El primer paso a dar es establecer qué es lo que se desea proteger, por qué y cuál es su valor, así como de quién se desea proteger. El objetivo que perseguimos -a la postre- no es otro que lograr que un ataque a nuestros bienes sea más costoso que su valor, invirtiendo menos de lo que vale.
El motivo es muy sencillo: si proteger nuestros bienes es más caro de lo que valen, entonces nos resulta más conveniente obtenerlos de nuevo que protegerlos, e igualmente, si atacarlos es más caro de lo que valen, a los atacantes les merecerá más la pena obtenerlos por sí mismos que atacarnos.
De esta simple ecuación se pueden derivar fácilmente las normas básicas en la evaluación de los riesgos, que podemos desglosar en dos partes:
Ambos conceptos son fundamentales, y ambos deben extenderse por toda la gama de posibilidades. Para ello lo mejor es observar el objeto de protección fría y metódicamente:
Es probablemente el elemento más fácil de valorar: nadie mejor que Vd. para saber cuánto vale. Sólo necesita asegurarse de que valora todos los costes afectados, examinando minuciosamente todos los componentes a proteger.
Por ejemplo: un servidor de un departamento donde trabajan varios grupos de investigación podría valorarse -muy simplemente- de esta forma:
- valor del ordenador
- valor del software
- valor de los resultados de investigación, patentes, etc... almacenados
- coste del esfuerzo y materiales invertidos en obtener esos datos
- valor de la información personal que contiene
Una vez más, hay que intentar abarcar todas las posibilidades. Aquí es bueno a menudo contar con un experto en temas de seguridad, pues pueden existir costes derivados que Vd. no conozca o imagine. Podemos seguir el ejemplo anterior:
- valor de sustituir el hardware
- valor de sustituir el software
- valor de los resultados
- coste de reproducir los experimentos significativos
- coste de regenerar la información personal
Estos parecen los costes más obvios. Pero puede haber mucho más. Por ejemplo, los resultados pueden ser públicos y tener un valor aparente nulo, pero en un entorno ultracapitalista y bajo las últimas propuestas de leyes internacionales de derechos de copia, su pérdida a manos de una compañía comercial podría suponer su desaparición del dominio público y el que esa información deje de ser gratuita y pase a ser comercial con un coste -incluso para quien originalmente la desarrolló- notoriamente elevado. Véase si no el caso de las primeras versiones del popular editor de textos EMACS.
Más aún, información aparentemente inocua puede resultar tremendamente sensible: unos datos personales en apariencia inocentes podrían permitir a alguien suplantar a otra persona, otorgándole impunidad para cometer crímenes que al final serán imputados a la persona cuyos inocentes datos fueron comprometidos.
Un análisis detallado del sistema podría revelar que además existen datos confidenciales, o acuerdos con empresas, o información privilegiada que un agresor avezado podría usar en su beneficio y -probablemente- en nuestro detrimento. Es decir, no sólo se trata del valor del elemento perdido -si es que algo se pierde- si no también del valor añadido que gana el atacante y la repercusión de esa ganacia sobre nosotros.
Esta evaluación debe afectar todos los aspectos: además de los bienes, está en nuestro ejemplo el tiempo que fue necesario para obtenerlos. Un atacante podría intentar acceder a ellos sólo por ahorrarse el coste de realizar un desarrollo propio o el tiempo que éste supuso, o para obtener la experiencia y conocimientos que se ganó en su obtención.
En resumen
, aunque en principio pueda parecer fácil la valoración de los bienes protegidos, pueden existir numerosos costes ocultos inherentes a su pérdida o compromiso que sólo un análisis detallado puede revelar y que a menudo requieren una valoración por alguien con experiencia en seguridad en conjunción con expertos especializados en el tratamiento de los bienes protegidos.