Читать книгу Seguridad en equipos informáticos. IFCT0510 - José Francisco Giménez Albacete - Страница 29
3.3. Valoración de los procesos a partir de sus componentes
ОглавлениеEl apartado anterior da un enfoque sencillo para evaluar los requisitos de seguridad de un proceso, haciéndolos coincidir con los requisitos de su información resultante.
Como ya se mencionó, en ocasiones esto no será posible o conveniente. En estos casos pueden determinarse los requisitos de seguridad del proceso a partir de los requisitos de seguridad de sus componentes. Si se recuerda, un proceso puede observarse como la combinación de unas personas, una información de entrada, y unos sistemas de procesamiento para generar una información de salida.
Los requisitos de seguridad para los procesos pueden observarse entonces como una combinación de los requisitos de seguridad de las personas, de los sistemas, y de la información que intervenga.
A la hora de agregar los requisitos de los componentes, existen varias opciones. Por ejemplo, si la valoración es cuantitativa, pueden sumarse los niveles en cada dimensión; si la valoración es cualitativa, también pueden sumarse, estableciendo unas normas previas (dos niveles bajo equivalen a un nivel moderado, o dos niveles graves equivalen a un desastroso).
Una opción sencilla cuando se realizan valoraciones cualitativas, es emplear para el proceso el nivel máximo de sus componentes; tanto para la C, como para la I y la A. Por ejemplo, en un proceso en el que intervenga una información con requisitos (M, M, B), un sistema hardware con requisitos (M, A, B), y una persona con requisitos CIA de valores (A, M, B), se podría tener una clasificación de seguridad para el proceso de (A, A, B).
Cada elemento va añadiendo sus requisitos CIA según se asciende hasta el proceso final. Si las relaciones que se emplea son en sentido contrario (“necesita” en lugar de “permite”), se puede realizar el proceso inverso, y propagar los requisitos CIA del proceso hacia sus integrantes.
Aunque se trate de aspectos de la información independientes, en ocasiones se necesita combinar los valores de C, I y A, para obtener un único valor de seguridad para el proceso. Si la valoración es cuantitativa, puede emplearse la suma, que puede ser no ponderada (S = C + I + A), o ponderando cada dimensión, para otorgarles diferentes pesos, por ejemplo: S = [(3 x C) + (2 x I) + A)] / 6.
Si la valoración es cualitativa, habitualmente se simplifica en elegir como representante de seguridad del proceso el valor máximo que se alcance en alguna de sus dimensiones.