Una organización posee una misión implícita o explícita que caracteriza su propósito principal como un conjunto de objetivos de alto nivel. La tecnología de información, las políticas, los procedimientos, el personal, y el contexto de trabajo global existen para sostener a la misión. Debemos ser capaces de evaluar en cualquier etapa del refinamiento arquitectónica el impacto del posible desarrollo de un ambiente de amenazas sobre el sistema y su misión global como fuera descripto. La manera en que el método aborda el desarrollo y la evaluación de la estrate- gia de supervivencia se basa en una rama de la investigación de operaciones llamada dinámicas del sistema (system dynamics) [Sterman 00], habiéndose elaborado un sub-dominio especializa- do que se denominó dinámicas de amenaza (thread dynamics), que interpreta la dinámica del sistema para incluir las acciones hostiles en forma explícita y la respuesta operativa del sistema a tales acciones. Las dinámicas de amenaza permiten el modelado de la estructura y las diná- micas de sistemas complejos basados en el comportamiento humano, de entre los cuales la re- lación entre la comunidad de atacantes basados en Internet y los sistemas de información ba- sados en Internet es un ejemplo específico. Mediante la definición de una visión holística del ambiente de amenaza dentro del contexto de las operaciones del sistema existente o propuesta,
las dinámicas de amenaza proveen una reseña de las influencias generales que el ambiente de amenaza tiene sobre la aptitud del sistema para satisfacer su misión y una mejor comprensión de las respuestas estratégicas para contrarrestar las posibles amenazas.
La Figura 18 describe la aproximación a alto nivel para el refinamiento de la estrategia de su- pervivencia. La estrategia, la cual toma cuerpo como una arquitectura conceptual, se deriva iterativamente a través de su evaluación utilizando las dinámicas de amenaza. La estrategia de- riva de los objetivos globales de la misión y de la experiencia que se posee con patrones recu- rrentes de ataques de alto nivel que representan los principales escenarios de intrusión que se deben considerar. Las tácticas de supervivencia son aproximaciones arquitectónicas amplias que aseguran que tales ataques no se ciernen sobre la supervivencia de la misión. Dichas tácticas pueden ayudar a formular la arquitectura conceptual, pero tal formulación debe resultar apro- piada respecto de las restricciones operacionales del dominio de aplicación.
Figura 18. Reseña del proceso de refinamiento de la estrategia de supervivencia.
En término de los sectores TRIAD, la arquitectura conceptual se define principalmente en el Sec- tor I y se la evalúa utilizando las dinámicas de amenazas en el Sector III. Las restricciones opera- cionales surgen principalmente debido a consideraciones técnicas del Sector II. La mayor parte del desarrollo y la evaluación de la estrategia de supervivencia tienen lugar en los Sectores I y III. Un rol esencial para el Sector II es el de asegurar que la estrategia de supervivencia se puede imple- mentar, si bien los detalles de exactamente cómo hacerlo se dejan para un refinamiento técnico posterior. Además, puede resultar necesario ajustar la arquitectura conceptual a los fines de satis- facer restricciones técnicas que no fueron previamente consideradas. En tanto las dinámicas de amenaza ayudan a la comprensión de la influencia del ambiente de amenaza sobre la aptitud de cumplir la misión, la rastreabilidad de la supervivencia ayuda a documentar y justificar el sopor- te que proporciona la arquitectura de supervivencia a la misión. La rastreabilidad de la supervi-
Arquitectura Conceptual Dinámicas de Amenazas Restricciones Operativas Objetivos de la Misión Patrones de alto nivel de Ataques Tácticas de Supervivencia
vencia resulta esencial para la administración de los cambios de tal manera que mantiene la su- pervivencia de la organización a lo largo del tiempo. En un contexto más amplio, la rastreabilidad se puede definir como “una característica de un sistema en el cual los requerimientos están clara- mente vinculados a sus orígenes (rastreabilidad hacia atrás) y a los artefactos creados durante el ciclo de vida de desarrollo del sistemas en base a estos requerimientos (rastreabilidad hacia ade- lante)” [Ramesh 97]. En esta definición, se considera que los vínculos son bidireccionales. El Sector I de TRIAD es responsable de la rastreabilidad hacia atrás con respecto a los objetivos de la misión, mientras que el Sector II es responsable de la rastreabilidad hacia delante con respecto a la arquitectura técnica. Las amenazas atendidas son las identificadas en el Sector III.
La rastreabilidad de los requerimientos y de las alternativas de decisión a partir de la misión de una organización ayuda a determinar las dependencias de supervivencia de un sistema. La ras- treabilidad hacia atrás puede ayudar a evaluar el impacto de los cambios en la misión o del am- biente de amenazas de una organización. La rastreabilidad hacia delante puede ayudar a evaluar el impacto de los cambios en la arquitectura del sistema. Un criterio aceptado por la comunidad de rastreabilidad de requerimientos estipula que sólo debe ser mantenida la rastreabilidad de los requerimientos críticos para la misión [Ramesh 98]. Este criterio está exactamente alineado con el hecho de poner a la misión como centro de la supervivencia, dado que la misión de la organi- zación proporciona el punto de partida para la rastreabilidad del método TRIAD.
La rastreabilidad de la supervivencia requiere de un alcance más amplio del que generalmente se adopta para la rastreabilidad de los requerimientos debido a la variedad de las amenazas (es decir, desde la ingeniería social hasta el compromiso tecnológico) y de las medidas en co- ntra (es decir, desde el personal, pasando por lo procedural y hasta lo tecnológico).
La elección de los requerimientos y del diseño debe ser administrada de manera consistente durante todo el tiempo de vida del sistema para soportar la continua administración del riesgo, de tal manera que las nuevas amenazas y operaciones del sistema no conduzcan a la falla de la misión. Dado que TRIAD es un proceso de refinamiento iterativo, la misión, las amenazas, los requerimientos y la arquitectura pueden estar sólo parcialmente definidas en cualquiera de las iteraciones de la espiral. En consecuencia, de la misma manera, la definición de los requeri- mientos y sus rastros se produce en forma incremental.