Criterios de valoración de activos

ÍNDICE DE CONTENIDOS:
• Confidencialidad
• Disponibilidad
• Integridad
• Autenticidad
• Trazabilidad
• Probabilidad
• Valor del Activo
• Tipos de Salvaguarda
• Prevención
• Disuasión
• Eliminación
• Minimización
• Corrección
• Recuperación
• Monitorización
• Detección
• Concienciación 
• Administración
• Valor de la Salvaguarda

Confidencialidad

Una pérdida de confidencialidad puede derivar en incidencias de seguridad. Debemos valorar el activo en función de la importancia que tiene para la organización una pérdida de confidencialidad sobre el mismo.

• 4 Alto - Hacerlo público supone una falta total de confianza y la pérdida de negocio
• 3 Medio - Hacerlo público dañaría la imagen y se sufriría una pérdida de confianza
• 2 Bajo - Hacerlo público supone una pérdida mínima de imagen
• 1 Insignificante - Se puede hacer público

Disponibilidad

La indisponibilidad de un activo puede afectar negativamente al negocio provocando que ciertos procesos se vean afectados durante el tiempo que dicho activo se encuentra inoperante. Habrá que considerar el tiempo necesario en sustituir y dejar el activo como estaba antes de la ocurrencia de algún evento que comprometa su seguridad.

• 4 Alto - No se puede funcionar sin ello
• 3 Medio - Se puede prescindir por un tiempo limitado
• 2 Bajo - Se puede prescindir porque existen otros medios alternativos para continuar con el servicio/proceso
• 1 Insignificante - Se puede prescindir indefinidamente

Integridad

Se refiere a la corrección y completitud de los datos (y de los activos). Una pérdida de integridad puede derivar en datos que no son correctos o completos (manipulados intencionadamente). Debemos valorar el activo en cuanto a la importancia que tiene para nosotros su integridad.

• 4 Alto - No se puede funcionar sin ello
• 3 Medio - Se produce ralentización de actividades y mal funcionamiento del servicio
• 2 Bajo - Se producen errores leves de funcionamiento del servicio
• 1 Insignificante - No afecta al servicio

Autenticidad

La capacidad de identificar o garantizar que el origen y destinatario de la información son quien dicen ser.

4 Alto - por disposición legal o administrativa: ley, decreto, orden, reglamento, …

• o porque la falsedad en su origen o en su destinatario causaría un grave daño, de difícil o imposible reparación
• o porque la falsedad en su origen o en su destinatario causaría pérdidas económicas elevadas o alteraciones financieras significativas
• o porque la falsedad en su origen o en su destinatario causaría un daño reputacional grave con los ciudadanos o con otras organizaciones
• o porque la falsedad en su origen o en su destinatario podría desembocar en protestas masivas (alteración seria del orden público)

3 Medio - o por disposición legal o administrativa: ley, decreto, orden, reglamento, …

• o porque la falsedad en su origen o en su destinatario causaría un daño importante aunque subsanable
• o porque la falsedad en su origen o en su destinatario causaría pérdidas económicas importantes
• o porque la falsedad en su origen o en su destinatario causaría un daño reputacional importante con los ciudadanos o con otras organizaciones
• o porque la falsedad en su origen o en su destinatario podría desembocar en protestas públicas (alteración del orden público)

2 Bajo - por disposición legal o administrativa: ley, decreto, orden, reglamento, …

• o porque la falsedad en su origen o en su destinatario causaría algún perjuicio o causaría pérdidas económicas apreciables
• o porque la falsedad en su origen o en su destinatario causaría un daño reputacional apreciable con los ciudadanos o con otras organizaciones
• o porque la falsedad en su origen o en su destinatario podría desembocar en múltiples protestas individuales

1 Insignificante - cuando el origen es irrelevante o ampliamente conocido por otros medios

• o cuando el destinatario es irrelevante, por ejemplo por tratarse de información de difusión anónima

Trazabilidad

La capacidad de rastrear, dificultar e impedir los accesos a la información.

4 Alto - por disposición legal o administrativa: ley, decreto, orden, reglamento, …

• o porque la incapacidad para rastrear un acceso a la información impediría o dificultaría notablemente la capacidad de subsanar un error grave
• o porque la incapacidad para rastrear un acceso a la información dificultaría notablemente la capacidad para perseguir delitos
• o porque la incapacidad para rastrear un acceso a la información facilitaría enormemente la comisión de delitos graves

3 Medio - por disposición legal o administrativa: ley, decreto, orden, reglamento, …

• o porque la incapacidad para rastrear un acceso a la información impediría o dificultaría notablemente la capacidad de subsanar un error importante
• o porque la incapacidad para rastrear un acceso a la información dificultaría notablemente la capacidad para perseguir delitos
• o porque la incapacidad para rastrear un acceso a la información facilitaría la comisión de delitos

2 Bajo - por disposición legal o administrativa: ley, decreto, orden, reglamento, …

• o porque la incapacidad para rastrear un acceso a la información dificultaría la capacidad de subsanar errores 
• o porque la incapacidad para rastrear un acceso a la información dificultaría la capacidad para perseguir delitos

1 Insignificante - cuando no se pueden producir errores de importancia, o son fácilmente reparables por otros medios

• o cuando no se pueden perpetrar delitos relevante, o su investigación es fácilmente realizable por otros medios

Probabilidad

Indica la frecuencia o la probabilidad de que una amenza se materialice. 

• 4 Alto - Completamente posible: el daño ocurre siempre.
• 3 Medio - Bastante posible: el daño ocurre con frecuencia. Lo más probable es que suceda el daño, o ya ha ocurrido en otras ocasiones anteriormente.
• 2 Bajo - Remotamente posible: el daño ocurre en algunas ocasiones. Aunque no haya ocurrido antes no sería extraño que sucediera.
• 1 Insignificante - Raramente ocurre: el daño ocurre raras veces. Se estima que podría suceder el daño pero es difícil que ocurra, la probabilidad de que suceda es remota.

Valor del Activo

• 4 Crítico - El activo es absolutamente necesario para poder prestar nuestro servicio al cliente y además su ausencia puede hacer que incurramos en sanciones legales o económicas.
• 3 Alto - El activo es absolutamente necesario para poder prestar nuestro servicio al cliente.
• 2 Medio - El activo es necesario para prestar el servicio a cliente, sin él, se sigue prestando el servicio pero de manera degradada. Es prescindible temporalmente.
• 1 Bajo - El activo no es necesario para prestar el servicio a cliente ni tiene un impacto en nuestros procesos. Es prescindible.

Tipos de Salvaguarda

Prevención

Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas, ...

Disuasión

Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente, ...

Eliminación

Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, ...; en general, todo lo que tenga que ver con la fortificación o bastionado, ..., cifrado de la información, ..., armarios ignífugos, ...

Minimización

Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. 

Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente

Corrección

Diremos que una salvaguarda es correctiva cuando, habiéndo producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños.

Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes, ...

Recuperación

Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up)

Monitorización

Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web, ...

Detección

Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños.  Ejemplos: antivirus, IDS, detectores de incendio, ...

Concienciación 

Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación, ...

Administración

Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema.

Una buena administración evita el desconocimiento de lo que hay y por tanto impide que hayan puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad, ...

Valor de la Salvaguarda

• Las salvaguardas establecidas mitigan completamente el riesgo. (100%).
• Las salvaguardas establecidas mitigan el riesgo en un 90% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 80% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 70% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 60% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 50% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 40% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 30% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 20% de su valor inicial.
• Las salvaguardas establecidas mitigan el riesgo en un 10% de su valor inicial.
• No se han establecido salvaguardas. (0%)