Clase XIV - 07092018 - Unidad III - Dependencia de activos
Dependencias
Los activos esenciales son la información y los servicios prestados; pero estos activos dependen de otros activos más prosaicos como pueden ser los equipos, las comunicaciones, las instalaciones y las frecuentemente olvidadas personas que trabajan con aquellos.
De manera que los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’. Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas.
Por ello aparece como importante el concepto de “dependencias entre activos” o la medida en que un activo superior se vería afectado por un incidente de seguridad en un activo inferior. Realizar controles sobre activos, determinado su dependencia respecto a otros permite medir cómo / cuanto se vería afectado por un incidente de seguridad un activo y los relacionados / dependientes con / de éste.
Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores:
• activos esenciales
• información que se maneja
• servicios prestados
• servicios internos que estructuran ordenadamente el sistema de información
• el equipamiento informático
• aplicaciones (software)
• equipos informáticos (hardware)
• comunicaciones
• soportes de información: discos, cintas, etc.
• el entorno: activos que se precisan para garantizar las siguientes capas
• equipamiento y suministros: energía, climatización, etc.
• mobiliario
• los servicios sub contratados a terceros
• las instalaciones físicas
• el personal
• usuarios
• operadores y administradores
• desarrolladores
Los activos esenciales son la información y los servicios prestados; pero estos activos dependen de otros activos más prosaicos como pueden ser los equipos, las comunicaciones, las instalaciones y las frecuentemente olvidadas personas que trabajan con aquellos.
De manera que los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’. Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas.
Por ello aparece como importante el concepto de “dependencias entre activos” o la medida en que un activo superior se vería afectado por un incidente de seguridad en un activo inferior. Realizar controles sobre activos, determinado su dependencia respecto a otros permite medir cómo / cuanto se vería afectado por un incidente de seguridad un activo y los relacionados / dependientes con / de éste.
Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores.
Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores:
• activos esenciales
• información que se maneja
• servicios prestados
• servicios internos que estructuran ordenadamente el sistema de información
• el equipamiento informático
• aplicaciones (software)
• equipos informáticos (hardware)
• comunicaciones
• soportes de información: discos, cintas, etc.
• el entorno: activos que se precisan para garantizar las siguientes capas
• equipamiento y suministros: energía, climatización, etc.
• mobiliario
• los servicios sub contratados a terceros
• las instalaciones físicas
• el personal
• usuarios
• operadores y administradores
• desarrolladores
Para determinar los requisitos de seguridad de cada puesto se sugiere analizar las siguientes cuestiones:
- ¿Qué activos son fundamentales para que usted consiga sus objetivos?
- ¿Hay más activos que tenga que proteger por obligación legal?
- ¿Hay activos relacionados con los anteriores?
- ¿Dónde puede verse comprometida la seguridad de los activos?
Conclusiones:
• Si unos datos son importantes por su confidencialidad, se necesita
saber en qué sitios van a residir dichos datos y por qué lugares van a
circular: en esos puntos pueden ser revelados.
• Si unos datos son importantes por su integridad, se necesita saber en qué sitios van a residir dichos datos y por qué lugares van a circular: en esos puntos pueden ser alterados.
• Si un servicio es importante por su disponibilidad, se necesita saber qué elementos se usan para prestar dicho servicio: el fallo de esos elementos detendría el servicio.
• Es difícil valorar las personas, en general; pero si un puesto supone una formación lenta y trabajosa, hay que tener en cuenta que la persona que desempeña ese puesto se convierte en muy valiosa, pues su “coste de reposición” es notable.
Descargar Inventario de activos
• Si unos datos son importantes por su integridad, se necesita saber en qué sitios van a residir dichos datos y por qué lugares van a circular: en esos puntos pueden ser alterados.
• Si un servicio es importante por su disponibilidad, se necesita saber qué elementos se usan para prestar dicho servicio: el fallo de esos elementos detendría el servicio.
• Es difícil valorar las personas, en general; pero si un puesto supone una formación lenta y trabajosa, hay que tener en cuenta que la persona que desempeña ese puesto se convierte en muy valiosa, pues su “coste de reposición” es notable.
Descargar Inventario de activos