Cubo McCumber

El cubo de McCumber es un modelo para establecer y evaluar programas de seguridad de la información (garantía de la información). Este modelo de seguridad, creado en 1991 por John McCumber, se representa como una cuadrícula tridimensional similar al cubo de Rubik.

El concepto de este modelo es que, al desarrollar sistemas de seguridad de la información, las organizaciones deben considerar la interconexión de todos los diferentes factores que las afectan. Para diseñar un programa de seguridad de la información sólido, se deben considerar no sólo los objetivos de seguridad del programa (ver más abajo), sino también cómo estos objetivos se relacionan específicamente con los diversos estados en los que la información puede residir en un sistema y la gama completa de salvaguardas de seguridad disponibles que se deben considerar en el diseño. El modelo McCumber ayuda a recordar que se deben considerar todos los aspectos importantes del diseño sin centrarse demasiado en ninguno en particular (es decir, confiar exclusivamente en los controles técnicos a expensas de las políticas requeridas y la capacitación del usuario final).

• Confidencialidad: seguridad de que la información confidencial no se divulga intencional o accidentalmente a personas no autorizadas.
• Integridad: seguridad de que la información no se modifica intencionadamente o accidentalmente de manera que se cuestiona su fiabilidad.
• Disponibilidad: garantizar que las personas autorizadas tengan acceso oportuno y fiable a los datos y otros recursos cuando sea necesario.

• Almacenamiento: Datos en reposo (DAR) en un sistema de información, como el almacenado en memoria o en una cinta magnética o disco.
• Transmission: transferring data between information systems - also known as data in transit (DIT).
• Procesamiento: realizar operaciones de datos para alcanzar el objetivo deseado.

• Políticas y prácticas: controles administrativos, como las directrices de gestión, que proporcionan una base para la forma en que se debe aplicar el control de la información dentro de una organización. (ejemplos: políticas de uso aceptables o procedimientos de respuesta a incidentes) - también referido como operaciones.
• Factores humanos: velar por que los usuarios de los sistemas de información conozcan sus funciones y responsabilidades respecto de la protección de los sistemas de información y sean capaces de seguir las normas. (ejemplo: entrenamiento de usuarios finales para evitar infecciones por virus informáticos o reconocer tácticas de ingeniería social) - también denominado personal
• Tecnología: soluciones basadas en software y hardware diseñadas para proteger sistemas de información (ejemplos: antivirus, cortafuegos, sistemas de detección de intrusiones, etc.)

Según el sitio web de John McCumber, la idea es hacer retroceder el avance de la seguridad como arte y apoyarlo con una metodología estructurada que funcione independientemente de la evolución de la tecnología. La base de esta metodología es la interrelación entre la confidencialidad, la integridad y la disponibilidad con el almacenamiento, la transmisión y el procesamiento, al tiempo que se aplican la política, los procedimientos, el lado humano y la tecnología.

• CIA Triad
• Defensa en Depth (computing)

• Evaluación y gestión del riesgo de seguridad en los sistemas informáticos: Una metodología estructurada por John McCumber (Author) [Publisher: Auerbach Publications; 1 edición (junio 15, 2004)]