Confidencialitat, integritat i disponibilitat

La confidencialitat, la integritat i la disponibilitat, sovint conegudes com la triada de la CIA, són els components bàsics de la seguretat de la informació. En aquest post s’explica cada terme amb exemples.

Qualsevol atac a un sistema d'informació comprometrà un, dos o els tres d'aquests components. Segons quin d'aquests components s'estigui comprometent, es poden dissenyar controls de seguretat eficients en conseqüència.



Confidencialitat

En termes senzills, la confidencialitat significa quelcom que és secret i que no se suposa que es divulga a persones o entitats no desitjades.


La confidencialitat garanteix que la informació sensible només pugui accedir a una persona autoritzada i es mantingui allunyada de les persones no autoritzades a posseir-la.

Tothom té informació que vol mantenir en secret. Per tant, protegir aquesta informació és una part important de la seguretat de la informació.


Exemples d'informació confidencial

  • Extractes de comptes bancaris
  • Informació personal
  • Números de targetes de crèdit
  • Els secrets comercials
  • Documents governamentals

En cas que es vegi compromesa la confidencialitat, pot resultar en accés no autoritzat a informació personal o fins i tot pèrdua completa de privadesa.

Exemples d'atacs que afecten la confidencialitat

  • Ensumar paquets
  • Contrasenya
  • Busseig amb escombraries
  • Escoltes telefòniques
  • Registre de claus
  • Phishing

Formes per garantir la confidencialitat

  • Noms d'usuari i contrasenyes
  • Autenticació de dos factors
  • Verificació biomètrica
  • Fitxes de seguretat o clauers
  • Xifrat de dades


Integritat

En el context del món de la seguretat de la informació (InfoSec), la integritat significa que quan un remitent envia dades, el receptor ha de rebre exactament les mateixes dades que l'enviador.

Les dades no es poden canviar durant el trànsit. Per exemple, si algú envia un missatge 'Hola!', El receptor ha de rebre 'Hola!' És a dir, ha de SER exactament les mateixes dades que l’enviador. Qualsevol suma o resta de dades durant el trànsit significaria que la integritat s'ha vist compromesa.

Exemple d’atacs que afecten la integritat

  • Atac de salami
  • Atacs de manipulació de dades
  • Segrest de la sessió
  • Atac d’home al mig (MITM)


Disponibilitat

La disponibilitat implica que la informació estigui disponible per a les parts autoritzades sempre que ho requereixin. La indisponibilitat de les dades i els sistemes pot tenir conseqüències greus.


És essencial disposar de plans i procediments per prevenir o mitigar la pèrdua de dades com a conseqüència d'un desastre. Un pla de recuperació de desastres ha d'incloure esdeveniments imprevisibles, com ara desastres naturals i incendis.

Es recomana una tasca de còpia de seguretat rutinària per evitar o minimitzar la pèrdua total de dades d’aquestes ocurrències.

A més, equips o programari de seguretat addicionals com tallafocs i servidors intermediaris poden protegir-se del temps d'inactivitat i de les dades inaccessibles a causa d'accions malicioses com ara atacs de denegació de servei (DoS) i intrusions de xarxa.

Exemple d’atacs que afecten la disponibilitat

  • Atacs DoS i DDoS
  • Atacs d'inundacions SYN
  • Atacs físics a la infraestructura del servidor