«Todas las cosas por un poder inmortal
cerca o lejos
ocultamente
están unidas entre si,
de tal modo que no puedes agitar una flor
sin trastornar una estrella» — Francis Thomson

Inspirado en un comentario de @Vic donde decía que el análisis de riesgos servía para priorizar los sistemas de información me quedé pensando ¿de verdad sirve para algo priorizar los sistemas de información?

Una de los aspectos diferenciales del ENS del que se jactan sus creadores es el hecho de que las medidas de protección son proporcionales a la importancia de los activos.

Esto significa que un activo poco importante tendrá menos y peores medidas de seguridad que un activo importante. Así dicho parece muy razonable, ¿no?

Lamentablemente la realidad no son tan sencilla. Como dice Thomson, todas las cosas están unidas entre sí. Todos los sistemas de información están relacionados entre sí, pueden compartir redes, sitio físico, usuarios, operadores, administradores, responsables, almacenamiento, etc.

Por lo que atacando primero a un sistema poco importante y más indefenso podemos conseguir una avanzadilla para atacar a otro de nivel medio y luego a otro de nivel alto. Esto suele llamarse pivotar.

Como metáfora ilustrativa os propongo un ejercicio. Imaginaos una casa que tiene un pasillo central y muchas habitaciones. Cada habitación tiene una función. Algunas, como el dormitorio o salón, son de nivel alto. Otras como el cuarto de baño o la cocina son de nivel medio. Y por último, la sala de estar es de nivel bajo.

Así que pensamos que es mejor poner rejas con pinchos y alarma en las ventanas de las habitaciones de nivel alto, rejas con pinchos sin alarma en las de nivel medio y rejas sin pinchos en la sala de estar.

Así visto, total, si alguien entra en la sala de estar no pasa nada porque no hay nada de valor. Pero la sala de estar está conectada al pasillo y desde ahí podemos intentar atacar las otras habitaciones. Entonces alguien puede pensar que se protegen las puertas de cada habitación, con mejores protecciones cuánto más importante sean.

En ese caso nos podemos quedar en el pasillo, esperando a que alguien salga para atacarlo. Si decidimos proteger el pasillo de algún modo (por ejemplo, llaves para salir de cada habitación, siempre podemos hacer ruido en la sala de estar y esperar a que alguien entre a ver qué ha pasado. O bien podemos prenderle fuego. O pintarla de graffitis.

¿Lo vais pillando? Una vez se tiene éxito atacando a un activo, las posibilidades son numerosas, sólo limitadas por la falta de imaginación o de tiempo.

Aún así, esto no quiere decir que todos los sistemas tengan que tener las mismas medidas. Siempre habrá que considerar qué medidas son adecuadas en función de sus necesidades. Que no hace falta firma digital, perfecto. Que basta con una copia a la semana, pues vale. Pero no porque sean poco o muy importantes, sino atendiendo a requisitos de protección de la información.

Y otro asunto sucio del ENS es que los sistemas no sólo pueden estar en alguna de las tres categorías (básica, media y alta) sino que también están aquellos que no están en el ámbito. Pero esta es una historia que será contada en otra ocasión…