenticación y la autorización de usuario es un habilitador fundamental para la integridad de la información, esta es una función del número de grados de confianza existentes entre los extremos de un intercambio de información, una forma de mitigar el riesgo de integridad de la información es mediante el uso de diseños de software y chips redundantes, todos sabemos que una falla en la autenticación podría representar un riesgo para la integridad de la información, ya que permitiría que una parte no autorizada altere el contenido, digamos por ejemplo, si un hospital tiene políticas de contraseña inadecuadas, un usuario no autorizado podría obtener acceso a los sistemas de información que rigen la entrega de medicamentos a los pacientes y correr el riesgo de alterar el curso del tratamiento en detrimento de un paciente en particular, cuando menos.
- 3. La disponibilidad
Significa que los usuarios autorizados pueden acceder a los sistemas y datos cuando y donde sea necesario y aquellos que no cumplen con las condiciones establecidas, no podrán acceder, esto se puede lograr mediante él manteniendo el equipo y de los sistemas operativos, el software hay que tenerlos actualizados, y creando copias de seguridad e innovaciones de hardware.
Dicho de otra manera, más técnica, este pilar de disponibilidad se refiere a la preservación de datos para ser recuperados o modificados por las personas autenticadas y autorizadas.
Se conserva una mayor disponibilidad a través de un aumento en el sistema de almacenamiento o la confiabilidad del canal, considerando las brechas en la disponibilidad de la información pueden deberse a cortes de energía, fallas de hardware, DDOS, etc.
El objetivo de la alta disponibilidad es preservar el acceso a la información, se puede reforzar mediante el uso de energía de respaldo, canales de datos de repuesto, capacidades fuera del sitio y señal continua.
- 4. No repudio
El no repudio es la integridad de los datos para que sean fieles a su origen, lo que evita la posible negación de que ocurrió una acción no reconocida, el aumento del no repudio hace que sea más difícil negar que la información proviene de una determinada fuente, en otras palabras, lo hace para que no pueda disputar la fuente la autenticidad de los datos.
El no repudio implica la reducción de la integridad de los datos mientras esos datos están en tránsito, generalmente mediante el uso de un ataque de intermediario o phishing, en mi particular punto de vista, experiencia y practica es muy importante mantener limpio este pilar.
- 5. Autenticación
Se refiere a la verificación de la validez de una transmisión, originador o proceso dentro de un sistema de información, este proceso brinda confianza al destinatario en la validez de los datos del remitente, así como en la validez de su mensaje, existen muchas formas de reforzar la autenticación, principalmente divididas en tres formas principales, información de identificación personal, como el nombre de una persona, la dirección, el número de teléfono, el acceso a un token de clave o información conocida, como contraseñas.
En este pilar explícitamente nos referimos al acto o proceso de confirmar que algo o alguien es quien dice ser.
- 6. Autorización
Este pilar verifica los permisos que corresponden a cada identidad, el usuario debe autenticarse antes de recibir una autorización de acceso.
Por ejemplo, en las aplicaciones de software basadas en Internet, un enfoque común es utilizar dispositivos llamados tokens para manejar la autorización, con ellos, normalmente, una vez que un usuario ha iniciado sesión, lleva detalles de autorización basados en la identidad del usuario.
Interacciones de Pilares
Como les mencioné, los pilares no interactúan de forma independiente entre sí, con algunos pilares que impiden el funcionamiento de otros pilares o, en el caso contrario, cuando impulsan a otros pilares, por ejemplo, el aumento de la disponibilidad de información va directamente en contra de los objetivos de otros tres pilares: integridad, autenticación y confidencialidad.
Vamos a ver otros conceptos ligados al cubo de McCumber y como hemos visto son utilizados para la ciberseguridad y ahora con más énfasis por la inclusión de la IA.
El procesamiento:
Se refiere a los datos que se utilizan para realizar una operación como la actualización de un registro de base de datos o datos en proceso.
El almacenamiento:
Hace referencia a los datos almacenados en la memoria o en un dispositivo de almacenamiento permanente, como un disco duro, una unidad de estado sólido o una unidad USB, técnicamente se les llama: Datos en reposo.
La transmisión:
Nos indica a los datos que viajan entre sistemas de información y se conocen técnicamente como: Datos en tránsito.
La concientización, la capacitación y la educación:
Son las medidas implementadas por una organización para garantizar que los usuarios estén informados sobre las posibles amenazas a la seguridad y las acciones que pueden tomar para proteger los sistemas de información.
La tecnología:
Describe a las soluciones basadas en software y hardware, diseñadas para proteger los sistemas de información como los firewalls, que monitorean continuamente su red en busca de posibles incidentes maliciosos.
La política y el procedimiento:
Son muy importantes porque define a los controles administrativos que proporcionan una base para la forma en que una organización implementa el aseguramiento de la información, como los planes de respuesta a incidentes y las pautas de mejores prácticas.
El aseguramiento de la información:
Bueno, este generalmente comienza con la enumeración y clasificación de los activos de información que se protegerán, como actividad, el profesional de IA realizará una evaluación de riesgo para esos activos.
Las vulnerabilidades en los activos de información se determinan con el fin de enumerar las amenazas capaces de explotar los activos, en seguida, la evaluación considera tanto la probabilidad como el impacto de una amenaza que explota una vulnerabilidad en un activo, y el impacto generalmente se mide en términos de costo para las partes interesadas del activo, consideramos oportunamente la suma de los productos del impacto de las amenazas y la probabilidad de que ocurran es el riesgo total para el activo de información.
Gestión de Riesgos Empresariales
Se desglosa en tres procesos principales:
- Evaluación de Riesgos.
- Mitigación de Riesgos.
- Evaluación o traslado del evento.
El aseguramiento de la información es una de las metodologías que utilizan las organizaciones para implementar la gestión de riesgos empresariales, mediante el uso de políticas de aseguramiento de la información como el marco de trabajo “BRICK”, además, Business Risk Management también cumple con las leyes federales e internacionales con respecto a la divulgación y seguridad de la información, como HIPAA.
Se puede alinear con las estrategias corporativas a través de la capacitación y la concientización, la participación y el apoyo de la alta gerencia y la comunicación dentro de la organización que permite un mayor control interno y una gestión de riesgos comerciales. Muchos de nuestros compañeros de seguridad en las empresas están pasando a confiar en la garantía de la información para proteger la propiedad intelectual, protegerse contra posibles filtraciones de datos y proteger a los usuarios contra sí mismos.
Si bien el uso de la garantía de la información es bueno para garantizar ciertos pilares como la confidencialidad, el no repudio, etc. debido a su naturaleza conflictiva, un aumento en la seguridad a menudo se produce a expensas de la velocidad, dicho esto, el uso de aseguramiento de la información en el modelo de negocio mejora la toma de decisiones de gestión confiable, la confianza del cliente, la continuidad del negocio y el buen gobierno tanto en el sector público como en el privado.
Una vez finalizada la evaluación de riesgos, el profesional de IA o el profesional de ciberseguridad, desarrolla un plan de gestión de riesgos, este plan propone contramedidas que involucran mitigar, eliminar, aceptar o transferir los riesgos y considera la prevención, detección y respuesta a las amenazas.
Debemos guiarnos en algún marco publicado por una organización de estándares, como NIST RMF, Risk IT, CobiT, PCI DSS o ISO/IEC 27002, CIS, puede apoyarnos en el desarrollo de la gestión de riesgos.
Las contramedidas pueden incluir herramientas técnicas como Firewalls y software antivirus, políticas y procedimientos que requieran controles tales como copias de seguridad periódicas y fortalecimiento de la configuración, capacitación de empleados en conciencia de seguridad u organización del personal en un equipo dedicado de respuesta a emergencias informáticas CERT o respuesta a incidentes de seguridad informática, también tener equipo CSIRT, para ello debemos considerar el costo y el beneficio de cada contramedida se tomara cuidadosamente.
Una vez que se implementa el plan de gestión de riesgos, se prueba y evalúa, a menudo por medio de auditorías formales, ahora si el proceso de IA es iterativo, en el sentido de que la evaluación de riesgos y el plan de gestión de riesgos deben revisarse y mejorarse periódicamente en función de los datos recopilados sobre su integridad y eficacia.
“Existen dos meta-técnicas con el aseguramiento de la información, la auditoría y la evaluación de riesgos”
Organizaciones de estándares
Hay una serie de organismos internacionales y nacionales que emiten estándares sobre prácticas, políticas y procedimientos de aseguramiento de la información, por ejemplo, en el Reino Unido, estos incluyen el Consejo Asesor de Aseguramiento de la Información y el Grupo de Colaboración de Aseguramiento de la Información.
Aquí hay algunos otros modelos y estructuras relacionados con la tríada CIA:
Hexad de Donn Parker: Extiende la tríada de la CIA. Tiene autenticación, no repudio y responsabilidad.
Triada AIC: Expande la triada CIA. Tiene autenticidad, integridad y confidencialidad.
McCumber Cube: Es un modelo con confidencialidad, integridad, disponibilidad, privacidad, integridad de procesamiento y cumplimiento legal.
STRIDE: Es un esqueleto de modelado de amenazas que clasifica los riesgos. Fraude con la identidad del usuario, manipulación de datos, repudio, divulgación de información, denegación de servicio y privilegio elevado.
Marco de ciberseguridad NIST: incluye cinco funciones: Identidad, Protección, Detectar, Responder y Recuperar. Es gestionar y reducir el riesgo de ciberseguridad.
Controles CIS: un conjunto de 20 controles de seguridad críticos que ayudan a las organizaciones a priorizar y enfocar sus esfuerzos de seguridad cibernética.
OWASP Top Ten: tiene los diez principales riesgos de seguridad de aplicaciones web más críticos.
Este tema lo inicié con el McCumber Cube, con la intención de ir adaptándonos a algunos términos, mecánicas, estándares, marcos, normas y que nos resulte extraño el que en alguna parte se encuentren con estos términos y/o prácticas, es muy útil cuando trabajas en la concientización del usuario y del alta dirección a la ciberseguridad.
Espero les sea de utilidad, su amigo,
Views: 498