Hexada Parkeriana

La hexada Parkeriana es un conjunto de seis elementos de seguridad de la información propuestos por Donn B. Parker en 1998. La hexada Parkeriana añade tres atributos adicionales a los tres atributos de seguridad clásicos de la tríada CIA (confidencialidad, integridad, disponibilidad).

Los atributos de la hexada parkeriana son los siguientes:

• Confidencialidad
• Posesión o control
• Integridad
• Autenticidad
• Disponibilidad
• Utilidad

Estos atributos de la información son atómicos en el sentido de que no se descomponen en otros componentes; no se superponen en el sentido de que se refieren a aspectos únicos de la información. Cualquier violación de la seguridad de la información puede describirse como una violación de uno o más de estos atributos fundamentales de la información.

Atributos de la tríada de la CIA

Confidencialidad

La confidencialidad se refiere a los límites que se aplican a quién puede obtener qué tipo de información. Por ejemplo, a los ejecutivos les preocupa proteger los planes estratégicos de su empresa de los competidores; a las personas les preocupa el acceso no autorizado a sus registros financieros.

Integridad

La integridad se refiere a la corrección o coherencia con el estado previsto de la información. Cualquier modificación no autorizada de los datos, ya sea deliberada o accidental, constituye una violación de la integridad de los datos . Por ejemplo, se espera que los datos almacenados en un disco sean estables; no se supone que se modifiquen al azar por problemas con un controlador de disco . De manera similar, se supone que los programas de aplicación registran la información correctamente y no introducen desviaciones de los valores previstos.

De Donn Parker: "Mi definición de integridad de la información proviene de los diccionarios. Integridad significa que la información es completa, sólida y sin imperfecciones (no necesariamente correcta). Significa que no falta nada en la información, que está completa y en el orden previsto". La declaración del autor se acerca al decir que la información está en un estado correcto. La información puede ser incorrecta o no auténtica pero tener integridad o ser correcta y auténtica pero carecer de integridad. ^[1]

Disponibilidad

Disponibilidad significa tener acceso oportuno a la información. Por ejemplo, una falla de disco o ataques de denegación de servicio pueden causar una violación de la disponibilidad. Cualquier demora que exceda los niveles de servicio esperados para un sistema puede describirse como una violación de la disponibilidad.

Atributos añadidos de Parker

Autenticidad

La autenticidad se refiere a la veracidad de la afirmación sobre el origen o la autoría de la información. Por ejemplo, un método para verificar la autoría de un documento escrito a mano consiste en comparar las características de escritura del documento con una muestra de otros que ya han sido verificados. En el caso de la información electrónica, se podría utilizar una firma digital para verificar la autoría de un documento digital mediante criptografía de clave pública (también se podría utilizar para verificar la integridad del documento).

Posesión o control

Posesión o control: Supongamos que un ladrón robara un sobre cerrado que contenía una tarjeta de débito bancaria y su número de identificación personal. Incluso si el ladrón no hubiera abierto el sobre, es razonable que la víctima se preocupe de que el ladrón pueda hacerlo en cualquier momento. Esa situación ilustra una pérdida de control o posesión de información, pero no implica una violación de la confidencialidad.

Utilidad

Utilidad significa utilidad. Por ejemplo, supongamos que alguien cifra los datos en un disco para impedir el acceso no autorizado o las modificaciones no detectadas y luego pierde la clave de descifrado: eso sería una violación de la utilidad. Los datos serían confidenciales, controlados, íntegros, auténticos y disponibles; simplemente no serían útiles en esa forma. De manera similar, la conversión de datos salariales de una moneda a una moneda inapropiada sería una violación de la utilidad, al igual que el almacenamiento de datos en un formato inapropiado para una arquitectura informática específica; por ejemplo, EBCDIC en lugar de ASCII o cinta magnética de 9 pistas en lugar de DVD-ROM. Una representación tabular de datos sustituida por un gráfico podría describirse como una violación de la utilidad si la sustitución hiciera más difícil la interpretación de los datos. La utilidad se confunde a menudo con la disponibilidad porque las violaciones como las descritas en estos ejemplos también pueden requerir tiempo para solucionar el cambio en el formato o la presentación de los datos. Sin embargo, el concepto de utilidad es distinto del de disponibilidad.

Véase también

• Tríada de la CIA

Referencias

1. Hintzbergen, Jule; Hintzbergen, Kees; Baars, Hans; Smulders, André (2010). Fundamentos de Seguridad de la Información Basados ​​en Iso27001 e Iso27002 . Mejores prácticas. Editorial Van Haren. pag. 13.ISBN​ 978-90-8753-568-1.

Enlaces externos

• Admisibilidad, Autenticación, Autorización, Disponibilidad, Modelo de autenticidad
• http://veriscommunity.net/attributes.html
• Publicación especial 800-33 del NIST Modelos técnicos subyacentes para la seguridad de la tecnología de la información, recomendaciones del Instituto Nacional de Estándares y Tecnología

Lectura adicional

• Pender-Bey, George. "La Héxada Parkeriana, el modelo de tríada de la CIA ampliado - Tesis de maestría" (PDF) .
• Parker, Donn B. (1998). La lucha contra el delito informático . Nueva York, NY: John Wiley & Sons . ISBN 0-471-16378-3.La obra en la que Parker introdujo este modelo.
• Parker, Donn B. (2002). "Hacia un nuevo marco para la seguridad de la información". En Bosworth, Seymour; Kabay, ME (eds.). The Computer Security Handbook (4.ª ed.). Nueva York, NY: John Wiley & Sons. ISBN 0-471-41258-9.