En 1991, John McCumber creó un marco modelo para establecer y evaluar programas de seguridad de la información ( garantía de la información ), ahora conocido como The McCumber Cube . Este modelo de seguridad se representa como una cuadrícula similar a un cubo de Rubik en tres dimensiones .
El concepto de este modelo es que, al desarrollar sistemas de aseguramiento de la información , las organizaciones deben considerar la interconexión de todos los diferentes factores que las impactan. Para diseñar un programa robusto de aseguramiento de la información , se deben considerar no solo los objetivos de seguridad del programa (ver más abajo), sino también cómo estos objetivos se relacionan específicamente con los diversos estados en los que la información puede residir en un sistema y la gama completa de seguridad disponible. salvaguardas que deben tenerse en cuenta en el diseño. El modelo McCumber ayuda a recordar considerar todos los aspectos importantes del diseño sin centrarse demasiado en ninguno en particular (es decir, depender exclusivamente de los controles técnicos a expensas de las políticas necesarias y la capacitación del usuario final).
Dimensiones y atributos
Metas deseadas
- Confidencialidad : garantía de que la información confidencial no se divulga de forma intencionada o accidental a personas no autorizadas.
- Integridad : garantía de que la información no se modifica de forma intencionada o accidental de forma que se cuestione su fiabilidad.
- Disponibilidad : garantizar que las personas autorizadas tengan acceso oportuno y confiable a los datos y otros recursos cuando sea necesario.
Estados de información
- Almacenamiento: datos en reposo (DAR) en un sistema de información, tal como el que se almacena en la memoria o en una cinta magnética o disco.
- Transmisión: transferencia de datos entre sistemas de información, también conocida como datos en tránsito (DIT) .
- Procesamiento: realizar operaciones sobre los datos con el fin de lograr un objetivo deseado.
Salvaguardias
- Políticas y prácticas: controles administrativos, como directivas de gestión, que proporcionan una base sobre cómo se implementará el aseguramiento de la información dentro de una organización. (ejemplos: políticas de uso aceptable o procedimientos de respuesta a incidentes), también denominados operaciones .
- Factores humanos: asegurar que los usuarios de los sistemas de información sean conscientes de sus roles y responsabilidades con respecto a la protección de los sistemas de información y sean capaces de seguir los estándares. (ejemplo: capacitación del usuario final sobre cómo evitar infecciones de virus informáticos o reconocer tácticas de ingeniería social), también conocido como personal
- Tecnología : soluciones basadas en software y hardware diseñadas para proteger los sistemas de información (ejemplos: antivirus, cortafuegos, sistemas de detección de intrusos, etc.)
Motivación
Según el sitio web de John McCumber, la idea es hacer retroceder el avance de la seguridad como un arte y respaldarlo con una metodología estructurada que funcione independientemente de la evolución de la tecnología. La base de esta metodología es la interrelación entre la confidencialidad, la integridad y la disponibilidad con el almacenamiento, la transmisión y el procesamiento al aplicar la política, los procedimientos, el lado humano y la tecnología.
Ver también
Referencias
- Evaluación y gestión de riesgos de seguridad en sistemas de TI: una metodología estructurada por John McCumber (autor) [Editorial: Auerbach Publications; 1 edición (15 de junio de 2004)]