Confidencialidad, Integridad y Disponibilidad (CID) no son principios de la Seguridad Informática

Resumen

La tríada de Confidencialidad, Integridad y Disponibilidad (CID) es frecuentemente descrita como el conjunto de “principios fundamentales” de la seguridad informática. Esta caracterización, ampliamente difundida en literatura técnica y formativa, carece sin embargo de sustento epistemológico. En el presente artículo se argumenta que CID constituye un conjunto de dimensiones o metas funcionales, pero no principios en sentido normativo. Se propone una taxonomía conceptual más precisa que distingue entre principios, dimensiones, requisitos, elementos y objetivos, y se formulan principios auténticos que pueden orientar de manera más coherente la docencia, el diseño y la gestión de la seguridad informática.

 

  1. Introducción

En el ámbito de la seguridad informática (también llamada seguridad digital), es habitual encontrar afirmaciones según las cuales sus tres “principios fundamentales” son la confidencialidad, la integridad y la disponibilidad. Esta tríada —conocida como CID, o CIA en inglés (Confidentiality, Integrity, Availability)— se ha institucionalizado en programas educativos, normativas internacionales y materiales de formación. No obstante, dicha clasificación incurre en una imprecisión conceptual que conviene revisar: CID no constituye un conjunto de principios en sentido estricto, sino más bien una agrupación de dimensiones clave de la información.

Este artículo aborda críticamente esta interpretación, analizando el concepto de principio desde una perspectiva filosófica y proponiendo una taxonomía conceptual que permita clarificar el lugar que ocupa CID en la arquitectura teórica de la seguridad informática. A partir de esta revisión se plantea una propuesta alternativa que incluye algunos candidatos a auténticos principios de la seguridad, con capacidad explicativa y prescriptiva.

En los anexos 1 y 2 se citan fuentes que mencionan CID como principios, en español y en inglés respectivamente.

 

  1. ¿Qué es un principio?

Un principio es una ley general, una norma orientadora, o una relación sistemática entre elementos. Según el Diccionario de Filosofía de Ferrater Mora (1994), un principio es “una proposición o afirmación que se considera punto de partida fundamental de una ciencia, doctrina o sistema”.

En múltiples disciplinas, el término “principio” no se utiliza de forma arbitraria. Por ejemplo:

  • En ética, el principio de simetría establece que una norma debe aplicarse independientemente de la posición que uno ocupe en un conflicto.
  • En economía, el principio de escasez indica que solo lo escaso tiene valor económico.
  • En hidráulica, el principio de Pascal explica cómo se transmite la presión en los fluidos.
  • En medicina, es conocido el principio de “más vale prevenir que curar” o el principio de “non nocere” (ante todo, no hacer daño).
  • Incluso en profesiones técnicas, como la fontanería, se expresan principios pragmáticos o humorísticos, como “el agua va hacia abajo”, “el cliente siempre tiene la razón” o “el cliente siempre tiene un puesyaque” (pues ya que estás aquí me puedes revisar esta otra cosa).

 

Los principios, por tanto, son ideas rectoras que definen el marco de acción o comprensión de una disciplina. No son meras etiquetas o listas de propiedades deseables.

Es interesante remarcar que no se está pretendiendo argumentar cuáles principios son válidos o correctos. En este texto únicamente se está discutiendo cuál es el tipo de afirmación que puede ser clasificada como “principio” dentro de una disciplina, y en particular, dentro de la seguridad digital. Un principio puede tener múltiples excepciones, puede quedar obsoleto o simplemente, puede estar equivocado.

 

  1. CID no son principios

Veamos ahora por qué CID no satisface las condiciones para ser llamados principios:

  • Confidencialidad es un objetivo: que solo personas autorizadas accedan a determinada información.
  • Integridad es una condición deseada: que la información no sea alterada o manipulada sin autorización.
  • Disponibilidad es una propiedad operativa: que la información esté accesible cuando se necesita.

 

Ninguno de estos elementos establece una relación general entre variables, ni prescribe una regla de diseño, ni orienta una estrategia en términos causales o normativos. En cambio, actúan como dimensiones clave de la información a proteger.

 

  1. Una taxonomía conceptual para la seguridad

Para superar esta confusión, se propone una taxonomía más precisa:

  • Principios: ideas rectoras con valor normativo o explicativo general. E.g., “la seguridad tiene un coste”.
  • Dimensiones: aspectos clave de la información. E.g., confidencialidad, integridad, disponibilidad.
  • Requisitos: condiciones necesarias para alcanzar los objetivos. E.g., autenticación, trazabilidad.
  • Elementos: prácticas o componentes técnicos. E.g., inventario, firewall, formación, actualizaciones, copias de seguridad.
  • Objetivos: metas funcionales. E.g., proteger datos sensibles, garantizar la continuidad operativa.

 

  1. Propuesta: Principios auténticos de la seguridad informática

A continuación, se presenta una propuesta preliminar de principios reales de la seguridad informática. Algunos de estos principios pueden resultar discutibles y es plausible argumentar que no se sostienen empírica o conceptualmente. Sin embargo, el propósito de este artículo no es establecer cuáles son los principios correctos de la seguridad informática, sino establecer qué tipo de afirmación puede encajar en la definición de principio.

  1. Principio de coste: Toda medida de seguridad tiene un coste, ya sea económico, cognitivo o temporal.
  2. Principio de imposibilidad: No existe el sistema totalmente seguro; toda protección es siempre limitada, relativa y contextual.
  3. Principio de proporcionalidad: Cuanto más crítica sea la información o el sistema, mayor debe ser su nivel de seguridad.
  4. Principio de redundancia: La seguridad se refuerza mediante capas redundantes de control y defensa.
  5. Principio de asimetría: Es más fácil atacar que defender; Es más fácil destruir que construir. La entropía favorece al agresor.
  6. Principio de incomodidad: A mayor seguridad, mayor incomodidad o fricción para el usuario.
  7. Principio de conocimiento del mal: Comprender los vectores de ataque es condición para prevenirlos. Para evitar malas acciones debemos entender en detalle cómo se realizan.
  8. Principio del privilegio mínimo (least privilege): Todo usuario o proceso debe tener los permisos mínimos necesarios para cumplir su función.
  9. Principio de sospecha: Si algo parece demasiado bueno para ser cierto, probablemente no lo sea (como defensa ante el phising).
  10. Principio de resiliencia: En seguridad digital cada vez toma más fuerza la idea exactamente contraria al popular dicho de que “es mejor que prevenir que curar”. En lugar de empeñarse en tratar de evitar los incidentes, es mejor emplear una gran cantidad de los esfuerzos en minimizar el impacto cuando estos ocurran.

 

Estos principios permiten construir un marco teórico más robusto y útil para guiar el diseño de sistemas y políticas de ciberseguridad.

 

  1. Conclusión

La confusión terminológica entre principios y dimensiones en el ámbito de la seguridad informática no es un detalle menor. Una disciplina madura requiere una arquitectura conceptual precisa, basada en categorías bien definidas que permitan la evaluación crítica de sus fundamentos y la formulación de estrategias coherentes de intervención. Reubicar a la tríada CID en su lugar adecuado —como dimensiones u objetivos— y sustituir el término “principios” por criterios realmente normativos, no sólo mejora la precisión conceptual, sino que fortalece la enseñanza, el análisis y la práctica de la seguridad.

 

Referencias

  • Ferrater Mora, J. (1994). Diccionario de Filosofía (Tomo IV). Madrid: Alianza Editorial.

  • ISO/IEC 27001:2022. Information Security, Cybersecurity and Privacy Protection — Information Security Management Systems — Requirements.

  • National Institute of Standards and Technology (NIST). (1995). An Introduction to Computer Security: The NIST Handbook (SP 800-12). https://csrc.nist.gov/publications

  • Auditool. (s.f.). Principios básicos de seguridad de la información: Confidencialidad, Integridad y Disponibilidad (CIA). https://www.auditool.org

  • DataSunrise. (s.f.). Confidencialidad, Integridad, Disponibilidad: Ejemplos clave. https://www.datasunrise.com/es/

  • ISTQBHUB. (s.f.). Los 4 principios de la seguridad informática. https://istqbhub.io

  • Infosecurity Europe. (2024, July 9). What are the 3 principles of information security? https://www.infosecurityeurope.com

  • SailPoint. (2025, January). CIA triad: Confidentiality, integrity, and availability. https://www.sailpoint.com

  • SecurityScorecard. (2025, May). What is the CIA Triad? Definition, Importance, & Examples. https://securityscorecard.com

  • Splunk. (2024, November). What’s the CIA Triad? Confidentiality, Integrity, & Availability, Explained. https://www.splunk.com

 

 

Anexo 1: Referencias en español que citan CID (Confidencialidad, Integridad y Disponibilidad) como “principios”

  1. Auditool. (s.f.). Principios básicos de seguridad de la información: Confidencialidad, Integridad y Disponibilidad (CIA). Recuperado de https://www.auditool.org/blog/auditoria-de-ti/principios-basicos-de-seguridad-de-la-informacion-confidencialidad-integridad-y-disponibilidad-cia. El propio título es: “Principios Básicos de Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad (CIA)”.
  2. DataSunrise. (s.f.). Confidencialidad, Integridad, Disponibilidad: Ejemplos clave. Recuperado de https://www.datasunrise.com/es/centro-de-conocimiento/ejemplos-de-confidencialidad-integridad-disponibilidad. “La tríada CIA, compuesta por la confidencialidad, integridad y disponibilidad, es un marco fundamental en la seguridad de la información. Estos principios guían a las organizaciones en la protección de datos sensibles asegurando que sean seguros, precisos y accesibles únicamente para las personas autorizadas cuando sea necesario”.
  3. ISTQBHUB. (s.f.). Los 4 principios de la seguridad informática. Recuperado de https://istqbhub.io/blog/seguridad/los-4-principios-de-la-seguridad-informatica/. “La tríada CIA, compuesta por la confidencialidad, integridad y disponibilidad, es un marco fundamental en la seguridad de la información. Estos principios guían a las organizaciones en la protección de datos sensibles asegurando que sean seguros, precisos y accesibles únicamente para las personas autorizadas cuando sea necesario”.

 

Anexo 2: Referencias en inglés que citan CIA (Confidentiality, Integrity, Availability) como “principios”

  1. Infosecurity Europe. (2024, July 9). What are the 3 principles of information security? Retrieved from https://www.infosecurityeurope.com/en-gb/blog/guides-checklists/principles-of-information-security.htm. “For cybersecurity professionals, understanding the core principles of information security is essential to safeguard against threats and breaches. Let’s explore the three fundamental principles of information security — confidentiality, integrity, and availability — providing valuable insights and tips for implementing them in your organisation.”
  2. SailPoint. (2025, January). CIA triad: Confidentiality, integrity, and availability. Retrieved from https://www.sailpoint.com/identity-library/cia-triad. “While the CIA triad highlights the fundamental principles of confidentiality, integrity, and availability, it is relatively simplistic and does not provide detailed guidance on how to meet these requirements.”
  3. SecurityScorecard. (2025, May). What is the CIA Triad? Definition, Importance, & Examples. Retrieved from https://securityscorecard.com/blog/what-is-the-cia-triad/. “What are the Components of the CIA Triad? When you break it down, the CIA triad is about three principles: confidentiality, integrity, and availability.”
  4. Splunk. (2024, November). What’s the CIA Triad? Confidentiality, Integrity, & Availability, Explained. Retrieved from https://www.splunk.com/en_us/blog/learn/cia-triad-confidentiality-integrity-availability.html. “What are the Components of the CIA Triad? When you break it down, the CIA triad is about three principles: confidentiality, integrity, and availability.”

 

 

Posted by Manu Herrán

Founder at Sentience Research. Chief Advisor at The Far Out Initiative,

Leave a Reply

Your email address will not be published. Required fields are marked *