continuamos con INCIBE

Volviendo a la hoja de Excel facilitada por INCIBE de la que hablábamos en el anterior post, fijándonos en su catálogo de amenazas podemos deducir que cada grupo de amenazas tiene en común las dimensiones de seguridad a las que comprometen, identificando así lo siguiente: 

-        Errores de los usuarios à disponibilidad

-        Errores del administrador à disponibilidad

-        Errores de configuración à integridad

 

-        Denegación de servicio à disponibilidad

-        Robo à confidencialidad

-        Indisponibilidad del personal à disponibilidad

-        Extorsión à confidencialidad

-        Ingeniería social à confidencialidad

 

-        Corte de suministro eléctrico à disponibilidad

-        Condiciones inadecuadas de temperatura o humedad à disponibilidad

-        Fallo de servicios de comunicaciones à disponibilidad

-        Interrupción de otros servicios y suministros esenciales à todas

-        Desastres industriales à todas

 

-        Degradación de los soportes de almacenamiento de la información à todas

-        Difusión de software dañino à todas

-        Errores de mantenimiento/ actualización de programas (software) à todas

-        Errores de mantenimiento/ actualización de equipos (hardware) à todas

-        Caída del sistema por sobrecarga à todas

-        Pérdida de equipos à todas

-        Indisponibilidad del personal à todas

-        Abuso de privilegios de acceso à todas

-        Acceso no autorizado à todas

-        Fuego à disponibilidad e integridad

-        Daños por agua à disponibilidad e integridad

-        Desastres naturales à disponibilidad e integridad

 

-        Fuga de información à confidencialidad

-        Introducción de falsa información à integridad

-        Alteración de la información à confidencialidad

-        Corrupción de la información à integridad y confidencialidad

-        Destrucción de información à confidencialidad

-        Interceptación de información (escucha) à confidencialidad

Por otro lado, si nos centramos en el apartado de cruce activo-amenaza de esta misma hoja de Excel:

En nuestra tabla de análisis de riesgo de INCIBE tenemos un total de 21 amenazas y 3 activos: ordenadores, móviles y conexión a Internet e incluso wifi. Consecuentemente tendremos que realizar 63 evaluaciones de amenazas porque Nº evaluaciones= nº amenazas x nº activos = 21 x 3= 63.

En un escenario hipotético podríamos hacer un estudio de este tipo en entre 2 y 3 horas, pues dependerá de la complejidad de cada cruce de amenazas-activo, además de cuantos controles de seguridad implementemos según la probabilidad de impacto de cada amenaza y su riesgo asociado.