Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
El Triángulo de la CIA y su Aplicación en el Mundo Real

El Triángulo de la CIA y su Aplicación en el Mundo Real

Mar 26, 2019

¿Qué es el triángulo CIA?

La seguridad de la información gira en torno a los tres principios clave: confidencialidad, integridad y disponibilidad (CIA). Dependiendo del entorno, aplicación, contexto o caso de uso, uno de estos principios podría ser más importante que los otros. Por ejemplo, para una agencia financiera, la confidencialidad de la información es primordial, por lo que probablemente cifraría cualquier documento clasificado que se transfiera electrónicamente para evitar que personas no autorizadas lean su contenido. Por otro lado, organizaciones como los mercados de internet sufrirían un daño severo si su red estuviera fuera de servicio por un período prolongado, por lo que podrían centrarse en estrategias para asegurar una alta disponibilidad por encima de las preocupaciones sobre datos cifrados.

Confidencialidad

La confidencialidad se preocupa de prevenir el acceso no autorizado a información sensible. El acceso podría ser intencional, como un intruso que irrumpe en la red y lee la información, o podría ser no intencional, debido a la negligencia o incompetencia de las personas que manejan la información. Las dos principales maneras de asegurar la confidencialidad son la criptografía y el control de acceso.

Contenido relacionado seleccionado

Criptografía

La encriptación ayuda a las organizaciones a satisfacer la necesidad de proteger la información tanto de divulgaciones accidentales como de intentos de ataque internos y externos. La efectividad de un sistema criptográfico para prevenir la desencriptación no autorizada se conoce como su fortaleza. Un sistema criptográfico fuerte es difícil de descifrar. La fortaleza también puede expresarse como factor de trabajo, que es una estimación del tiempo y esfuerzo necesarios para romper un sistema.

Se considera que un sistema es débil si permite claves débiles, tiene defectos en su diseño o se descifra fácilmente. Muchos sistemas disponibles hoy en día son más que adecuados para uso comercial y personal, pero son inadecuados para aplicaciones militares o gubernamentales sensibles. La criptografía tiene algoritmos simétricos y asimétricos.

Algoritmos simétricos

Los algoritmos simétricos requieren que tanto el emisor como el receptor de un mensaje cifrado tengan la misma clave y algoritmos de procesamiento. Los algoritmos simétricos generan una clave simétrica (a veces llamada clave secreta o clave privada) que debe ser protegida; si la clave se pierde o es robada, la seguridad del sistema se ve comprometida. Aquí hay algunos de los estándares comunes para algoritmos simétricos:

  • Estándar de Cifrado de Datos (DES). DES se ha utilizado desde mediados de la década de 1970. Durante años, fue el estándar principal utilizado en el gobierno y la industria, pero ahora se considera inseguro debido a su pequeño tamaño de clave — genera una clave de 64 bits, pero ocho de esos bits son solo para corrección de errores y solo 56 bits son la clave real. Ahora AES es el estándar principal.
  • Triple-DES (3DES). 3DES es una mejora tecnológica del DES. 3DES todavía se utiliza, aunque AES es la opción preferida para aplicaciones gubernamentales. 3DES es considerablemente más difícil de descifrar que muchos otros sistemas, y es más seguro que DES. Aumenta la longitud de la clave a 168 bits (usando tres claves DES de 56 bits).
  • Advanced Encryption Standard (AES). AES ha reemplazado a DES como el estándar utilizado por las agencias gubernamentales de EE. UU. Utiliza el algoritmo Rijndael, nombrado por sus desarrolladores, Joan Daemen y Vincent Rijmen. AES admite tamaños de clave de 128, 192 y 256 bits, siendo 128 bits el valor predeterminado.
  • El Cifrado de Ron o Código de Ron (RC). RC es una familia de cifrado producida por los laboratorios RSA y nombrada por su autor, Ron Rivest. Los niveles actuales son RC4, RC5 y RC6. RC5 utiliza un tamaño de clave de hasta 2,048 bits; se considera un sistema fuerte. RC4 es popular en la encriptación inalámbrica y WEP/WPA. Es un cifrado en flujo que trabaja con tamaños de clave entre 40 y 2,048 bits, y se utiliza en SSL y TLS. También es popular con las utilidades; lo usan para la descarga de archivos torrent. Muchos proveedores limitan la descarga de esos archivos, pero usar RC4 para ofuscar el encabezado y el flujo hace que sea más difícil para el proveedor de servicios darse cuenta de que son archivos torrent los que se están moviendo.
  • Blowfish y Twofish. Blowfish es un sistema de cifrado inventado por un equipo liderado por Bruce Schneier que realiza un cifrado de bloque de 64 bits a velocidades muy rápidas. Es un cifrado de bloque simétrico que puede utilizar claves de longitud variable (desde 32 bits hasta 448 bits). Twofish es bastante similar, pero trabaja con bloques de 128 bits. Su característica distintiva es que tiene un horario de clave complejo.
  • Algoritmo Internacional de Cifrado de Datos (IDEA). IDEA fue desarrollado por un consorcio suizo y utiliza una clave de 128 bits. Este producto es similar en velocidad y capacidad a DES, pero es más seguro. IDEA se utiliza en Pretty Good Privacy (PGP), un sistema de cifrado de dominio público que muchas personas usan para el correo electrónico.
  • Libretas de un solo uso. Las libretas de un solo uso son las únicas implementaciones criptográficas verdaderamente completamente seguras. Son tan seguras por dos razones. Primero, utilizan una clave que es tan larga como el mensaje en texto plano. Esto significa que no hay patrón en la aplicación de la clave que un atacante pueda utilizar. Segundo, las claves de las libretas de un solo uso se utilizan solo una vez y luego se descartan. Así que incluso si pudieras romper un cifrado de libreta de un solo uso, esa misma clave nunca se volvería a utilizar, por lo que el conocimiento de la clave sería inútil.

Algoritmos asimétricos

Los algoritmos asimétricos utilizan dos claves: una clave pública y una clave privada. El emisor utiliza la clave pública para cifrar un mensaje y el receptor utiliza la clave privada para descifrarlo. La clave pública puede ser verdaderamente pública o puede ser un secreto entre las dos partes. La clave privada, sin embargo, se mantiene privada; solo el propietario (receptor) la conoce. Si alguien quiere enviarte un mensaje cifrado, puede usar tu clave pública para cifrar el mensaje y luego enviarte el mensaje. Puedes usar tu clave privada para descifrar el mensaje. Si ambas claves se ponen a disposición de un tercero, el sistema de cifrado no protegerá la privacidad del mensaje. La verdadera “magia” de estos sistemas es que la clave pública no se puede utilizar para descifrar un mensaje. Si Bob envía a Alice un mensaje cifrado con la clave pública de Alice, no importa si todos los demás en la Tierra tienen la clave pública de Alice, ya que esa clave no puede descifrar el mensaje. Aquí están algunos de los estándares comunes para algoritmos asimétricos:

  • RSA. RSA lleva el nombre de sus inventores, Ron Rivest, Adi Shamir y Leonard Adleman. El algoritmo RSA es un sistema de cifrado de clave pública temprano que utiliza enteros grandes como base para el proceso. Está ampliamente implementado y se ha convertido en un estándar de facto. RSA funciona tanto con cifrado como con firmas digitales. RSA se utiliza en muchos entornos, incluyendo Secure Sockets Layer (SSL), y se puede utilizar para key exchange.
  • Diffie-Hellman. Whitfield Diffie y Martin Hellman son considerados los fundadores del concepto de clave pública/privada. Su algoritmo Diffie-Hellman se utiliza principalmente para generar una clave secreta compartida a través de redes públicas. El proceso no se utiliza para cifrar o descifrar mensajes; se utiliza únicamente para la creación de una clave simétrica entre dos partes.
  • Criptografía de Curva Elíptica (EEC). ECC ofrece funcionalidades similares a RSA pero utiliza tamaños de clave más pequeños para obtener el mismo nivel de seguridad. Los sistemas de cifrado ECC se basan en la idea de utilizar puntos sobre una curva combinados con un punto en el infinito y la dificultad de resolver problemas de logaritmos discretos.

Control de acceso

La encriptación es una forma de asegurar la confidencialidad; un segundo método es el control de acceso. Existen varios enfoques para el control de acceso que ayudan con la confidencialidad, cada uno con sus propias fortalezas y debilidades:

  • Control de acceso obligatorio (MAC). En un entorno MAC, todas las capacidades de acceso están predefinidas. Los usuarios no pueden compartir información a menos que sus derechos para compartirla estén establecidos por los administradores. En consecuencia, los administradores deben realizar cualquier cambio que sea necesario en dichos derechos. Este proceso impone un modelo de seguridad rígido. Sin embargo, también se considera el modelo de ciberseguridad más seguro.
  • Control de Acceso Discrecional (DAC). En un modelo DAC, los usuarios pueden compartir información dinámicamente con otros usuarios. El método permite un entorno más flexible, pero aumenta el riesgo de divulgación no autorizada de información. Los administradores tienen más dificultades para asegurar que solo los usuarios apropiados puedan acceder a los datos.
  • Control de Acceso Basado en Roles (RBAC). El control de acceso basado en roles implementa el control de acceso en función del trabajo o la responsabilidad. Cada empleado tiene uno o más roles que permiten el acceso a información específica. Si una persona pasa de un rol a otro, el acceso del rol anterior ya no estará disponible. Los modelos RBAC ofrecen más flexibilidad que el modelo MAC y menos flexibilidad que el modelo DAC. Sin embargo, tienen la ventaja de estar estrictamente basados en la función laboral en lugar de las necesidades individuales.
  • Control de Acceso Basado en Reglas (RBAC). El control de acceso basado en reglas utiliza la configuración de políticas de seguridad preconfiguradas para tomar decisiones sobre el acceso. Estas reglas se pueden establecer para:
    • Denegar el acceso a todos excepto a aquellos que aparezcan específicamente en una lista (una lista de acceso permitido)
    • Denegar solo a aquellos que aparezcan específicamente en la lista (una verdadera lista de acceso de denegación)

Las entradas en la lista pueden ser nombres de usuario, direcciones IP, nombres de host o incluso dominios. Los modelos basados en reglas a menudo se utilizan en conjunto con modelos basados en roles para lograr la mejor combinación de seguridad y flexibilidad.

  • Control de acceso basado en atributos (ABAC). ABAC es un método relativamente nuevo para el control de acceso definido en NIST 800-162, Definición y Consideraciones del Control Basado en Atributos. Es una metodología de control de acceso lógico donde la autorización para realizar un conjunto de operaciones se determina evaluando atributos asociados con el sujeto, objeto, operaciones solicitadas y, en algunos casos, condiciones ambientales en contra de security policy, reglas o relaciones que describen las operaciones permitidas para un conjunto dado de atributos.
  • Las tarjetas inteligentes generalmente se utilizan para control de acceso y propósitos de seguridad. La tarjeta en sí normalmente contiene una pequeña cantidad de memoria que puede ser utilizada para almacenar permisos e información de acceso.
  • Originalmente, un token de seguridad era un dispositivo de hardware necesario para obtener acceso, como una tarjeta de acceso inalámbrica o un llavero electrónico. Ahora también existen implementaciones de software de tokens. Los tokens a menudo contienen un certificado digital que se utiliza para autenticar al usuario.

Integridad

La integridad tiene tres objetivos que ayudan a lograr Data Security:

  • Prevención de la modificación de información por usuarios no autorizados
  • Prevención de la modificación no autorizada o involuntaria de la información por parte de usuarios autorizados
  • Preservando la consistencia interna y externa:
    • Consistencia interna — Asegura que los datos sean consistentes internamente. Por ejemplo, en una base de datos organizacional, el número total de artículos que posee una organización debe ser igual a la suma de los mismos artículos que se muestran en la base de datos como en posesión de cada elemento de la organización.
    • Consistencia externa — Asegura que los datos almacenados en la base de datos sean consistentes con el mundo real. Por ejemplo, el número total de artículos que se encuentran físicamente en el estante debe coincidir con el número total de artículos indicado por la base de datos.

Diversos métodos de cifrado pueden ayudar a garantizar la integridad proporcionando la seguridad de que un mensaje no fue modificado durante su transmisión. La modificación podría hacer que un mensaje sea ininteligible o, peor aún, inexacto. Imagina las graves consecuencias si las alteraciones en los registros médicos o las prescripciones de medicamentos no se descubrieran. Si un mensaje es manipulado, el sistema de cifrado debería tener un mecanismo para indicar que el mensaje ha sido corrompido o alterado.

Hashing

Integrity can also be verified using a hashing algorithm. Essentially, a hash of the message is generated and appended to the end of the message. The receiving party calculates the hash of the message they received and compares it to the hash they received. If something changed in transit, the hashes won’t match.

El hashing es una verificación de integridad aceptable para muchas situaciones. Sin embargo, si una parte interceptora desea alterar un mensaje intencionadamente y el mensaje no está cifrado, entonces un hash es ineficaz. La parte interceptora puede ver, por ejemplo, que hay un hash de 160 bits adjunto al mensaje, lo que sugiere que fue generado usando SHA-1 (que se discute más abajo). Entonces el interceptor simplemente puede alterar el mensaje como desee, eliminar el hash SHA-1 original y recalcular un hash del mensaje alterado.

Algoritmos de hash

Los hashes utilizados para almacenar datos son muy diferentes de los hashes criptográficos. En criptografía, una función hash debe tener tres características:

  1. Debe ser unidireccional. Una vez que hashas algo, no puedes deshashearlo.
  2. La entrada de longitud variable produce una salida de longitud fija. Ya sea que hagas hash de dos caracteres o de dos millones, el tamaño del hash es el mismo.
  3. El algoritmo debe tener pocas o ninguna colisión. Al aplicar hash a dos entradas diferentes no se obtiene el mismo resultado.

Aquí hay algoritmos de hash y conceptos relacionados con los que deberías estar familiarizado:

  • Algoritmo de Hash Seguro (SHA). Originalmente llamado Keccak, SHA fue diseñado por Guido Bertoni, Joan Daemen, Michaël Peeters y Gilles Van Assche. SHA-1 es un hash unidireccional que proporciona un valor de hash de 160 bits que se puede utilizar con un protocolo de cifrado. En 2016, se descubrieron problemas con SHA-1; ahora se recomienda que se utilice SHA-2 en su lugar. SHA-2 puede producir hashes de 224, 256, 334 y 512 bits. No se conocen problemas con SHA-2, por lo que sigue siendo el algoritmo de hash más utilizado y recomendado. SHA-3 se publicó en 2012 y es ampliamente aplicable pero no ampliamente utilizado. Esto no se debe a problemas con SHA-3, sino al hecho de que SHA-2 es perfectamente adecuado.
  • Algoritmo de Resumen de Mensaje (MD). MD es otro hash unidireccional que crea un valor de hash utilizado para ayudar a mantener la integridad. Hay varias versiones de MD; las más comunes son MD5, MD4 y MD2. MD5 es la versión más nueva del algoritmo; produce un hash de 128 bits. Aunque es más complejo que sus predecesores MD y ofrece mayor seguridad, no tiene una fuerte resistencia a colisiones, y por lo tanto, ya no se recomienda su uso. SHA (2 o 3) son las alternativas recomendadas.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD se basó en MD4. Hubo preguntas sobre su seguridad y ha sido reemplazado por RIPEMD-160, que utiliza 160 bits. También existen versiones que utilizan 256 y 320 bits (RIPEMD-256 y RIPEMD-320, respectivamente).
  • GOST es un cifrado simétrico desarrollado en la antigua Unión Soviética que ha sido modificado para funcionar como una función hash. GOST procesa un mensaje de longitud variable en una salida de longitud fija de 256 bits.
  • Antes del lanzamiento de Windows NT, los sistemas operativos de Microsoft utilizaban el protocolo LANMAN para la autenticación. Aunque funcionaba únicamente como un protocolo de autenticación, LANMAN usaba LM Hash y dos claves DES. Fue reemplazado por el NT LAN Manager (NTLM) con el lanzamiento de Windows NT.
  • Microsoft reemplazó el protocolo LANMAN con NTLM (NT LAN Manager) con el lanzamiento de Windows NT. NTLM utiliza algoritmos de hash MD4/MD5. Existen varias versiones de este protocolo (NTLMv1 y NTLMv2), y todavía se utiliza ampliamente a pesar de que Microsoft ha nombrado a Kerberos como su protocolo de autenticación preferido. Aunque LANMAN y NTLM emplean ambos hash, se utilizan principalmente con el propósito de autenticación.
  • Un método común para verificar la integridad implica agregar un código de autenticación de mensaje (MAC) al mensaje. Un MAC se calcula utilizando un cifrado simétrico en modo de encadenamiento de bloques de cifrado (CBC), produciéndose solo el bloque final. Esencialmente, la salida del CBC se utiliza como si fuera la salida de un algoritmo de hash. Sin embargo, a diferencia de un algoritmo de hash, el cifrado requiere una clave simétrica que se intercambia entre las dos partes con antelación.
  • HMAC (código de autenticación de mensaje basado en hash) utiliza un algoritmo de hashing junto con una clave simétrica. Así, por ejemplo, dos partes acuerdan usar un hash MD5. Una vez que se calcula el hash, se realiza un OR exclusivo (XOR) con el resumen, y ese valor resultante es el HMAC.

Línea base

Establecer una línea base (configuración, línea base, línea base de sistemas, línea base de actividad) es una estrategia importante para la secure networking. Esencialmente, encuentras una línea base que consideras segura para un sistema, computadora, aplicación o servicio dado. Ciertamente, la seguridad absoluta no es posible — el objetivo es lo suficientemente seguro, basado en las necesidades de seguridad de tu organización y el apetito de riesgo. Cualquier cambio se puede comparar con la línea base para ver si el cambio es lo suficientemente seguro. Una vez que se define una línea base, el siguiente paso es monitorear el sistema para asegurar que no se haya desviado de esa línea base. Este proceso se define como medición de integridad.

Disponibilidad

La disponibilidad asegura que los usuarios autorizados de un sistema tengan acceso oportuno e ininterrumpido a la información del sistema y a la red. Aquí están los métodos para lograr la disponibilidad:

  • Asignación distributiva. Comúnmente conocida como balanceo de carga, la asignación distributiva permite distribuir la carga (solicitudes de archivos, enrutamiento de datos y demás) de manera que ningún dispositivo esté excesivamente sobrecargado.
  • Alta disponibilidad (HA). La alta disponibilidad se refiere a las medidas que se utilizan para mantener los servicios y sistemas de información operativos durante una interrupción. El objetivo de la HA es a menudo tener servicios clave disponibles el 99.999 por ciento del tiempo (conocido como disponibilidad de “cinco nueves”). Las estrategias de HA incluyen redundancia y conmutación por error, que se discuten a continuación.
  • Redundancia. La redundancia se refiere a sistemas que están duplicados o que pasan a otros sistemas en caso de una falla. El failover se refiere al proceso de reconstruir un sistema o cambiar a otros sistemas cuando se detecta una falla. En el caso de un servidor, este cambia a un servidor redundante cuando se detecta un fallo. Esta estrategia permite que el servicio continúe sin interrupciones hasta que el servidor principal pueda ser restaurado. En el caso de una red, esto significa que el procesamiento cambia a otra ruta de red en caso de una falla en la ruta principal.
    Los sistemas de failover pueden ser costosos de implementar. En una red corporativa grande o en un entorno de comercio electrónico, un failover podría implicar cambiar todo el procesamiento a una ubicación remota hasta que su instalación principal esté operativa. El sitio principal y el sitio remoto sincronizarían los datos para asegurar que la información esté lo más actualizada posible.
    Muchos sistemas operativos, como Linux, Windows Server y Novell Open Enterprise Server, son capaces de agruparse para proporcionar capacidades de failover. El clustering implica múltiples sistemas conectados de manera cooperativa (lo que proporciona equilibrio de carga) y en red de tal manera que si alguno de los sistemas falla, los otros sistemas asumen la carga y continúan operando. La capacidad general del clúster de servidores puede disminuir, pero la red o el servicio permanecerán operativos. Para apreciar la belleza del clustering, contemple el hecho de que esta es la tecnología en la que se basa Google. No solo el clustering le permite tener redundancia, sino que también le ofrece la capacidad de escalar a medida que aumenta la demanda.
    La mayoría de los ISP y proveedores de red tienen una amplia capacidad interna de failover para proporcionar alta disponibilidad a los clientes. Los clientes empresariales y los empleados que no pueden acceder a la información o los servicios tienden a perder confianza.
    El compromiso por la fiabilidad y la confianza, por supuesto, es el costo: los sistemas de failover pueden llegar a ser prohibitivamente caros. Necesitará estudiar cuidadosamente sus necesidades para determinar si su sistema requiere esta capacidad. Por ejemplo, si su entorno requiere un alto nivel de disponibilidad, sus servidores deben estar agrupados. Esto permitirá que los otros servidores en la red asuman la carga si uno de los servidores del clúster falla.
  • Tolerancia a fallos. La tolerancia a fallos es la capacidad de un sistema para mantener operaciones en caso de fallo de un componente. Los sistemas tolerantes a fallos pueden continuar operando incluso si un componente crítico, como un disco duro, ha fallado. Esta capacidad implica sobreingeniería en los sistemas al agregar componentes y subsistemas redundantes para reducir el riesgo de tiempo de inactividad. Por ejemplo, la tolerancia a fallos puede incorporarse en un servidor añadiendo una segunda fuente de alimentación, un segundo CPU y otros componentes clave. La mayoría de los fabricantes (como HP, Sun e IBM) ofrecen servidores tolerantes a fallos; estos suelen tener múltiples procesadores que automáticamente toman el relevo si ocurre una falla.
    Hay dos componentes clave de la tolerancia a fallos que nunca debes pasar por alto: piezas de repuesto y energía eléctrica. Las piezas de repuesto siempre deben estar disponibles para reparar cualquier componente crítico del sistema en caso de fallo. La estrategia de redundancia “N+1” significa que tienes el número de componentes que necesitas, más uno para conectar en cualquier sistema si es necesario. Dado que los sistemas informáticos no pueden operar en ausencia de energía eléctrica, es imperativo que la tolerancia a fallos se incorpore también en tu infraestructura eléctrica. Como mínimo, una fuente de alimentación ininterrumpida (UPS) con protección contra sobretensiones debe acompañar a cada servidor y estación de trabajo. Esa UPS debe estar calificada para la carga que se espera que soporte en caso de un fallo de energía (teniendo en cuenta el ordenador, el monitor y cualquier otro dispositivo conectado a él) y debe ser revisada periódicamente como parte de tu rutina de mantenimiento preventivo para asegurarte de que la batería está operativa. Necesitarás reemplazar la batería cada pocos años para mantener la UPS operativa.
    Una UPS te permitirá continuar funcionando en ausencia de energía solo por una corta duración. Para tolerancia a fallos en situaciones de mayor duración, necesitarás un generador de respaldo. Los generadores de respaldo funcionan con gasolina, propano, gas natural o diésel y generan la electricidad necesaria para proporcionar energía constante. Aunque algunos generadores de respaldo pueden activarse instantáneamente en caso de un corte de energía, la mayoría tarda un corto tiempo en calentarse antes de que puedan proporcionar energía constante. Por lo tanto, encontrarás que aún necesitas implementar UPSs en tu organización.
  • Redundant Array of Independent Disks (RAID). RAID es una tecnología que utiliza múltiples discos para proporcionar tolerancia a fallos. Existen varios niveles de RAID: RAID 0 (discos entrelazados), RAID 1 (discos espejados), RAID 3 o 4 (discos entrelazados con paridad dedicada), RAID 5 (discos entrelazados con paridad distribuida), RAID 6 (discos entrelazados con doble paridad), RAID 1+0 (o 10) y RAID 0+1. Puedes leer más sobre ellos en esta lista de mejores prácticas de seguridad de datos.
  • Plan de recuperación ante desastres (DR). Un plan de recuperación ante desastres ayuda a una organización a responder de manera efectiva cuando ocurre un desastre. Los desastres incluyen fallos de sistema, fallos de red, fallos de infraestructura y desastres naturales como huracanes y terremotos. Un plan DR define métodos para restaurar los servicios lo más rápido posible y proteger a la organización de pérdidas inaceptables en caso de desastre.
    En una organización pequeña, un plan de recuperación ante desastres puede ser relativamente simple y directo. En una organización más grande, podría involucrar múltiples instalaciones, planes estratégicos corporativos y departamentos enteros.
    Un plan de recuperación ante desastres debe abordar el acceso y almacenamiento de información. Su plan de respaldo para datos sensibles es una parte integral de este proceso.

Preguntas frecuentes

¿Cuáles son los componentes de la triada CIA?

  • Confidencialidad: Los sistemas y datos están accesibles solo para usuarios autorizados.
  • Integridad: Los sistemas y datos son precisos y completos.
  • Disponibilidad: Los sistemas y datos están accesibles cuando se necesitan.

¿Por qué es importante el triángulo CIA para la seguridad de los datos?

El objetivo final de la seguridad de los datos es garantizar la confidencialidad, integridad y disponibilidad de los datos críticos y sensibles. Aplicar los principios del triángulo CIA ayuda a las organizaciones a crear un programa de seguridad efectivo para proteger sus activos valiosos.

¿Cómo se puede aplicar el triángulo CIA en la gestión de riesgos?

Durante las evaluaciones de riesgo, las organizaciones miden los riesgos, amenazas y vulnerabilidades que podrían comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Al implementar controles de seguridad para mitigar esos riesgos, satisfacen uno o más de los principios fundamentales del triángulo CIA.

¿Cómo puede verse comprometida la confidencialidad de los datos?

La confidencialidad requiere prevenir el acceso no autorizado a información sensible. El acceso podría ser intencional, como un intruso que irrumpe en la red y lee la información, o podría ser no intencional, debido a la negligencia o incompetencia de las personas que manejan la información.

¿Qué medidas pueden ayudar a preservar la confidencialidad de los datos?

Una de las mejores prácticas para proteger la confidencialidad de los datos es cifrar todos los datos sensibles y regulados. Nadie puede leer el contenido de un documento cifrado a menos que tenga la clave de descifrado, por lo que el cifrado protege contra compromisos malintencionados y accidentales de la confidencialidad.

¿Cómo puede verse comprometida la integridad de los datos?

La integridad de los datos puede verse comprometida tanto por errores humanos como por ciberataques como malware destructivo y ransomware.

¿Qué medidas pueden ayudar a preservar la integridad de los datos?

Para preservar la integridad de los datos, necesitas:

  • Evite cambios en los datos por usuarios no autorizados
  • Evite cambios no autorizados o involuntarios en los datos por parte de usuarios autorizados
  • Asegure la precisión y consistencia de los datos mediante procesos como la verificación de errores y la validación de datos

Una mejor práctica valiosa para asegurar la precisión de los datos es file integrity monitoring (FIM). FIM ayuda a las organizaciones a detectar cambios indebidos en archivos críticos en sus sistemas mediante la auditoría de todos los intentos de acceso o modificación de archivos y carpetas que contienen información sensible, y comprobando si esas acciones están autorizadas.

¿Cómo puede verse comprometida la disponibilidad de los datos?

Las amenazas a la disponibilidad incluyen fallos de infraestructura como problemas de red o de hardware; tiempo de inactividad no planificado del software; sobrecarga de infraestructura; cortes de energía; y ciberataques tales como ataques DDoS o de ransomware.

¿Qué medidas pueden ayudar a preservar la disponibilidad de los datos?

Es importante implementar salvaguardas contra interrupciones en todos los sistemas que requieren un tiempo de actividad continuo. Las opciones incluyen redundancia de hardware, failover, clustering y copias de seguridad rutinarias almacenadas en una ubicación geográficamente separada. Además, es crucial desarrollar y probar un plan de recuperación de desastres integral.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Ryan Brooks

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad