¿Qué es el aseguramiento de la información?
La mayoría de las organizaciones confían en la información que se almacena y se accede electrónicamente, a través de cualquier número de sistemas y redes de información. Con el almacenamiento y la accesibilidad de la información crítica a través de medios electrónicos viene el riesgo inherente de cómo se almacena y accede a esa información, por quién y para qué fines. El aseguramiento de la información (IA) es el término utilizado para definir las prácticas y los procesos involucrados en la gestión de los riesgos asociados para mitigar efectivamente el daño potencial. Existen tres modelos de aseguramiento de la información de uso común, cada uno de los cuales se basa en su predecesor. Esos modelos incluyen la tríada de la CIA, los Cinco Pilares de IA y el modelo Hexad de Parker.
La tríada de la CIA se considera el primer modelo de aseguramiento de la información introducido para definir prácticas efectivas para garantizar la seguridad e integridad de la información. Basado en tres componentes principales de la gestión de IA, la tríada de la CIA se nombra adecuadamente debido a su énfasis en la confidencialidad, integridad y disponibilidad en el núcleo del modelo. Muchas organizaciones, en particular las agencias de inteligencia militar y civil en los Estados Unidos, confían en la tríada de la CIA para asegurar tanto el almacenamiento como el acceso a datos confidenciales. Si bien este modelo sirve bien como base, omite algunos atributos muy importantes para la administración de IA. Posteriormente, se desarrollaron otros modelos para tener en cuenta esas dimensiones.
Continuando donde termina el modelo de la tríada de la CIA, el modelo de cinco pilares de aseguramiento de la información agrega algunas otras dimensiones al proceso y los procedimientos diseñados para asegurar la información. Utilizado principalmente por el Departamento de Defensa de los Estados Unidos y varias otras organizaciones gubernamentales, esas dimensiones adicionales incluyen el no repudio y la autenticación. Las organizaciones fuera del gobierno tienden a utilizar un enfoque combinado de estos dos modelos, generalmente poniendo énfasis en los componentes que consideran más importantes para su misión organizacional. Sin embargo, muchas empresas han considerado apropiado incorporar un modelo más completo de gestión de riesgos de aseguramiento de la información y, por lo tanto, el desarrollo de un tercer modelo.
Donn B. Parker es responsable de presentar el Modelo Hexad de aseguramiento de la información de Parker, que se centra en muchas de las mismas atribuciones, al tiempo que agrega un componente adicional y elimina componentes superpuestos. Seis atributos centrales conforman el modelo: confidencialidad, posesión, integridad, autenticidad, disponibilidad y utilidad. Sin embargo, la autenticidad en este modelo difiere de la definición de autenticación utilizada por el modelo de los Cinco Pilares, en referencia a la validez de los datos en todo momento, en lugar de identificar y otorgar acceso a los usuarios. Aunque este modelo no es tan frecuente en la implementación, muchas organizaciones que confían en la información que debe presentarse en su formato y contenido original a menudo lo prefieren. Dichas organizaciones pueden incluir firmas legales que necesitan garantizar que la evidencia asegurada en los casos no haya sido manipulada.