En numerosas ocasiones, analizar las problemáticas como disyuntivas del estilo “o esto o lo otro”, adoptando posturas extremas, puede llevar a consecuencias indeseadas, siendo una alternativa superadora la búsqueda de un equilibrio.
En ciberseguridad, se suelen presentar dilemas entre dos o más opciones. En el presente artículo, se expondrán dos ejemplos.
El triángulo de la seguridad informática: confidencialidad, disponibilidad, integridad
Se trata de la tríada más conocida. Si bien pueden presentarse de varias maneras (pilares, objetivos, propiedades, principios) su importancia es indiscutible.
- Confidencialidad refiere que la información solo debe ser conocida por las personas que están debidamente autorizadas y registradas. Por tal motivo, el objetivo consiste en prevenir que la información no sea divulgada sin autorización.
- Integridad implica evitar que la información sea manipulada o alterada por personas o procesos no autorizados. Es decir, asegurar su completitud y exactitud.
- Disponibilidad, por último, es quizás el término más claro: debemos poder acceder a la información cuando lo necesitemos, a través de los medios adecuados.
A simple vista, puede inferirse un conflicto de interés entre confidencialidad y disponibilidad. Por ejemplo, un empleado que, para hacer su trabajo, necesite acceder a un archivo protegido con contraseña. También hay conflictos entre confidencialidad e integridad: la información confidencial podría no ser íntegra (es decir, completa y exacta) debido a que la confidencialidad podría impedir la realización de adecuados procedimientos de revisión y control. Asimismo, una información que esté disponible sin restricciones, podría afectar significativamente su integridad.
El triángulo del coste: seguridad, funcionalidad, usabilidad
Esta tríada se suele utilizar particularmente en desarrollo de software, pero también es aplicable como concepto en la seguridad informática.
En el extremo, la red más segura es la que permanece cerrada. Claro está, una empresa de venta online no tendría razón de ser, ya que la usabilidad de su plataforma web sería nula.
Siguiendo el mismo ejemplo, si la plataforma web tuviera centenares de funcionalidades sin organización y difíciles de entender, la usabilidad se vería seriamente afectada y, probablemente, también su seguridad.
Buscar un equilibrio
El objetivo de presentar estas dos tríadas es el mismo: en ambos casos, se pone de manifiesto la búsqueda de un difícil equilibrio entre fuerzas a veces opuestas.
En ciberseguridad, como sucede en otras ramas, darle demasiada importancia a un elemento de un sistema puede desequilibrar otros, por encontrarse interrelacionados. Para ello es que se necesita un enfoque lo suficientemente abarcativo, sin restricciones en exceso ni en defecto.
El desafío consiste, por lo tanto, en ponderar adecuadamente el riesgo y acertar en las decisiones, a fin de obtener los resultados esperados.