Tríada de la CIA + Acceso a los datos de la empresa

La tríada de la CIA: Establecimiento de una base común para el acceso de los usuarios a los datos de la empresa (Escrito por Wes Blackwell(Forsyte I.T. Solutions)

Una cuestión a la que muchas organizaciones, gubernamentales o privadas, deben enfrentarse en algún momento es qué hacer con sus datos y sistemas. ¿Cómo empezar a evaluar sus prácticas y las necesidades de sus clientes? Un método fiable para establecer una línea de base común para el acceso de los usuarios a los datos de la empresa es el Tríada de la CIA. Este método de evaluación ayuda a poner en práctica los conceptos de confidencialidad, integridad y disponibilidad. Veamos esto más de cerca.

Confidencialidad es proteger los datos de la empresa que más significan para su organización. Nadie quiere que sus datos queden expuestos al público, especialmente si son sensibles. Las violaciones de datos son, por desgracia, más comunes de lo que deberían en el ambiente actual.

Algunas formas sencillas de aumentar la confidencialidad de los datos son:

1. Formar adecuadamente a los empleados en el manejo de los datos de la empresa.

2. Reforzar la seguridad física de cualquier empresa facilita.

3. Implementar las políticas de la empresa para la protección de datos, como Azure Information Protection.

La siguiente práctica de la tríada de la CIA es Integridad. Esta práctica consiste en mantener todos los datos de la empresa a salvo de manipulaciones externas y en registrar todos los cambios. Las auditorías y los registros de acceso son fundamentales si una organización guarda información sensible, especialmente si esos datos son muy valiosos o contienen información de clientes que podría violar las leyes si se divulga (como la información médica). Si los usuarios acceden a cualquier información crítica/sensible para su empresa, los registros deben guardarse y almacenarse en un lugar seguro para su futura revisión. Si hay que transportar o acceder físicamente a los sistemas, los custodios de los datos deben realizar auditorías y el equipo de seguridad debe revisarlas. La integridad de los datos, la seguridad de que no se ha manipulado nada, debe mantenerse siempre.

La última parte de la tríada de la CIA es Disponibilidad. Se trata de asegurarse de que los datos de la empresa estén disponibles cuando más se necesiten, con redundancia y con una conmutación por error constante en caso de fallo catastrófico. Los administradores de sistemas también deben asegurarse de que todo el hardware se mantiene, y de que todas las actualizaciones se inspeccionan, aprueban y aplican. Si la información importante es necesaria para el éxito de la empresa y el desarrollo de la confianza entre sus clientes, entonces es crucial que esta información esté disponible siempre que se necesite.

Una cosa que yo personalmente recomendaría es buscar el traslado a la nube para una fácil aplicación de todas las prácticas mencionadas anteriormente. Sistemas como Azure permiten establecer políticas empresariales claras y coherentes de forma rápida y precisa en una plataforma de confianza con una de las mayores empresas del mundo. Azure puede crear RBAC y la pertenencia a grupos para que sólo el personal autorizado pueda acceder a la información sensible. La protección de la información de Azure puede establecer políticas empresariales claras para clasificar los datos de la empresa y cifrar la información más sensible. La redundancia puede configurarse en cuestión de minutos para cualquier servidor, y los programas personalizados son fáciles de crear. Y lo mejor es que los registros de auditoría se guardan automáticamente y se pueden exportar fácilmente para el mantenimiento de registros físicos.

Analizar y acceder a un entorno es una parte crucial de la evolución de una organización a lo largo de su vida. Evaluar las necesidades de la organización y cómo manejar mejor sus datos entre sus trabajadores y clientes seguirá siendo un proceso constante para cualquier empresa.

El Tríada de la CIA es un método fácil y probado modelo de análisis. En realidad es un plano de planta para creando una mejor postura de seguridad en general. Cualquier amenaza o preocupación potencial para una organización puede ser sopesada con este modelo para determinar adecuadamente una evaluación de riesgos y planes de contingencia para mitigar cualquier pérdida potencial de funcionalidad crítica.

Póngase en contacto con Forsyte I.T. Solutions para discutir la configuración de acceso de los usuarios y las operaciones de TI: info@fit-prod-web01.azurewebsites.net.