¿Por qué la privacidad no es uno de los pilares de la seguridad de la información? [cerrado]

8

Tenemos los tres pilares: confidencialidad, integridad y disponibilidad.

¿Por qué la privacidad no es uno de los tres pilares?

    
pregunta PlayMa256 21.09.2016 - 02:07
fuente

10 respuestas

19

En primer lugar, la CIA (confidencialidad, integridad y disponibilidad) no son objetivos integrales para la seguridad de la información. Otros principios como la privacidad y el no repudio no encajan limpiamente en esta famosa tríada. ISO / IEC 27000: 2009 define la seguridad de la información como:  "Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, otras propiedades , como la autenticidad, la responsabilidad, el no repudio y la confiabilidad también pueden estar involucrados". (énfasis añadido)

Si bien ambos principios dicen que la información personal o confidencial no debe caer en las manos equivocadas, la privacidad y la confidencialidad tienen definiciones ligeramente diferentes, especialmente en una aplicación técnica. ISO 27000 define la confidencialidad como "la propiedad, esa información no se pone a disposición o se divulga a personas, entidades o procesos no autorizados". La clave aquí es "no autorizado". La confidencialidad tiene como objetivo proporcionar una forma confiable de compartir información solo con las personas autorizadas y ocultar información de todas las otras partes sin fugas. Esto también incluye información que podría comprometer otra información confidencial, como el tiempo de CPU y la potencia utilizada durante la criptografía.

La privacidad es un estándar cultural y legal que varía ampliamente, y puede incluir el derecho a ser anónimo, el derecho a elegir a quién se divulga la información, la ausencia de intrusión, el derecho a ocultar información delicada y las limitaciones de acceso. a ciertos objetos personales (como mi disco duro o cámaras en casa). Algunas de estas categorías no solo no están claramente incluidas en la definición de confidencialidad, sino que existen algunas categorías en las que el acceso a la información está autorizado pero aún viola la privacidad.

Por ejemplo, la información médica debe seguir estrictas políticas de privacidad. Si alguna de estas políticas es violada (por ejemplo, médicos desconectados que acceden a los registros médicos o no informan adecuadamente a un paciente sobre cómo se está utilizando su información), esto sería una violación de la privacidad pero no una falla de la seguridad de la información. Si alguien desconectado en otro país pirateó los registros médicos, eso sería una violación de la privacidad y la confidencialidad. De manera similar, se podría establecer una base de datos en los EE. UU. Para permitir que los padres accedan a las calificaciones de los estudiantes universitarios. Si bien esta base de datos podría pasar los controles de seguridad con éxito, violaría las leyes locales de privacidad. Esto se complica por el hecho de que la confidencialidad y la privacidad son sinónimos coloquiales. Se podría decir que la divulgación de calificaciones a los padres es una violación de la confidencialidad, pero desde una perspectiva técnica no se violó la confidencialidad detallada en la política de seguridad.

TL; DR: En infosec, la confidencialidad establece que la información confidencial solo debe ser visible para las partes autorizadas por la política de seguridad, mientras que la privacidad es mucho más compleja y sostiene que la información confidencial solo debe compartirse con las partes previstas. El acceso a la información aún puede violar la privacidad, incluso cuando todos los accesos deben ser autorizados. Esto está bien porque la CIA no es exhaustiva.

    
respondido por el Cody P 21.09.2016 - 18:00
fuente
40

La confidencialidad es generalmente una problema de privacidad . Es solo un término más general.

Es como decir animal en lugar de perro.

Además de las definiciones, puede confirmar eso buscando sinónimos de privacy y sinónimos de confidencialidad . Puede usar la confidencialidad en lugar de la privacidad, pero no lo contrario.

    
respondido por el Simon 21.09.2016 - 02:38
fuente
5

La privacidad es un concepto legal . Varía de un lugar a otro (tanto en contenido como en extensión).

En otras palabras, no es posible definir qué se debe hacer para garantizar la "privacidad". El concepto de garantizar la confidencialidad de datos específicos forma parte de la seguridad (la C en su lista). "Privacidad", cuando se define, puede ser uno de los datos candidatos a confidencialidad.

    
respondido por el WoJ 21.09.2016 - 11:00
fuente
5

Generalmente hablamos de privacidad para datos personales (es mío y no quiero que nadie más lo vea) y confidencialidad para datos profesionales (solo personas autorizadas debería verlo). En ese sentido, la confidencialidad es una generalización de la privacidad.

Por otra parte, la seguridad de TI es una preocupación importante para las organizaciones (o debería ser ...) y los profesionales de la seguridad de TI están principalmente preocupados por la seguridad de las organizaciones.

Por cierto, hay un cuarto pilar, aunque en general no se considera tan importante como los otros 3: trazabilidad (quién hizo qué).

    
respondido por el Serge Ballesta 21.09.2016 - 08:26
fuente
3

Porque la seguridad y la privacidad tienen propiedades diferentes (algunas similares):

  • Propiedades de seguridad: CIA (confidencialidad, integridad, disponibilidad), AAA (autenticación, autorización, responsabilidad), no repudio.
  • Propiedades de privacidad (basadas en la mnemotécnica LINDDUN: Enlace ): Desvinculación, anonimato y seudonimia, denegación plausible, indetectabilidad y inobservabilidad, confidencialidad, conocimiento del contenido, cumplimiento de políticas y consentimiento.

Para que tengan un propósito diferente:

  • Seguridad (Capítulo 11 en Enlace ): capacidad para proteger el sistema contra accidentes o intrusión deliberada.
  • Privacidad (basada en el documento de LINDDUN anterior): capacidad para proteger que la información personal se revele a sujetos no autorizados.

Sin embargo, además de la facilidad de uso, creo que la privacidad también puede considerarse como uno de los principios de diseño seguro. Por ejemplo, el antivirus no solo es utilizable, sino que también debe proteger la privacidad del usuario como la función MAPS para informar automáticamente sobre el malware a Microsoft en Microsoft Security Essential mediante la creación de una declaración de privacidad.

    
respondido por el user6259 21.09.2016 - 10:38
fuente
3

La confidencialidad, la integridad y la disponibilidad se utilizan para describir los atributos de la información y sus significados son bastante claros, en general, las personas encontrarán definiciones ampliamente coherentes. Y aunque la necesidad de mantener esos atributos puede diferir, el significado será el mismo.

La privacidad es un concepto o derecho, e incluso si se considera solo su relevancia para la información, no hay un significado simple que abarque todo, puede significar cosas diferentes para diferentes personas y puede depender del contexto.

El aspecto legal en la respuesta de WoJ es directamente relevante, por ejemplo, por lo que recuerdo en la legislatura del Reino Unido, no existe una definición legal única para la privacidad, solo un precedente contextual, etc.

    
respondido por el R15 21.09.2016 - 11:42
fuente
3

La privacidad a menudo no es tu objetivo

La privacidad no puede ser un pilar de la seguridad de la información porque mantener la privacidad no es un objetivo fundamental de la política de SI. Puede ser un objetivo, pero dependiendo de sus circunstancias, su objetivo puede ser reducir la privacidad.

La seguridad de la información tiene que ver con el diseño e implementación de sistemas para que la información en esos sistemas sea segura y se use solo de acuerdo con algunas políticas. Las violaciones de privacidad, por otro lado, tienen más que ver con el contenido de esa política; a menudo, una violación importante de la privacidad es "trabajar según lo previsto" de acuerdo con las políticas.

Intereses en conflicto

Su privacidad es útil para usted, pero la privacidad de otros puede no serlo. La seguridad de la información en algunas organizaciones se preocupa por proteger los intereses y mitigar los riesgos de esa organización. Por otro lado, la privacidad generalmente concierne a los intereses de personas ajenas a la organización, que pueden ser totalmente opuestas. Una organización puede tener un interés legítimo de violar la privacidad (hasta el punto permitido legalmente) al rastrear a las personas y tomar medidas de anonimización para aumentar las ventas, disminuir el fraude, etc .; o simplemente un motivo de lucro para ganar dinero mediante la venta de datos privados. A IS le preocuparían las violaciones no intencionales de la privacidad / confidencialidad y la mitigación de los riesgos de responsabilidad, relaciones públicas y cumplimiento legal, pero no la protección de los intereses de los demás, siempre que sea de su interés hacerlo.

Requisitos legales para evitar la privacidad

También puede haber requisitos legales para reducir la privacidad y evitar las posibilidades de anonimato o seudónimo. Por ejemplo, la legislación de KYC (conozca a su cliente) en la industria financiera; acuerdos contractuales para proporcionar datos privados (que violan la privacidad) para fines de monitoreo de fraudes, y legislación para identificar y registrar ciertos tipos de usuarios que imponen necesidades de SI que explícitamente son anti-privacidad. Seguirá teniendo inquietudes de confidencialidad sobre estos datos, pero en algunos aspectos los utilizará intencionalmente de manera que infrinja la privacidad.

    
respondido por el Peteris 22.09.2016 - 12:44
fuente
2

Para una comprensión práctica de la diferencia entre privacidad y seguridad, lo dirigiría a OMB Circular A-130 emitida este verano.

El extracto relevante:

  

Si bien la seguridad y la privacidad son disciplinas independientes y separadas, están estrechamente relacionadas, y es esencial que las agencias adopten un enfoque coordinado para identificar y gestionar los riesgos de seguridad y privacidad y cumplir con los requisitos aplicables. "La privacidad va mucho más allá de la CIA y debería no debe confundirse con la seguridad. La privacidad se relaciona con el uso de información de identificación personal, el intercambio de esa información, la transparencia, el aviso, la elección, la participación individual y otras cuestiones relacionadas con la recopilación, creación, uso, procesamiento, almacenamiento, intercambio, transferencia y eliminación de la PII. Los problemas de privacidad surgen en muchos contextos relacionados con la recopilación y el uso de información sobre personas, incluso cuando no hay problemas de seguridad y no hay problemas relacionados con el acceso no autorizado.

    
respondido por el Marc Groman 23.09.2016 - 03:09
fuente
2

En la clasificación de protección de datos, (ISC) ^ 2 distingue "confidencial" y "privado". Ambos se consideran el nivel más alto de información "clasificada" no militar que debe protegerse del público (los niveles inferiores son "sensibles" y "públicos"). Aquí, "privado" se refiere explícitamente a la información relacionada con los seres humanos. Dado que la "seguridad de la información" se relaciona muy a menudo con la seguridad de las empresas, encontrará más referencias a "confidencialidad" que a "privacidad". Lo que Google o Facebook hagan con su información privada no es de importancia central para las empresas.

    
respondido por el kaidentity 21.09.2016 - 11:01
fuente
1

La "Privacidad de X", donde X es algunos datos confidenciales, es la cantidad de control que alguien debería esperar tener de esos datos.

La seguridad proporciona el nivel de control requerido para garantizar esa privacidad. Es decir, los controles que aseguran la confidencialidad esperada, la integridad esperada (es decir, la protección contra el cambio) y la disponibilidad esperada de los datos para ellos mismos u otras partes autorizadas.

    
respondido por el SilverlightFox 22.09.2016 - 13:18
fuente

Lea otras preguntas en las etiquetas