Seleccionar página

A la hora de diseñar un programa robusto que asegure a la información (en una empresa, o en cualquier otro ámbito en donde necesite ser asegurada) y maneje los riesgos relacionados con esta, el framework por defecto es el Cubo de McCumber.
Este es un cubo similar al famoso cubo de Rubik que, en tres de sus caras, muestra lo siguiente:

  • objetivos de la seguridad de la información
  • estados de la información
  • medidas de seguridad de la información

De esta manera, viendo los diferentes aspectos que contiene cada una de las caras tenemos un panorama amplio de los componentes de un sistema de seguridad de la información y, más importante aún, de las relaciones que pueden crearse entre ellos.

Así, el Cubo de McCumber es una aproximación estructurada que analiza todas las facetas de los requerimientos de la seguridad de la información, proveyendo al mismo tiempo un léxico común que puede emplearse para especificar requerimientos, tomar decisiones que mitiguen el riesgo, y desarrollar e implementar salvaguardas.

El desarrollo del Cubo de McCumber fue necesario para definir un modelo preciso no constreñido por cambios organizacionales o técnicos.
En él hay nueve interseciones distintas, cada una con 3 capas de profundidad. Todos los aspectos de la seguridad de los sistemas de información pueden ser vistos dentro del framework de este modelo.

Cubo de McCumber

La metodología de uso del Cubo de McCumber está basada en descomponerlo en sus bloques constitutivos y usarlos como la base para determinar las salvaguardas necesarias para cada estado de la información.
Una vez sea identificado el estado a analizar (Eje Y: Transmisión, Almacenamiento, Procesamiento) se comienza evaluar los aspectos relevantes de la seguridad del sistema (Eje X: Confidencialidad, Integridad, Disponibilidad) que impacten los recursos de información.
El eje Z del cubo define las tres categorías primarias de salvaguardas que pueden ser usadas para asegurar la cantidad apropiada de seguridad (Tecnología, Políticas y Procedimientos, Factores Humanos).

Por ejemplo, para asegurar la confidencialidad apropiada en una transmisión, asignar valores a la información (alta, media, baja) nos ayudará a determinar en que grado se cumplen estos requerimientos de seguridad.
Esto resulta extremadamente útil para realizar comparaciones coste-beneficio.
Siguiendo con el ejemplo, si la información a transmitir tiene un valor alto, se necesitará tecnología y políticas de seguridad para proteger su confidencialidad. Pero probablemente no habrá necesidad de ninguna intervención humana para esta misma tarea.

El Cubo de McCumber es una abreviatura para el paper publicado como “Information Systems Security: A Comprehensive Model”, en Octubre de 1991, escrito por John McCumber.

Share This