Limitations and Improvements

A efectos de la valoración se recoge la sugerida en MAGERIT:

MAGERIT propone una escala detallada de diez valores, dejando en valor 0 como determinante de lo que sería un valor despreciable (a efectos de riesgo).

Siguiendo esta línea sugiere una serie de escalas (MAGERIT 3.0 Libro II – Catálogo de elementos – Apartado 4.1 Escalas estándar) que permiten valorar cada uno de los activos esenciales. Atendiendo a las consideraciones rechas en el apartado 3.3 anterior, y dado que muchos servicios dependen de un único equipamiento, se ha optado por un análisis cualitativo, aunque PILAR permite, sin requerir de información adicional, conmutar entre el modo cualitativo y cuantitativo en cualquier momento. A partir de aquí se han registrado en PILAR los siguientes valores para los activos esenciales en cada una de las diferentes dimensiones de seguridad:

Tabla 10: Valoración cualitativa de los activos esenciales

activo [D] [I] [C] [A] [T]

[SER-001] Contabilidad [5](1) _[5](2) _[6](3)

[SER-002] Recaudación [5](4) _[5](5) _[6](6)

[SER-003] Gestión Tributaria [5](7) _[5](8) _[6](9)

[SER-004] Autenticación [5](10) _[5](11) _[6](12)

[SER-005] Recaudación online [5](13) _[6](14) _[6](15)

[INF-001] Gest. Trib.. y Rec. [5](16) _[6](17) _[5](18) _[5](19)

[INF-002] Contabilidad [3](20) _[6](21) _[5](22) _[5](23)

[INF-003] Dominio [3](24) _[6](25) _[5](26) _[5](27)

Los criterios considerados para cada una de las valoraciones son los siguientes:

Tabla 11: Criterios de valoración

(1) [5.da] Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras organizaciones

(2) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación (3)

[6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(4) [5.da] Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras organizaciones

(5) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación (6)

[6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(7) [5.da] Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras organizaciones

(8) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación (9)

[6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(10) [5.da] Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras organizaciones

(11) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación

(12) [6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(13) [5.da2] Probablemente cause un cierto impacto en otras organizaciones (14) [6.pi1] probablemente afecte gravemente a un grupo de individuos

[5.lro] probablemente sea causa de incumplimiento de una ley o regulación (15)

[6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(16)

[5.olm] Probablemente merme la eficacia o seguridad de la misión operativa o logística más allá del ámbito local

[5.adm] probablemente impediría la operación efectiva de más de una parte de la Organización [b] por afectar negativamente a las relaciones con el público

(17) [6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal

(18) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación (19)

[5.lro] probablemente sea causa de incumplimiento de una ley o regulación

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(20)

[3.olm] Probablemente merme la eficacia o seguridad de la misión operativa o logística (alcance local)

[3.adm] probablemente impediría la operación efectiva de una parte de la Organización [3.lg] Probablemente afecte negativamente a las relaciones internas de la Organización (21) [6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de

información personal

(22) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación (23)

[5.lro] probablemente sea causa de incumplimiento de una ley o regulación

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(24)

[3.olm] Probablemente merme la eficacia o seguridad de la misión operativa o logística (alcance local)

[3.adm] probablemente impediría la operación efectiva de una parte de la Organización [3.lg] Probablemente afecte negativamente a las relaciones internas de la Organización (25) [6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de

información personal

(26) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación (27)

[5.lro] probablemente sea causa de incumplimiento de una ley o regulación

[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

Esto define la valoración de los activos esenciales. La dimensión de Disponibilidad ha sido tenida en cuenta en el caso de los servicios (es una dimensión característica de éstos) y las de Integridad y Confidencialidad en el caso de los datos. Autenticidad y trazabilidad se han valorado en todos los casos.

Así, en el caso de los servicios, en todos se ha tenido en cuenta que la disponibilidad podría afectar a la interrupción de las actividades propias y de otras organizaciones. Ello es consecuencia del hecho que un Ayuntamiento es, ante todo, un prestador de servicios a la comunidad y la interrupción de sus propios servicios puede tener impacto en otras organizaciones. Se ha hecho una salvedad en este aspecto en cuanto al servicio SER-005 Recaudación online, puesto que su disponibilidad repercute exclusivamente sobre organizaciones externas. En todo caso se han valorado con 5.da (medio) los cinco servicios en este

dominio de la disponibilidad, con la particularidad de que el servicio de recaudación online ha sido valorado con un 5.da2 (medio) que restringe el impacto a otras organizaciones.

Antes de pasar a exponer las valoraciones atribuidas en el dominio de la Autenticidad y el de la Trazabilidad de los servicios, debe contemplarse la normativa a la que se encuentra sujeta el tratamiento de la información en el Ayuntamiento.

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPDP) establece en el art. 81 de su Reglamento el nivel de seguridad que corresponde a cada tipo de datos, estableciéndose, inicialmente, el nivel básico para todos aquellos ficheros que contengan datos de carácter personal. Establece asimismo que deberán establecerse medidas de seguridad de nivel medio para aquellos datos de los que sean responsables las administraciones tributarias y los datos relativos a la comisión de infracciones administrativas. En cuanto a las medidas básicas, éstas se sustancian, en su nivel básico y en lo relativo a los activos aquí valorados, en las siguientes medidas:

- Control de acceso (art. 91)

- Identificación y autenticación de los usuarios con acceso autorizado (art. 93) El nivel medio requiere además:

- Identificación de los usuarios y autenticación de la autorización (art. 97)

Se define por tanto un marco legal de obligado cumplimiento que será tenido en consideración en la valoración de los Servicios e Información en el dominio de la Autenticidad.

En base a ello se ha asignado el valor 5.lro (medio) a todos los Servicios en el dominio de la autenticidad, añadiéndole l servicio de recaudación online el valor 6.pi1 (alto) ya que un incidente en este dominio podría afectar gravemente a un grupo de individuos.

En lo referente al dominio de la Trazabilidad se han asignado dos valoraciones: 6.pi2 (alta) (probablemente quebrante seriamente la ley o algún reglamento de protección de información personal) y 3.si (media) (probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente) Hasta aquí la valoración de los Servicios, en cuanto a los activos de Información se han registrado las siguientes valoraciones:

- En el dominio de la Integridad se ha asignado a la información d Gestión Tributaria y Recaudación el valor 5.olm (medio) mientras que a la información de Contabilidad y Dominio se le ha asignado el valor 3.olm (medio) porque una incidencia en la integridad la información de estas dos áreas se hallaría circunscrita a un ámbito local. Se ha añadido también una valoración de 5.adm (media) a la información de Gestión Tributaria y Recaudación y 3.adm (media) a los dos otros activos e información. En el primer caso se implicaría a más de una parte de la Organización mientras que en las otras dos el ámbito de la incidencia se encuentra delimitado a dos partes muy concretas de la organización. Por último, se ha valorado se ha añadido una última valoración en el campo de la pérdida de confianza o reputación. Así, se ha valorado con 5.lg.b (medio) la información de Gestión Tributaria y Recaudación, mientras que la información de Contabilidad y del Dominio se ha valorado con 3.lg (medio) ya que mientras que el primer ámbito tiene trascendencia en las relaciones con el público los segundos tienen repercusión sobre las relaciones internas de la organización.

- En el Dominio de la Confidencialidad todos los activos de información han sido valorados como 6.pi2 (alto).

- En el dominio de la Autenticidad todos han sido valorados como 5.lro (medio), dado que una incidencia en este dominio y para los activos citados probablemente sea el motivo de un incumplimiento de una ley o regulación, tal y como se indicaba en la exposición del marco normativo al que se encuentra sujeto la Institución.

- El último dominio valorado ha sido el de la Trazabilidad, para los que se ha vuelto a incluir la misma valoración que en el caso anterior de la Autenticidad 5.lro (media), añadiéndose en este caso una nueva valoración 3.si (media) por el mismo motivo que el expuesto en el caso de los Servicios: probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente. A partir de aquí, PILAR proporciona dos tipos de valoraciones, la propia y la acumulada. La valoración propia es la que se asigna directamente a cada activo y corresponde a los criterios expuestos en la tabla anterior:

Ilustración 21: Valoración propia de los activos (cualitativa)

La otra opción mostrada es la de la valoración acumulada; es decir, aquella que se obtiene para cada activo en función de las dependencias establecidas: los activos inferiores en un esquema de dependencias acumulan el valor de los activos que se apoyan en ellos. Dicho valor acumulado se visualiza con un fondo de otro color:

Ilustración 22: Valoración acumulada de los activos (cualitativa)

Tal y como se había comentado anteriormente, PILAR permite conmutar entre los dos modos de análisis (cualitativo o cuantitativo) sin más requisito que indicarlo en el momento de arrancar la aplicación en el proyecto que se esté evaluando. Se incluye a continuación una captura del mismo informe, indicando ahora que se requiere un análisis cuantitativo en lugar de cualitativo, lo que nos permitirá destacar los valores que recogen algunos activos por ser varias las entidades de nivel superior que dependen de los mismos, como es el caso de los servidores o los locales. Tal y como se indicaba en las consideraciones realizadas sobre la conveniencia de proceder con una valoración u otra, se observa como el valor de dichos activos se “dispara” frente al resto, lo que, tal vez, podría llevar a conclusiones no adecuadas en cuanto a la conveniencia de priorizar unas acciones sobre otras:

Ilustración 23: Valoración acumulada de los activos (cuantitativa)

Se observa aquí como, por ejemplo en el dominio de la autenticidad, se producen importantes diferencias entre el valor que se le asigna a los NAS y el que se le asigna a la aplicación de contabilidad (el valor de los primeros es más de cuatro veces el de la segunda). Ello podría focalizar excesivamente los esfuerzos en dichos dispositivos. No obstante, el análisis cualitativo calificaba con un valor 5 (medio) el valor que un problema en el dominio de la autenticidad podría producirse para la aplicación de contabilidad, mientras que asignaba un valor de 6 (también medio) a los NAS.