Activos en Ciberseguridad

Los activos

¿Qué son los Activos?

Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización.

En un sistema de información hay 2 cosas esenciales: la información que maneja y los servicios que presta. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema.

Subordinados a dichos elementos se pueden identificar otros activos relevantes:

  • Servicios auxiliares que se necesitan para poder organizar el sistema.
  • Las aplicaciones informáticas (software) que permiten manejar los datos.
  • Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.
  • Los soportes de información que son dispositivos de almacenamiento de datos.
  • El equipamiento auxiliar que complementa el material informático.
  • Las redes de comunicaciones que permiten intercambiar datos.
  • Las instalaciones que acogen equipos informáticos y de comunicaciones.
  • Las personas que explotan u operan todos los elementos anteriormente citados.

No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las salvaguardas son diferentes.

¿Cuál es el valor de los activos?

La valoración se debe realizar desde la perspectiva de la necesidad de proteger. Cuanto más valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de seguridad que sean pertinentes.

El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. El valor nuclear suele estar en la información que el sistema maneja y los servicios que se prestan (activos denominados esenciales), quedando los demás activos subordinados a las necesidades de explotación y protección de lo esencial. La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo.

Hay muchos factores a considerar:

  • Coste de reposición: adquisición e instalación.
  • Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
  • Lucro cesante: pérdida de ingresos.
  • Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas.
  • Sanciones por incumplimiento de la ley u obligaciones contractuales.
  • Daño a otros activos, propios o ajenos.
  • Daño a personas.
  • Daños medioambientales: la valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles).

Los criterios más importantes a respetar son:

  • La homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra.
  • La relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos.

Ambos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para curar el activo) y es frecuente la tentación de ponerle precio a todo. Si se consigue, excelente.

Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento, horas de trabajo, etc.). Pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la Organización) la valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre los analistas.

Valoración y activos

¿Qué aporta una Valoración Cualitativa?

Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un orden relativo respecto de los demás. Es frecuente plantear estas escalas como órdenes de magnitud y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo.

La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo. No se pueden sumar valores.

¿Podemos realizar una Valoración Cuantitativa?

Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero permiten sumar valores numéricos de forma absolutamente natural. La interpretación de las sumas no es nunca motivo de controversia. Si la valoración es dineraria, además se pueden hacer estudios económicos comparando lo que se arriesga con lo que cuesta la solución respondiendo a las preguntas:

¿Vale la pena invertir tanto dinero en esta salvaguarda?

¿Qué conjunto de salvaguardas optimizan la inversión?

¿En qué plazo de tiempo se recupera la inversión?

¿Cuánto es razonable que cueste la prima de un seguro?

Dependencia entre activos y amenazas

Dependencias entre Activos

Los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o superiores depende de los activos que se encuentran más abajo o inferiores. Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas. Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. Típicamente, la estructura de dependencia sigue el siguiente grafo:

¿Qué son las Amenazas?

Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.

Típicamente:

  • De origen natural: Hay accidentes naturales (terremotos, inundaciones, …). Ante esos avatares el sistema de información es víctima pasiva, pero debemos tener en cuenta lo que puede suceder.
  • Del entorno (de origen industrial): Hay desastres industriales (contaminación, fallos eléctricos, …) ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
  • Defectos de las aplicaciones: Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, vulnerabilidades.
  • Causadas por las personas de forma accidental: Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.
  • Causadas por las personas de forma deliberada: Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios. No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.

¿Afectan las amenazas al valor de los activos?

Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:

  • Degradación: cuán perjudicado resultaría el [valor del] activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
  • Probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra.

Impacto y Riesgo Potencial

¿Qué es el Impacto?

Conociendo el valor de los activos y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Se miden dos variables de impacto:

  • Impacto acumulado: Es el calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) y las amenazas a que está expuesto.
  • Impacto repercutido: Es el calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende.

¿Qué es el Riesgo Potencial?

Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, para derivar el riesgo no hay más que tener en cuenta la probabilidad de ocurrencia.

El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a tener en cuenta en el tratamiento del riesgo:

  • zona 1 – riesgos muy probables y de muy alto impacto.
  • zona 2 – cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo.
  • zona 3 – riesgos improbables y de bajo impacto.
  • zona 4 – riesgos improbables pero de muy alto impacto.

Riesgo acumulado: Es el calculado sobre un activo teniendo en cuenta el impacto acumulado sobre un activo debido a una amenaza y la probabilidad de la amenaza.

Riesgo repercutido: Es el calculado sobre un activo teniendo en cuenta el impacto repercutido sobre un activo debido a una amenaza y la probabilidad de la amenaza.

0 Comentarios