Dimensiones de los activos

Una vez identificados los activos, debe realizarse la valoración ACIDT de los mismos. Dicha valoración mide la criticidad de los activos en función de las cinco dimensiones de la seguridad de la información manejada por el proceso de negocio:

 Autenticidad [A]: El nivel de seguridad requerido en el aspecto de autenticidad se establecerá en función de las consecuencias que tendría el hecho de que la información no fuera auténtica.

 Confidencialidad [C]: El nivel de seguridad requerido en el aspecto de confidencialidad se establecerá en función de las consecuencias que tendría su revelación a personas no autorizadas o que no necesitan conocer la información.  Integridad [I]: El nivel de seguridad requerido en el aspecto de integridad se

establecerá en función de las consecuencias que tendría su modificación por alguien que no está autorizado a modificar la información

 Disponibilidad [D]:El nivel de seguridad requerido en el aspecto de disponibilidad se establecerá en función de las consecuencias que tendría el que una persona autorizada no pudiera acceder a la información cuando la necesita.

 Auditabilidad/Trazabilidad [T]: El nivel de seguridad requerido en el aspecto de trazabilidad se establecerá en función de las consecuencias que tendría el no poder rastrear a posteriori quién ha accedido a o modificado una cierta información.

Esta valoración permite a posteriori valorar el impacto que puede tener la materialización de una amenaza sobre la parte de activo expuesto.

En este caso utilizaremos una escala de valoración de diez valores siguiendo los siguientes criterios por cada una de las dimensiones. En el anexo I se puede ver la valoración de cada una de las dimensiones en los activos

Tabla 9: Escala de valoración de la confidencialidad

[Confidencial

idad]:Valor Descripción

[C]:10

- porque la información debe conocerla un número muy reducido de personas - por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque su revelación causaría un grave daño, de imposible reparación - porque su revelación supondría el incumplimiento de una norma

- porque su revelación causaría pérdidas económicas muy elevadas o alteraciones financieras significativas

[C]:7-9

- porque la información debe conocerla un número reducido de personas - por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque su revelación causaría un grave daño, de difícil o imposible reparación - porque su revelación supondría el incumplimiento grave de una norma

34

Tabla 9: Escala de valoración de la confidencialidad

- porque su revelación causaría pérdidas económicas elevadas o alteraciones financieras significativas

[C]:4-6

- porque la información deben conocerla sólo quienes lo necesiten para su trabajo, con autorización explícita

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque su revelación causaría un daño importante aunque subsanable

- porque su revelación supondría el incumplimiento material o formal de una norma - porque su revelación causaría pérdidas económicas importantes

[C]:1-3

- porque la información no deben conocerla personas ajenas a la organización - por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque su revelación causaría algún perjuicio

- porque su revelación supondría el incumplimiento leve de una norma - porque su revelación supondría pérdidas económicas apreciables [C]:0 - información de carácter público, accesible por cualquier persona

Tabla 10: Escala de valoración de la disponibilidad

[Disponibilida

d]:Valor Descripción

[D]:10

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la indisponibilidad de la información causaría un daño de difícil reparación - porque la indisponibilidad de la información supondría el incumplimiento muy grave de una norma

- porque la indisponibilidad de la información causaría un daño reputacional muy grave - cuando el RTO es inferior a 4 horas

[D]:7-9

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque la indisponibilidad de la información causaría un grave daño

- porque la indisponibilidad de la información supondría el incumplimiento grave de una norma

- porque la indisponibilidad de la información causaría un daño reputacional grave - cuando el RTO es inferior a 8 horas

35

Tabla 10: Escala de valoración de la disponibilidad

[D]:4-6

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque la indisponibilidad de la información causaría un daño subsanable

- porque la indisponibilidad de la información supondría el incumplimiento formal de una norma

- porque la indisponibilidad de la información causaría un daño reputacional importante - cuando el RTO se sitúa entre 8 y 24 horas (un día)

[D]:1-3

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque la indisponibilidad de la información causaría algún perjuicio

- porque la indisponibilidad de la información supondría el incumplimiento leve

- porque la indisponibilidad de la información causaría un daño reputacional apreciable - cuando el RTO se sitúa entre 1 y 5 días (una semana)

[D]:0

- cuando la información es prescindible por tiempo indefinido - cuando el RTO es superior a una semana

Tabla 11: Escala de valoración de la autenticidad

[Autenticidad]

: Valor Descripción

[A]:10

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la falsedad en su origen o en su destinatario causaría un grave daño, de imposible reparación

- porque la falsedad en su origen o en su destinatario causaría pérdidas económicas muy elevadas

- porque la falsedad en su origen o en su destinatario causaría un daño reputacional grave

[A]:7-9

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la falsedad en su origen o en su destinatario causaría un grave daño, de imposible reparación

- porque la falsedad en su origen o en su destinatario causaría pérdidas económicas muy elevadas

- porque la falsedad en su origen o en su destinatario causaría un daño reputacional grave

36

Tabla 11: Escala de valoración de la autenticidad

[A]:4-6

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la falsedad en su origen o en su destinatario causaría un daño importante aunque subsanable

- porque la falsedad en su origen o en su destinatario causaría pérdidas económicas importantes

- porque la falsedad en su origen o en su destinatario causaría un daño reputacional importante

[A]:1-3

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque la falsedad en su origen o en su destinatario causaría algún perjuicio

- porque la falsedad en su origen o en su destinatario causaría pérdidas económicas apreciables

- porque la falsedad en su origen o en su destinatario causaría un daño reputacional apreciable

[A]:0

- cuando el origen es irrelevante o ampliamente conocido por otros medios - cuando el destinatario es irrelevante

Tabla 12: Escala de valor por la trazabilidad

[Trazabilidad]:

Valor Descripción

[T]:10

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la incapacidad para rastrear un acceso a la información impediría la capacidad de subsanar un error grave

- porque la incapacidad para rastrear un acceso a la información dificultaría enormemente la capacidad para perseguir delitos

[T]:7-9

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la incapacidad para rastrear un acceso a la información dificultaría notablemente la capacidad de subsanar un error grave

- porque la incapacidad para rastrear un acceso a la información dificultaría notablemente la capacidad para perseguir delitos

[T]:4-6

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la incapacidad para rastrear un acceso a la información impediría o dificultaría notablemente la capacidad de subsanar un error importante

- porque la incapacidad para rastrear un acceso a la información dificultaría notablemente la capacidad para perseguir delitos

37

Tabla 12: Escala de valor por la trazabilidad

[T]:1-3

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque la incapacidad para rastrear un acceso a la información dificultaría la capacidad de subsanar errores

- porque la incapacidad para rastrear un acceso a la información dificultaría la capacidad para perseguir delitos

[T]:0

- cuando no se pueden producir errores de importancia, o son fácilmente reparables por otros medios

- cuando no se pueden perpetrar delitos relevante, o su investigación es fácilmente realizable por otros medios

Tabla 13: Escala de valoración por su integridad

[Integridad]:V

alor Descripción

[I]:10

- por disposición legal o administrativa

- porque su manipulación o modificación no autorizada causaría un daño de imposible reparación

- porque su manipulación o alteración no autorizada causaría pérdidas económicas elevadas

[I]:7-9

- por disposición legal o administrativa: ley, decreto, orden, reglamento, …

- porque su manipulación o modificación no autorizada causaría un grave daño, de difícil reparación

- porque su manipulación o alteración no autorizada causaría pérdidas económicas elevadas

- porque su manipulación o alteración no autorizada causaría un daño reputacional grave

[I]:4-6

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque su manipulación o modificación no autorizada causaría un daño importante aunque subsanable

- porque su manipulación o modificación no autorizada supondría el incumplimiento material o formal de una norma

- porque su manipulación o modificación no autorizada causaría pérdidas económicas importantes

- porque su manipulación o modificación no autorizada causaría un daño reputacional importante con los ciudadanos o con otras organizaciones

38

Tabla 13: Escala de valoración por su integridad

[I]:1-3

- por disposición legal o administrativa: ley, decreto, orden, reglamento, … - porque su manipulación o modificación no autorizada causaría algún perjuicio

- porque su manipulación o modificación no autorizada supondría el incumplimiento leve de una norma

- porque su manipulación o modificación no autorizada supondría pérdidas económicas apreciables

- porque su manipulación o modificación no autorizada causaría un daño reputacional apreciable

[I]:0

- cuando los errores en su contenido carecen de consecuencias o son fácil y rápidamente reparables