¿Pueden los riesgos de seguridad de la información esencialmente ser evaluados de acuerdo con el triángulo de la CIA (Confidencialidad, integridad y disponibilidad) o existen otras posibilidades?
Hay muchas otras posibilidades.
Tenga en cuenta que la tríada de la CIA no es tanto un modelo para los riesgos de seguridad como lo es para las metas / los objetivos de seguridad. A menudo ha sido criticado por ser demasiado simplista e incompleto. En consecuencia, hay muchos modelos alternativos y extensiones de la tríada de la CIA. Una opción popular es el hexad parkeriano que consiste en confidencialidad , posesión , integridad , autenticidad , disponibilidad y utilidad . Otros han sugerido extenderlo con autenticidad y no repudio al modelo CIAAN.
Si su objetivo principal es modelar el riesgo de amenaza, hay otros modelos a considerar, que aún pueden estar asociados con la tríada de la CIA. Por ejemplo, existe el modelo STRIDE que clasifica las amenazas a través de las categorías spoofing , manipulación , repudio , divulgación de información , denegación de servicio y elevación de privilegios . Aquí está cómo se relaciona con la CIA:
STRIDE es lo que puede hacer un atacante. TID es la versión de ataque de la CIA:
- Los defensores quieren confidencialidad: los atacantes usan la Divulgación de información
- Los defensores quieren integridad: los atacantes usan manipulación indebida
- Los defensores quieren disponibilidad: los atacantes usan Denegación de servicio.
Pero, ¿qué pasa con la falsificación, el rechazo y la elevación de privilegios? Introduzca el ataque no lineal (moderno):
- Spoofing y Elevation of Privilege son los puntos de entrada para abrir las puertas.
- El repudio está cubriendo las huellas del adversario durante el compromiso inicial y el incumplimiento.
Lea otras preguntas en las etiquetas risk-management risk-analysis risk risk-classification