Documentos de Académico
Documentos de Profesional
Documentos de Cultura
seguridad de
la información
• La extensión de la triada
CIA, más famosa fue
creada por Donn B.
Parker
Extensiones de la
triada CIA
• Confidencialidad: Los límites
sobre quién tiene acceso a la
información
• Integridad: Si la información
se encuentra en su estado
previsto
• Disponibilidad: Si la
información puede ser
accedida de manera
oportuna
Extensiones de la
triada CIA
• Autenticidad: La correcta
atribución de la persona que
creó la información
• Utilidad: La utilidad de la
información
• Posesión o control: El estado
físico donde se mantiene la
información
• El control se refiere a la
disposición física de los medios
en los que se almacenan los
datos. Esto nos permite, sin
CONTROL
involucrar otros factores como
la disponibilidad, discutir
nuestra pérdida de datos en su
medio físico.
• Esto es fundamental en el
entorno actual, donde los datos
CONTROL pueden estar en varios
dispositivos y puede haber
numerosas versiones
• Ejemplo: Un computador de un
ejecutivo es robado. Si el disco
duro se encuentra encriptado
CONTROL
es un problema de control, si no
es un problema de
confidencialidad
• La autenticidad nos permite
hablar de la atribución
AUTENTICIDAD adecuada en cuanto al
propietario o creador de los
datos en cuestión.
• Por ejemplo, si enviamos un
mensaje de correo electrónico
que está alterado de modo que
parezca que proviene de una
AUTENTICIDAD dirección de correo electrónico
diferente a aquella desde la que
realmente se envió, estaríamos
violando la autenticidad del
correo electrónico
• La utilidad se refiere a la
utilidad de los datos para
nosotros. La utilidad es también
UTILIDAD el único principio del hexágono
Parkeriano que no es
necesariamente de naturaleza
binaria.
• Podemos tener una variedad de
grados de utilidad,
dependiendo de los datos y su
UTILIDAD formato. Este es un concepto
algo abstracto, pero resulta útil
para discutir ciertas situaciones
en el mundo de la seguridad.
¿Que se busca?
• La práctica de
seguridad de la
información existe
para respaldar a la
organización en el
logro de sus
objetivos.
¿Que se busca?
• la práctica de seguridad de la
información debe tener en cuenta el
entorno de liderazgo organizacional,
la tolerancia al riesgo corporativo,
las expectativas de cumplimiento,
las tecnologías y prácticas nuevas y
heredadas, y un conjunto de
amenazas en constante evolución.
Debida diligencia
• Este concepto legal espera que estas
personas aborden cualquier riesgo
como lo haría una persona razonable
dadas las mismas circunstancias.
Esta prueba del "individuo
razonable" generalmente se
considera que incluye el
conocimiento del entorno de
cumplimiento, actuar de buena fe y
dentro de los poderes del cargo, y
evitar conflictos de interés.
Debida diligencia
• Las fallas de seguridad
pueden llevar a
consecuencias legales y
económicas. La
organización y sus
miembros puede llegar a
ser hallada responsable
Debida diligencia
• Se debe demostrar que se
tomaron medidas y se
aplicaron controles
razonables de acuerdo al
contexto para asegurar la
información
Ejemplos
• Supongamos que una empresa de
tecnología, XYZ Inc., maneja
información confidencial de sus
clientes, incluyendo detalles sobre
proyectos en desarrollo,
estrategias comerciales y datos
personales. En este entorno, el
principio de confidencialidad es
fundamental para proteger la
información sensible y mantener
la confianza de los clientes.
Ejemplos
• Un día, un empleado descontento de
Z Inc., que tiene acceso a
información confidencial debido a
sus responsabilidades laborales,
decide vengarse por una reciente
disputa laboral. Este empleado, sin
la autorización adecuada, accede a
la base de datos de clientes y extrae
detalles confidenciales, como planes
futuros de productos, estrategias de
marketing y la información personal
de algunos clientes.
Ejemplos
• El empleado, con la intención de
perjudicar a la empresa, divulga
esta información confidencial a
competidores y medios de
comunicación. Como resultado, la
competencia de Z Inc. obtiene
información privilegiada sobre
próximos lanzamientos de
productos, estrategias comerciales
y detalles internos, lo que podría
afectar significativamente la
posición competitiva de la empresa.
Ejemplos
• En este escenario, se viola el principio
de confidencialidad, ya que el empleado
no solo accede de manera no autorizada
a la información confidencial, sino que
también la divulga de manera maliciosa,
comprometiendo la seguridad de la
empresa y generando repercusiones
negativas tanto para Z-inc. como para
sus clientes. La falta de controles
adecuados y la mala conducta del
empleado condujeron a la violación de
la confidencialidad y a consecuencias
perjudiciales para la empresa y sus
partes interesadas.
Ejemplos
• Imaginemos una institución
financiera, Banco de Medellín,
que utiliza un sistema informático
para gestionar las transacciones
de sus clientes, asegurando la
integridad de los datos
financieros. La integridad en este
contexto implica que los datos
financieros deben mantenerse
precisos y sin manipulaciones no
autorizadas.
Ejemplos
• Un día, un hacker talentoso logra
infiltrarse en el sistema del Banco
de Medellín mediante una
vulnerabilidad de seguridad. Una
vez dentro, el hacker altera los
saldos de algunas cuentas
bancarias, incrementando o
disminuyendo arbitrariamente las
cifras. Además, manipula las tasas
de interés de algunos productos
financieros, como préstamos y
cuentas de ahorro.
Ejemplos
• El impacto de estas manipulaciones
es significativo. Los clientes
afectados podrían enfrentar cargos
indebidos, experimentar pérdidas
financieras o, en el caso de
préstamos, recibir información
errónea sobre las tasas de interés
aplicadas. Además, la confianza de
los clientes en la integridad del
sistema bancario se vería
comprometida, lo que podría resultar
en pérdida de clientes y daño a la
reputación del Banco de Medellín.
Ejemplos
• El impacto de estas manipulaciones
es significativo. Los clientes
afectados podrían enfrentar cargos
indebidos, experimentar pérdidas
financieras o, en el caso de
préstamos, recibir información
errónea sobre las tasas de interés
aplicadas. Además, la confianza de
los clientes en la integridad del
sistema bancario se vería
comprometida, lo que podría resultar
en pérdida de clientes y daño a la
reputación del Banco A.
Ejemplos
• Imaginemos una empresa de
comercio electrónico, E-Mercado,
que depende en gran medida de su
plataforma en línea para realizar
transacciones y atender a sus
clientes. La disponibilidad en este
contexto se refiere a la capacidad
de la plataforma para estar
operativa y accesible en todo
momento, permitiendo a los
clientes realizar compras y
acceder a servicios.
Ejemplos
• En un día de alto tráfico, por
ejemplo, Black Friday, E-
Mercado experimenta una
avalancha de usuarios en su sitio
web. Sin embargo, la empresa no
ha implementado medidas de
escalabilidad suficientes para
manejar picos de tráfico
significativos.
Ejemplos
• Como resultado, el servidor de E-
Mercado se ve sobrecargado y
experimenta una caída en su
rendimiento. Los clientes
experimentan tiempos de carga
lentos, errores en las transacciones y,
en algunos casos, la imposibilidad de
acceder al sitio web. Esta falta de
disponibilidad afecta directamente la
capacidad de la empresa para
completar transacciones y satisfacer
las necesidades de los clientes en un
momento crucial.
Ejercio
• En equipos de máximo 3
personas. Hacer un documento
con un caso donde exista
violación del principio de
confidencialidad, otro caso donde
se viole el principio de integridad
y otro donde se viole el de
disponibilidad. No se puede
repetir los de la presentación
Fuentes bibliográficas
• Warsinske, J., Graff, M., Henry, K., Hoover,
C., Malisow, B., Murphy, S., Oakes, C. P.,
Pajari, G., Parker, J. T., & Seidl, D.
(2019). The official (ISC)2 guide to the
CISSP CBK reference the official (ISC)2
guide to the CISSP CBK reference: Certified
information systems security
professional (5a ed.). John Wiley & Sons.
• Vega Briceño, E. (2021). Seguridad de la
información. Editorial Científica 3Ciencias.