CursosEmpresasBlogLiveConfPrecios

Contenido del curso

Tomar examen

Los tres pilares de la seguridad de la información

Resumen

Toda la información que maneja una organización puede verse afectada de exactamente tres formas: puede ser robada, puede ser alterada o puede desaparecer. No existe una cuarta vía secreta, y todo el campo de la seguridad de la información se construye sobre la prevención de esas tres amenazas. El marco que las agrupa se conoce como CIA —no la agencia de espionaje, sino las siglas de confidentiality, integrity y availability— y dominar estos tres pilares permite que cualquier otro concepto de seguridad encaje con claridad.

¿Qué significa confidentiality y por qué no basta con la tecnología?

La confidencialidad garantiza que la información solo sea accesible para las personas autorizadas [0:38]. La analogía es directa: una caja fuerte de banco cuya combinación solo conocen ciertas personas. Si alguien no autorizado la abre, el daño es real e inmediato.

En la práctica, las organizaciones aplican múltiples capas de protección:

  • NDAs (non-disclosure agreements): acuerdos de confidencialidad que cada empleado firma desde el primer día [1:05].
  • Cifrado de dispositivos: si un portátil o teléfono se pierde, el contenido permanece inaccesible; el incidente se convierte en un trámite costoso, no en una filtración de datos [1:12].
  • Controles de seguridad en la nube: monitorización del flujo de datos hacia servicios como AWS o Microsoft Azure [1:22].

Sin embargo, los controles técnicos por sí solos no son suficientes [1:30]. Un sistema perfectamente cifrado resulta inútil si un empleado envía un archivo sensible a la dirección de correo equivocada —una brecha accidental—. También existen las amenazas internas intencionales, empleados que filtran datos deliberadamente, y los ciberdelincuentes externos que atacan las defensas de forma constante [1:42]. Cuando la confidencialidad se rompe, las consecuencias van más allá de la pérdida de datos: llegan sanciones legales y la reputación se desploma.

¿Cómo protege la integrity la veracidad de los datos?

La integridad es la garantía de que la información permanece verdadera y sin alteraciones [2:05]. Pensemos en un sobre sellado: se envía una carta con cifras a un socio, alguien la intercepta, cambia los números y la vuelve a sellar. El socio toma decisiones basándose en información falsa.

En el mundo digital, el cifrado actúa como un sello a prueba de manipulaciones [2:22]. Si alguien modifica datos en tránsito, el cambio se vuelve detectable. Dos situaciones rompen la integridad:

  • Alteración intencional: alguien cambia cifras dentro de un archivo de forma deliberada [2:32].
  • Borrado parcial: fragmentos de datos desaparecen, dejando algo que parece completo pero ya no es fiable [2:38].

¿Por qué la availability es engañosamente simple pero crítica?

La disponibilidad exige que la información y los sistemas estén accesibles cuando se necesitan [2:48]. Una tienda que cierra sus puertas en plena jornada laboral pierde clientes, recibe quejas en redes sociales y deja de facturar. Para una plataforma online, incluso un solo día de caída desencadena la misma cascada de problemas.

Las amenazas principales son:

  • Errores de configuración: una línea de código incorrecta puede dejar todo fuera de servicio de forma accidental [3:10].
  • Ransomware: un ataque que equivale a que un criminal cambie las cerraduras de tu negocio y exija un pago por las llaves [3:18].

¿Cómo se convierte CIA en una herramienta de gestión real?

El verdadero poder del marco CIA aparece al mapear cada proceso de negocio —registro de estudiantes, procesamiento de pagos, transferencia de archivos— contra los tres pilares [3:38]. Las preguntas clave son: ¿debe estar siempre disponible? ¿Los datos deben llegar sin modificar? ¿Solo ciertas personas deberían verlo?

Ese mapeo impulsa decisiones fundamentales:

  • Cómo se clasifican los incidentes de seguridad.
  • Cómo se construye el plan de continuidad de negocio (business continuity plan).
  • Cómo se fija el recovery time objective (RTO): la velocidad con la que se restaura el servicio [3:55].
  • Cómo se define el recovery point objective (RPO): cuánta pérdida de datos se puede tolerar [4:00].

¿Qué papel juegan la privacidad y las certificaciones?

Un nombre más un correo electrónico pueden ser suficientes para identificar físicamente a una persona [4:10]. Regulaciones como el GDPR y la LOPDGDD en España exigen legalmente proteger los datos personales en las tres dimensiones: confidencialidad, integridad y disponibilidad [4:18]. La seguridad realiza el trabajo diario, la auditoría confirma que se hace correctamente y las certificaciones convierten esa prueba en algo oficial [4:28].

Reflexiona un momento: de estos tres pilares, ¿cuál provocaría el mayor daño en tu organización si se quebrara hoy? Comparte tu respuesta y analiza cómo tus procesos actuales cubren —o dejan expuesto— cada uno de ellos.