Recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su Dirección.
(Fuente: Magerit)
Un activo es, generalmente hablando, algo que la Organización tiene o usa y que, si es perdido o dañado, causaría un daño a la Organización.
Más información
Es la valoración asignada al activo de acuerdo a la criticidad y teniendo en cuenta las cinco dimensiones de seguridad:
- confidencialidad: ¿qué daño causaría que lo conociera quien no debe?
- integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
- disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
- autenticidad: ¿qué perjuicio causaría que fuese suplantado o falsificado?
- trazabilidad: ¿qué daño causaría no saber quién accede a qué datos?
Tipos de valoración de activos:
Los activos se pueden valorar en dos dimensiones. Por un lado:
- Valoración cuantitativa: Cuando hablamos de valor cuantitativo, hablamos del incremento de gastos más la merma de beneficios derivada de la materialización de la amenaza. Podemos calcular este valor determinando los ingresos que se ven reducidos y los gatos derivados del incidente.
- Valoración cualitativa: Consiste en ordenar el valor en una escala que relativiza el valor de cada cosa utilizando ciertos umbrales y unos criterios homogéneos: relativizar entre dimensiones, compartir/combinar análisis realizados por separado y uniformidad de conocimiento.
Por otro:
- Valoración de Dominios: Se llama dominio de seguridad al conjunto de activos sometido a una política única. Una vez identificados los dominios y las dependencias entre ellos se calcula su valoración, siendo ésta la mayor de todos los activos del sistema, por cada una de las cinco dimensiones de seguridad.
- Valoración de Dependencias: Se valoran las dimensiones de los activos esenciales y a través del establecimiento de estas dependencias, PILAR determinar el valor de todos los activos del sistema.
Una vez identificados los activos y realizada su valoración, el siguiente paso trata de identificar las amenazas a las que nos enfrentamos en términos de probabilidad (medidas preventivas) e impacto (medidas reactivas).
El CORE de PILAR es el catálogo de amenazas y la asociación entre cada amenaza con los activos a los que afectaría en caso de que esa amenaza se materializara. Por defecto, PILAR asocia una probabilidad y una degradación del activo por amenaza pero está abierto al usuario el ajuste de estos valores ya que es el propio usuario quien mejor conoce las características de su sistema.
Más información
El impacto de una amenaza se mide en función de la degradación de los activos afectados, entendiendo dicha degradación como la perdida de valor por materialización de la amenaza.
La degradación puede verse afectada por los factores agravantes (aumentan el impacto) o atenuantes (disminuyen el impacto).
PILAR permite:
- seleccionar los agravantes y los atenuantes para caracterizar en mayor detalle un sistema
- seleccionar y configurar el grado de aplicación (en %)
- especificar el grado en el que el agravante o el atenuante afecta al sistema
Si un activo es vulnerable, la amenaza lleva a un incidente.
Más información
Las salvaguardas son medios para luchar contra las amenazas. Pueden tratar aspectos organizativos, técnicos, físicos o relativos a la gestión de personal.
En PILAR, las salvaguardas se pueden evaluar por dominio o por activo. La evaluación consiste en asignar un nivel de madurez [al proceso asociado] a la salvaguarda.
Más información