Ya sea abriendo un puerto de firewall, relajando un permiso en un depósito S3 (S3 Bucket) o enviando un documento confidencial a una dirección de correo electrónico privada, las personas a menudo intentan eludir los controles de seguridad de la información con la «sacrosanta intención de hacer las cosas bien». Desafortunadamente, estas buenas intenciones terminan dando como resultado violaciones de datos en repetidas ocasiones, muchas de las cuales podrían evitarse. Una de las razones por lo que sucede esto radica en la forma en que los profesionales de seguridad de la información utilizan la Tríada CID (CIA-Confidencialidad, Integridad, Disponibilidad por su sigla en idioma inglés) para diseñar los controles de seguridad. Al aumentar el énfasis en la Tríada CID/CIA, los profesionales de seguridad de la información olvidan el daño que algunos de estos controles pueden causar a la experiencia humana y crean una tentación implícita para que otros eludan esos controles. Es hora de reconocer este problema y hacer modificaciones para remediarlo.

¿Qué es la Tríada de Seguridad de la Información de la CID/CIA?

La Tríada se basa en los principios y objetivos fundamentales de cualquier programa de seguridad de la información. A lo largo del tiempo ha hecho un excelente trabajo al explicar la seguridad de la información a los recién llegados al campo y explicar los objetivos de seguridad a otros. 

La tríada de la CIA de seguridad de la información
Fuente: https://rafeeqrehman.com/wp-content/uploads/2022/02/blog-rafeeqrehman-CIA-triad.png

En resumen:

  1. La confidencialidad trata de garantizar que la información permanezca protegida y solo se divulgue a las personas que necesitan conocerla.
  2. La integridad se basa en la idea de que no se realiza ningún cambio no autorizado en la información, los sistemas ni las redes para proteger la confianza en la precisión de la información y otros sistemas de TI.
  3. Disponibilidad : la información, los sistemas, las redes y otros recursos permanecen disponibles ante ataques cibernéticos, desastres naturales y otros eventos imprevistos.

Hay numerosos artículos escritos sobre este tema y no voy a entrar en detalles, excepto mencionar un aspecto crucial: se necesita un equilibrio en las tres partes de la Tríada, ya que el énfasis excesivo en una puede afectar a las demás . Por ejemplo, la sobreprotección de la confidencialidad puede afectar negativamente a la disponibilidad .

Sin una buena experiencia humana,
la Tríada le está fallando a la profesión

De una forma u otra, directa o indirectamente, en última instancia, las personas tienen que interactuar con los controles de seguridad diseñados por los departamentos de seguridad de la información. Somos dolorosamente conscientes del hecho de que muchas veces los equipos de seguridad se consideran un obstáculo en lugar de un facilitador del negocio debido a estos controles. Estoy seguro que muchos de nosotros hemos escuchado citas como «la seguridad es donde las ideas van a morir«. Si profundizamos en esta noción y tratamos de indagar por qué sucede, fácilmente nos daremos cuenta que el elemento que falta en el diseño de controles de seguridad es olvidar la experiencia humana.

Con muy buenas intenciones y sin dejar de lado la experiencia humana, a veces los profesionales de la seguridad aún se dejan llevar por la implementación estricta de la Tríada CID/CIA en el diseño de los controles de seguridad. La razón es que el elemento humano no forma parte de los principios y objetivos básicos (Confidencialidad, Integridad y Disponibilidad). Dado que la Tríada de la CID/CIA es siempre el centro de atención del diseño de estos controles, es hora de cambiarla.

¿Cómo podemos redefinir
la Tríada de Seguridad de la Información?

Si bien podría haber varias formas diferentes de llevar la noción de experiencia humana a la Tríada de la CIA, una de las más simples puede ser poner la experiencia humana en el centro, como se muestra en el diagrama a continuación.

Otra opción es cambiar la tríada a cuarteto. La importancia de tener en cuenta la experiencia humana es lo suficientemente alta como para hacer este cambio.

Ahora, simplemente cambiar la forma de presentación de la Tríada no es suficiente a menos que este cambio esté acompañado de su integración a los programas de capacitación en seguridad de la organización y de una clara definición de qué entendemos por «experiencia humana» y cómo determinadas acciones la afectan, positiva o negativamente. Las principales organizaciones de certificación de seguridad como ISC2, ISACA y otras también deben incluirlo en los objetivos de aprendizaje para los exámenes de certificación.

La mejora continua de la profesión de seguridad de la información basada en lo que aprendemos de nuestras experiencias es una parte esencial del progreso. La falta de consideraciones sólidas sobre la experiencia humana constituye una deficiencia en el estado actual de las cosas y debe abordarse, comenzando con un cambio fundamental en la Tríada de Seguridad de la Información.

________________________________

Traducido y Publicado en idioma castellano por CIBERPRISMA con expresa autorización de su autor, Rafeeq Rehman.-

Enlace al artículo original: