Tras identificar todos los recursos que deseamos proteger, así como las
posibles vulnerabilidades y amenazas a que nos exponemos y los potenciales
atacantes que pueden intentar violar nuestra seguridad, hemos de estudiar cómo
proteger nuestros sistemas, sin ofrecer aún implementaciones concretas para
protegerlos (esto ya no serían políticas sino mecanismos). Esto
implica en primer lugar cuantificar los daños que cada posible vulnerabilidad
puede causar teniendo en cuenta las posibilidades de que una amenaza se pueda
convertir en realidad. Este cálculo puede realizarse partiendo de hechos
sucedidos con anterioridad en nuestra organización, aunque por desgracia en
muchos lugares no se suelen registrar los incidentes acaecidos. En este caso, y
también a la hora de evaluar los daños sobre recursos intangibles, existen
diversas aproximaciones como el método Delphi, que básicamente consiste en
preguntar a una serie de especialistas de la organización sobre el daño y
las pérdidas que cierto problema puede causar; no obstante, la experiencia
del administrador en materias de seguridad suele tener aquí la última
palabra a la hora de evaluar los impactos de cada amenaza.
La clasificación de riesgos de cara a estudiar medidas de protección
suele realizarse en base al nivel de importancia del daño causado y a la
probabilidad aproximada de que ese daño se convierta en realidad; se trata
principalmente de no gastar más dinero en una implementación para proteger
un recurso de lo que vale dicho recurso o de lo que nos costaría
recuperarnos
de un daño en él o de su pérdida total. Por ejemplo, podemos seguir un
análisis similar en algunos aspectos al problema de la mochila: llamamos
al riesgo de perder un recurso i (a la probabilidad de que se
produzca un ataque), y le asignamos un valor de 0 a 10 (valores más altos
implican más probabilidad); de la misma forma, definimos también de 0 a 10
la importancia de cada recurso, , siendo 10 la importancia más alta.
La evaluación del riesgo es entonces el producto de ambos valores, llamado
peso o riesgo evaluado de un recurso, , y medido en dinero perdido por
unidad de tiempo (generalmente, por año):
De esta forma podemos utilizar hojas de trabajo en las que, para cada recurso,
se muestre su nombre y el número asignado, así como los tres valores
anteriores. Evidentemente, los recursos que presenten un riesgo evaluado mayor
serán los que más medidas de protección deben poseer, ya que esto
significa que es probable que sean atacados, y que además el ataque puede
causar pérdidas importantes. Es especialmente importante un grupo de
riesgos denominados inaceptables, aquellos cuyo peso supera un cierto
umbral; se trata de problemas que no nos podemos permitir en nuestros sistemas,
por lo que su prevención es crucial para que todo funcione correctamente.
Una vez que conocemos el riesgo evaluado de cada recurso es necesario
efectuar lo que se llama el análisis de costes y beneficios. Básicamente
consiste en comparar el coste asociado a cada problema (calculado anteriormente,
) con el coste de prevenir dicho problema. El cálculo de este último
no suele ser complejo si conocemos las posibles medidas de prevención que
tenemos a nuestra disposición: por ejemplo, para saber lo que nos cuesta
prevenir los efectos de un incendio en la sala de operaciones, no tenemos más
que consultar los precios de sistemas de extinción de fuego, o para saber lo
que nos cuesta proteger nuestra red sólo hemos de ver los precios de productos
como routers que bloqueen paquetes o cortafuegos completos. No sólo
hemos de tener en cuenta el coste de cierta protección, sino también lo que
nos puede suponer su implementación y su mantenimiento; en muchos casos
existen soluciones gratuitas para prevenir ciertas amenazas, pero estas
soluciones tienen un coste asociado relativo a la dificultad de hacerlas
funcionar correctamente de una forma contínua en el tiempo, por ejemplo
dedicando a un empleado a su implementación y mantenimiento.
Cuando ya hemos realizado este análisis no tenemos más que presentar
nuestras cuentas a los responsables de la organización (o adecuarlas al
presupuesto que un departamento destina a materias de seguridad), siempre
teniendo en cuenta que el gasto de proteger un recurso ante una amenaza ha de
ser inferior al gasto que se produciría si la amenaza se convirtiera en
realidad. Hemos de tener siempre presente que los riesgos se pueden minimizar,
pero nunca eliminarlos completamente, por lo que será recomendable
planificar no sólo la prevención ante de un problema sino también la
recuperación si el mismo se produce; se suele hablar de medidas proactivas (aquellas que se toman para prevenir un problema) y medidas reactivas (aquellas que se toman cuando el daño se produce, para minimizar
sus efectos).
© 2002 Antonio Villalón Huerta