Desde que comencé mi carrera en la tecnología he estado desarrollando mi perfil como informático en diversos perfiles. Programador, docente, analista, soporte técnico, creador de contenidos, gestor de proyectos, son solo algunas de esas labores. Y es que 33 años desde mi primer contrato como programador dan para mucho.
De todas las áreas me quedo, por predilección, con el análisis de datos y el marketing digital. Más lo primero que lo segundo. En cambio, la ciberseguridad siempre me ha parecido una especie de «magia tecnológica».
Este respeto reverencial, tanto hacia «los buenos» como hacia «los malos» en este ámbito, me llevó a inscribirme en un curso de ciberseguridad ofrecido por Google.
Mi objetivo no es convertirme en un experto en ciberseguridad, aunque no cerraría esa puerta si la oportunidad se presentara. Más bien, quiero complementar mi perfil profesional con conocimientos que fortalezcan mi enfoque en lo que me gusta y me siento «fuerte».
En este artículo, quiero compartir una de las herramientas fundamentales en ciberseguridad que he aprendido en este curso y en los de INCIBE que hice previamente: el modelo CIA.
No, no tiene nada que ver con agencias de inteligencia, pero sí con tres conceptos clave que guían la defensa de datos y sistemas: Confidencialidad, Integridad y Disponibilidad.
Me he dado cuenta con estas formaciones que la ciberseguridad es un ámbito de las tecnologías informáticas y de comunicaciones terriblemente protocolizada. Y que eso aumenta las tres E’s que siempre buscamos: eficacia, eficiencia y efectividad.
Sin embargo, estas estructuras, cuando se vuelven rígidas, también se convierten en limitantes, ya que los actores externos que atacan una organización tienen libertad absoluta para operar, por lo tanto se vuelven imprevisibles. Y esa imprevisibilidad es imbatible con estructuras preformateadas. Es como la guerra de guerrillas. Un gran ejército, bien formado y armado, se verá en desventaja frente a un terreno abrupto donde grupos pequeños juegan de manera imprevisible.
Pero, igualmente, aprendamos como va todo esto. Siempre suma. Nunca resta.
¿Qué es el modelo CIA?
El modelo CIA es un marco utilizado para evaluar y mitigar riesgos en ciberseguridad. Ayuda a organizaciones y analistas a diseñar sistemas y políticas que minimicen amenazas mientras garantizan un manejo seguro de los datos.
Estos tres pilares son esenciales para definir lo que se conoce como postura de seguridad, es decir, la capacidad de una organización para proteger sus activos críticos y responder a incidentes.
Veamos cada uno de estos pilares en detalle.
Confidencialidad: Proteger los datos de ojos no autorizados
La confidencialidad busca asegurar que solo las personas autorizadas puedan acceder a datos o sistemas específicos. En el ámbito corporativo, esto se logra mediante principios como el de menor privilegio, que restringe a cada usuario solo la información necesaria para su trabajo.
Por ejemplo, un empleado del departamento de finanzas no necesita acceso a datos de proyectos en desarrollo. Implementar estos controles no solo protege la privacidad, sino que también reduce la exposición de información sensible frente a posibles ataques.
Integridad: Datos confiables y auténticos
La integridad garantiza que los datos sean correctos, auténticos y confiables. Un ejemplo de mantener la integridad es el uso de la criptografía, que transforma la información para que no pueda ser leída ni manipulada por terceros no autorizados.
Otra técnica es la encriptación, que convierte los datos en un formato codificado. Esto asegura que mensajes o registros no puedan ser alterados, por ejemplo, en una plataforma de comunicación interna de una organización.
La integridad también se preserva con principios como la defensa en profundidad que organiza las medidas de seguridad en una organización por capas, de tal manera que si un atacante penetra el primer perímetro aún seguirá encontrando barreras hasta llegar a los datos sensibles.
Sin integridad, las decisiones basadas en datos podrían estar contaminadas por errores o manipulación malintencionada.
Disponibilidad: Acceso cuando y donde se necesita
La disponibilidad se enfoca en garantizar que los datos estén accesibles para los usuarios autorizados cuando los necesiten. Esto no significa abrir las puertas a todo el mundo, sino implementar mecanismos seguros que permitan, por ejemplo, que empleados remotos accedan a redes internas para realizar su trabajo.
Aquí aplicamos principios como el de la separación de funciones o el principio de necesidad de saber, íntimamente ligados a la confidencialidad.
Un balance correcto entre confidencialidad y disponibilidad asegura que la información esté protegida sin obstaculizar la productividad.
Por ejemplo, un desarrollador no debería necesitar acceso a datos financieros, pero sí a las herramientas y bases de datos necesarias para su trabajo.
Orígenes de la triada CIA: todos y ninguno
El modelo CIA (Confidencialidad, Integridad y Disponibilidad) no tiene un creador único reconocido. Es un concepto que emergió de las prácticas de ciberseguridad y la gestión de información a lo largo de varias décadas.
Sin embargo, se consolidó formalmente como una tríada clave en la seguridad de la información en las décadas de 1970 y 1980.
Orígenes tempranos:
En los años 70, durante el desarrollo de los primeros sistemas informáticos y el manejo de datos sensibles, la necesidad de proteger información llevó a la creación de conceptos básicos de seguridad.
Esto incluyó la protección de la confidencialidad (mantener datos privados), la integridad (asegurar que los datos no sean manipulados) y la disponibilidad (garantizar que los datos estén accesibles cuando se necesiten).
Formalización en estándares:
En los años 80, con la publicación de marcos y estándares como el Trusted Computer System Evaluation Criteria (TCSEC), también conocido como el «Libro Naranja», por parte del Departamento de Defensa de EE. UU., el modelo CIA comenzó a ganar mayor reconocimiento.
Aunque el TCSEC no utiliza directamente la terminología «modelo CIA», aborda principios fundamentales que lo subyacen.
Consolidación académica y profesional:
El término «CIA triad» empezó a ser usado más ampliamente en la literatura académica y profesional de seguridad de la información a partir de los 90, cuando la industria de TI comenzó a formalizar sus prácticas.
A partir de este momento, se convirtió en una base teórica fundamental para analizar y diseñar sistemas de seguridad.
En resumen, el modelo CIA no fue definido por una persona o institución específica, sino que se desarrolló de manera evolutiva como un marco conceptual para abordar las necesidades fundamentales de la seguridad de la información en sistemas tecnológicos.
Lecciones clave del modelo CIA
Aprender sobre el modelo CIA no solo me ha dado una visión más clara de cómo trabajan los equipos de ciberseguridad, sino también de cómo estos principios pueden aplicarse más allá de este ámbito.
Por ejemplo, en marketing digital y análisis de datos, conceptos como la integridad y la disponibilidad son cruciales para tomar decisiones basadas en información confiable y accesible. Como también lo son la confidencialidad cuando, por ejemplo, anonimizamos datos personales para poder generar cuadros de mandos o gestionamos una plataforma de email marketing.
Aunque mi meta principal no es convertirme en un experto en ciberseguridad, comprender estos fundamentos me permite reforzar mi perfil profesional y ofrecer un valor añadido en cualquier proyecto.
La triada CIA en ciberseguridad desembocó en un concepto tan antiguo como la humanidad y tan moderno como lo quieran vender los consultores y asesores de turno: la zero trust o confianza cero.
Es decir, que si otorgamos niveles de acceso para proteger la confidencialidad, integridad y disponibilidad de los recursos (assests), representando con el 100% el acceso máximo y con el 0% el acceso nulo, no realizaríamos una gestión que iría restando al 100% hasta alcanzar el nivel de acceso pertinente para cada usuario sino que empezaríamos a gestionar a partir del 0% añadiendo capas de acceso si son necesarias y están justificadas.
Al final, como técnico con más de 30 años de experiencia, siempre he creído que aprender algo nuevo nunca es un desperdicio, sino una inversión en el futuro. Y, la verdad, este tema me gusta.
Me recuerda a aquel primer libro sobre virus informático que compré en la absorbida Galerías Preciados en 1990 y que leí con tanto entusiasmo y me llevó a experimentar con códigos de autoreplicación. ¡Qué tiempos tan emocionantes!
Hoy, vuelve a serlo.
Y, además, todo esto refuerza lo que ha sido mi ideal profesional en todos estos años: la tecnología no es el fin, es el medio.