Los componentes básicos de la seguridad de la información se resumen con mayor
frecuencia en la llamada tríada CIA: confidencialidad, integridad y disponibilidad.
La confidencialidad es quizás el elemento de la tríada que más inmediatamente
le viene a la mente cuando piensa en la seguridad de la información. Los datos son confidenciales cuando solo pueden hacerlo aquellas personas que están autorizadas a acceder a ellos; Para garantizar la confidencialidad, debe poder identificar quién está tratando de acceder a los datos y bloquear los intentos de quienes no tienen autorización. Las contraseñas, el cifrado, la autenticación y la defensa contra ataques de penetración son técnicas diseñadas para garantizar la confidencialidad. Integridad significa mantener los datos en su estado correcto y evitar que sean modificados indebidamente, ya sea por accidente o maliciosamente. Muchas de las técnicas que garantizan la confidencialidad también protegerán la integridad de los datos; después de todo, un pirata informático no puede cambiar los datos a los que no puede acceder, pero existen otras herramientas que ayudan a brindar una defensa de la integridad en profundidad: las sumas de comprobación pueden ayudarlo a verificar los datos la integridad, por ejemplo, y el software de control de versiones y las copias de seguridad frecuentes pueden ayudarlo a restaurar los datos a un estado correcto si es necesario. La integridad también cubre el concepto de no repudio : debe poder demostrar que ha mantenido la integridad de sus datos, especialmente en contextos legales. La disponibilidad es la imagen reflejada de la confidencialidad: si bien debe asegurarse de que usuarios no autorizados no puedan acceder a sus datos, también debe asegurarse de que puedan acceder a ellos quienes tengan los permisos adecuados. Asegurar la disponibilidad de los datos significa hacer coincidir los recursos informáticos y de red con el volumen de acceso a los datos que espera e implementar una buena política de respaldo para fines de recuperación ante desastres.
En un mundo ideal, sus datos siempre deben mantenerse confidenciales, en su estado
correcto y disponibles; En la práctica, por supuesto, a menudo debe tomar decisiones sobre qué principios de seguridad de la información enfatizar, y eso requiere evaluar sus datos. Si está almacenando información médica confidencial, por ejemplo, se centrará en la confidencialidad, mientras que una institución financiera podría enfatizar la integridad de los datos para asegurarse de que la cuenta bancaria de nadie sea acreditada o debitada incorrectamente.
Política de seguridad de la información
Los medios por los cuales estos principios se aplican a una organización toman la forma de una política de seguridad. No se trata de una pieza de hardware o software de seguridad; más bien, es un documento que elabora una empresa, basándose en sus propias necesidades y peculiaridades específicas, para establecer qué datos deben protegerse y de qué manera. Estas políticas guían las decisiones de la organización en torno a la adquisición de herramientas de ciberseguridad y también exigen el comportamiento y las responsabilidades de los empleados.