Las dimensiones CITA son cuatro de las cinco dimensiones de seguridad que el Esquema Nacional de Seguridad utiliza para categorizar los sistemas. Junto con la Disponibilidad (evaluada mediante el BIA), determinan la categoría final.
Las cuatro dimensiones CITA
Confidencialidad (C)
La Confidencialidad garantiza que la información solo es accesible para personas, entidades o procesos autorizados.
Preguntas clave:
- ¿Qué pasaría si esta información se filtrara?
- ¿Contiene datos personales o sensibles?
- ¿Incluye secretos comerciales o propiedad intelectual?
Ejemplos de valoración:
| Nivel | Ejemplo |
|---|---|
| Bajo | Información pública o de libre difusión |
| Medio | Datos personales básicos, información interna |
| Alto | Datos especialmente protegidos, secretos comerciales |
Integridad (I)
La Integridad asegura que la información no ha sido alterada de manera no autorizada.
Preguntas clave:
- ¿Qué consecuencias tendría que estos datos fueran modificados sin autorización?
- ¿Son datos que sirven como evidencia o registro oficial?
- ¿Afectaría a decisiones críticas si fueran incorrectos?
Ejemplos de valoración:
| Nivel | Ejemplo |
|---|---|
| Bajo | Contenido informativo general |
| Medio | Registros de transacciones, configuraciones |
| Alto | Registros financieros, datos médicos, evidencias legales |
Trazabilidad (T)
La Trazabilidad permite atribuir las acciones realizadas exclusivamente a la entidad que las ejecutó.
Preguntas clave:
- ¿Es necesario poder identificar quién hizo qué y cuándo?
- ¿Se requiere para auditorías o investigaciones?
- ¿Hay responsabilidad legal asociada a las acciones?
Ejemplos de valoración:
| Nivel | Ejemplo |
|---|---|
| Bajo | Sistemas sin requisitos de auditoría |
| Medio | Logs de acceso, registros de cambios |
| Alto | Operaciones financieras, accesos a datos sensibles |
Autenticidad (A)
La Autenticidad garantiza que una entidad es quien dice ser, o que los datos provienen de quien afirma haberlos generado.
Preguntas clave:
- ¿Es crítico verificar la identidad del origen de los datos?
- ¿Se utilizan firmas electrónicas o certificados?
- ¿Podría haber suplantación de identidad?
Ejemplos de valoración:
| Nivel | Ejemplo |
|---|---|
| Bajo | Contenido donde el origen no es crítico |
| Medio | Comunicaciones internas, documentos oficiales |
| Alto | Contratos firmados, transacciones legales, identidades verificadas |
Proceso de valoración
1. Identificar los activos de información
Primero, lista todos los activos de información que maneja el sistema:
- Código fuente
- Datos de clientes
- Logs y registros
- Configuraciones
- Credenciales
- Documentación
2. Valorar cada activo en las 4 dimensiones
Para cada activo, asigna un nivel (Bajo, Medio, Alto) en cada dimensión CITA:
| Activo | C | I | T | A |
|---|---|---|---|---|
| Código fuente | Alto | Alto | Medio | Medio |
| Datos de clientes | Alto | Medio | Medio | Medio |
| Logs de sistema | Bajo | Alto | Alto | Bajo |
| Credenciales | Alto | Alto | Alto | Alto |
3. Calcular el nivel por dimensión
El nivel final de cada dimensión es el máximo entre todos los activos:
- Si algún activo tiene Confidencialidad Alta → C = Alta
- Si algún activo tiene Integridad Media y ninguno Alta → I = Media
4. Determinar la categoría
Combinando con la Disponibilidad (del BIA):
- La categoría del sistema = máximo de todas las dimensiones
Criterios de valoración según la Guía CCN-STIC 803
Nivel Bajo
- Consecuencias limitadas y subsanables
- Molestias menores a los afectados
- Daño menor que no afecta a la operativa
Nivel Medio
- Consecuencias que causan daño significativo
- Perjuicio a los intereses de terceros
- Incumplimientos formales con posibles sanciones
Nivel Alto
- Consecuencias graves o irreparables
- Daño muy grave a la imagen o funcionamiento
- Delitos o infracciones graves
Usa nuestra herramienta
Nuestra herramienta gratuita te permite:
- Registrar todos tus activos de información
- Evaluar cada dimensión con selectores visuales
- Ver automáticamente el cálculo de niveles
- Obtener la categoría final del sistema