En el ámbito de la Seguridad de la Información se definen fundamentalmente tres principios básicos: Confidencialidad, Integridad y Disponibilidad. Aunque es cierto que también podemos considerar otras propiedades como “no repudio”, “autenticación”, “trazabilidad”, etc., vamos a centrarnos en estos tres principios fundamentales, conocidos en inglés como “CIA triad” (tríada CIA, por Confidentiality, Integrity, Availability).
- La Confidencialidad permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.
- La Integridad garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.
- La Disponibilidad asegura que la información está accesible en un momento preciso y para las personas que la necesitan.
En los sistemas IT corporativos -los que se ocupan de los sistemas y el software de “negocio” (ERP, Base de datos de clientes, CRM, …)- la puesta en práctica de los principios de la tríada CIA viene cumpliéndose en ese mismo orden de importancia: Confidencialidad, Integridad, Disponibilidad. Cuando hablamos de protección de la información, es habitual -por ejemplo- que una de las primeras medidas a implementar sea el cifrado de datos (medida directamente relacionada con la Confidencialidad).
Ahora bien, cuando nos adentramos en el área de seguridad de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) la perspectiva puede ser diferente. Los sistemas ICS están formados por dispositivos y redes que controlan los procesos industriales, y entiéndase aquí el término “industrial” en su sentido más amplio. En concreto, para el caso que nos ocupa, podemos pensar en cualquier Infraestructura Crítica como Energía o Transportes, o en los dispositivos relacionados con “Internet of Things” (IoT) o en todo lo relativo a Smart Cities, por ejemplo.