McCumber Cube (El cubo)

por Alex Millà el

La seguridad de la información es un tema crítico en cualquier organización, y la complejidad de los factores que la afectan puede dificultar su gestión efectiva. En 1991, John McCumber creó el McCumber Cube mientras trabajaba en el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, un marco de seguridad de la información que ayuda a las organizaciones a evaluar y establecer iniciativas de seguridad de la información considerando las tres dimensiones interrelacionadas: información, tecnología y organización.

Este modelo ofrece una forma integral y efectiva para abordar los desafíos de la seguridad de la información en las organizaciones modernas.

Este modelo de seguridad tiene tres dimensiones:

  • Los principios fundamentales para proteger los sistemas de información.
  • La protección de la información en cada uno de sus estados posibles.
  • Las medidas de seguridad utilizadas para proteger los datos.

 

    • La confidencialidad es un conjunto de reglas que evita que la información sensible sea revelada a personas no autorizadas, espacio de recursos y procesos. Los métodos utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la autenticación y el control de acceso.
    • La integridad garantiza que la información o los procesos del sistema estén protegidos contra modificaciones intencionales o accidentales. Una forma de garantizar la integridad es utilizar una función hash o suma de comprobación.
    • La disponibilidad significa que los usuarios autorizados pueden acceder a los sistemas y datos cuando y donde sea necesario y aquellos que no cumplen con las condiciones establecidas, no lo son. Esto se puede lograr mediante el manteniendo el equipo, realizando reparaciones de hardware, manteniendo los sistemas operativos y el software actualizados, y creando copias de seguridad .

    • El procesamiento se refiere a los datos que se utilizan para realizar una operación como la actualización de un registro de base de datos (datos en proceso).
    • El almacenamiento se refiere a los datos almacenados en la memoria o en un dispositivo de almacenamiento permanente, como un disco duro, una unidad de estado sólido o una unidad USB (datos en reposo).
    • La transmisión se refiere a los datos que viajan entre sistemas de información (datos en tránsito).

 

    • La concientización, la capacitación y la educaciónson las medidas implementadas por una organización para garantizar que los usuarios estén informados sobre las posibles amenazas a la seguridad y las acciones que pueden tomar para proteger los sistemas de información.
    • La tecnología se refiere a las soluciones basadas en software (y hardware) diseñadas para proteger los sistemas de información como los firewalls, que monitorean continuamente su red en busca de posibles incidentes maliciosos.
    • La política y el procedimiento se refieren a los controles administrativos que proporcionan una base para la forma en que una organización implementa el aseguramiento de la información, como los planes de respuesta a incidentes y las pautas de mejores prácticas.