Researcher Reflexivity

El procedimiento seguido en la valoración de los activos parte de la identificación de los denominados Activos Esenciales, que se definen como aquellos que se encuentran en lo más alto de la jerarquía de los activos: los servicios que se prestan y la información que se maneja.

Una vez definidos dichos activos será preciso establecer un árbol de dependencias mediante el cual, a partir del valor establecido para los activos superiores, será posible obtener el del resto de los activos. El esquema de valoración que se seguirá es el siguiente:

Ilustración 13: Dependencias entre activos

Un activo superior depende de otro de nivel inferior cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior; o, lo que es lo mismo, cuando la materialización de una amenaza en el de nivel inferior tiene repercusión en el de nivel superior.

Siguiendo esta guía, se situarían en el nivel más alto la información (los datos), dichos datos dependerían directamente por una parte de las aplicaciones y por otra del equipamiento: Hardware, comunicaciones, soportes de información y elementos auxiliares. Dicho equipamiento tendría posteriormente una dependencia directa de las instalaciones que lo aloja. Todos los activos tendrían además, directa o indirectamente, dependencia del personal.

Atendiendo a estas consideraciones se diseñó, para el caso del Ayuntamiento en estudio, el árbol de dependencias que, a un nivel muy global, se recoge en la siguiente ilustración.

Ilustración 14: Gráfico de dependencia de activos

La ilustración anterior recoge un resumen de las dependencias, sin entrar al detalle en las que se enmarcan en cada uno de los activos. Dicho detalle, limitado a un primer nivel de dependencia (el desarrollo completo de árbol de dependencias se puede consultar con la herramienta a partir del proyecto PILAR PRY-002.MGR que se adjunta a este estudio), se recoge en las siguientes ilustraciones.

Las primeras dependencias que se muestran, son las del más alto nivel, las de la información:

Ilustración 15: Dependencias de los activos INFORMACIÓN

Se establece aquí una dependencia de la información respecto de los distintos servicios que la prestan: una afectación a la seguridad de dichos servicios repercutiría inevitablemente en la información que se gestiona mediante los mismos.

Los siguientes activos a nivel jerárquico son los servicios, cuyas dependencias se recogen en la siguiente ilustración:

Ilustración 16: Dependencias de los activos SERVICIOS

A nivel de instalaciones y personal no se establecieron dependencias, constituyen el último nivel:

Ilustración 17: Dependencias de los activos INSTALACIONES y PERSONAL

Y, por último, el nivel del equipamiento (equipos, aplicaciones, comunicaciones y elementos auxiliares) presenta las dependencias se recogen en la siguiente ilustración:

Ilustración 18: dependencias de los activos EQUIPAMIENTO

PILAR dispone de herramientas gráficas para comprender mejor el desarrollo de las dependencias. Por su extensión, no es objeto de este trabajo incluirlas a todas, ahora bien, se incluirá el desarrollo completo de una ruta con el fin de mostrar las posibilidades de la herramienta. Se partirá para ello del desarrollo completo de las dependencias del activo SRV-001 (servidor de datos y aplicaciones). Se ha seleccionado un activo situado en el “centro” del gráfico de dependencias al objeto de mostrar de cómo PILAR visualiza las dependencias tanto a nivel superior (qué activos dependen del analizado) y las dependencias a nivel inferior; es decir, de qué activos depende el activo en estudio.

Ilustración 19: Dependencias completas del activo SRV-001, servidor de datos y aplicaciones.

El gráfico muestra cómo cualquier incidente en la seguridad del servidor repercutirá sobre los servicios que dependen de él, que son todos salvo el de autenticación que depende de otro servidor, se trata de una dependencia directa, En consecuencia, los percances que en seguridad se produzcan en los servicios citados pueden tener consecuencia en la información gestionada por dichos servicios, que es toda, salvo la relativa a la información del dominio. En el oro sentido, descendiendo en el árbol, se sitúan los activos de los que depende el analizado, que en este caso son, por una parte el activo LOC-002 (las instalaciones en las que se encuentra alojado el servidor) y el activo USR-004 (Administradores del sistema). La seguridad del activo analizado depende en este caso del local en el que se encuentra y de que sea correctamente gestionado por los Administradores del sistema, cualquier incidencia generada en estos dos últimos niveles afectará a los niveles superiores.

Llegados a este punto, PILAR puede proporcionar una valoración de los activos. PILAR permite el asociar niveles cualitativos a valores cuantitativos. Esta asociación trabaja solamente si el usuario no proporciona información explícita para ambos.

En un análisis cualitativo, cuando varios servicios dependen de un solo equipo, el nivel acumulado en el equipo compartido es el máximo de los niveles requeridos por los activos soportados. Se pierde información cuando muchos servicios dependen de un punto compartido de fallo. El análisis cuantitativo muestra esta acumulación porque simplemente suma los valores individuales.

En análisis cuantitativo, cuando un servidor con un servicio altamente cualificado se compara a otro servidor con varios servicios cualificados más bajos, la adición de muchos valores pequeños puede alcanzar un alto valor, y el usuario puede verse tentado a proteger la cantidad antes que la calidad. El análisis cualitativo muestra la diferencia al quedarse con el nivel más alto