Vulnerabilidad

Cuando se comienza en el mundo de la Seguridad de la Información, comienza un bombardeo de términos nuevos que acaban nublándote la vista y que poco a poco, con su manejo diario y tras un periodo de asentamiento comienzas a entender y a utilizar.

Algunos de estos términos son, activo, amenaza o vulnerabilidad. Estos tres conceptos están íntimamente ligados y los podemos definir de forma simplificada como sigue:

Activo: Cualquier cosa que tiene valor para la organización.
Amenaza: Evento que es capaz de causar un daño (impacto) a algún activo.
Vulnerabilidad: ¿?¿?

Aquí viene el problema, y la fuente de no pocas conversaciones con la gente que me rodea acerca de dónde viene la vulnerabilidad de un activo. Veamos el problema.

Tengo un papel que contiene una información escrita de gran valor para mi organización, por lo que para mi es un activo de vital importancia. Podemos decir que el papel es inflamable, pero esto es, ni más ni menos, que porque exite el fuego (la amenaza). Ahora bien, ¿y si meto el papel en un armario inífugo?. En este contexto, ¿deja de ser ese papel vulnerable al fuego?. Esto nos lleva a una pregunta más general, ¿depende la vulnerabilidad de un activo del contexto en el que se encuentra?.

Para aclarar este embrollo vamos a acudir al diccionario de la rae:

Vulnerable: adj. Que puede ser herido o recibir lesión, física o moralmente.

Por tanto, una vulnerabilidad existe porque un activo puede ser herido o recibir lesión, física o moralmente. Esto hace mención a su naturaleza, a que existe, y por tanto puede recibir lesión física y a que puede ser de naturaleza humana, pues puede ser dañado moralmente. De esto deducimos que la vulnerabilidad pertenece al activo y es inherente a su naturaleza.

Volviendo al ejemplo del papel con información trascendental dentro de un armario inífugo, tendríamos lo siguiente:

- La información es vulnerable.
- El papel es vulnerable.
- El armario inífugo es vulnerable.

Por su propia condición, estos tres elementos son vulnerables, sin embargo, en Seguridad de la Información, no podemos dejarlo ahí, sabemos que algo puede ocurrirles a los activos de información de una empresa, pero el quid de la cuestión está en saber qué puede ocurrirles para prevenirlo y poner los controles necesarios para minimizar la probabilidad de ocurrencia de un suceso adverso. Para ello debemos saber a qué es vulnerable cada activo, o lo que es lo mismo, qué puede dañar física o moralmente a un activo. Es por ello que asociamos la vulnerabilidad de un activo a una amenaza. Volviendo sobre el ejemplo.

- La información no es vulnerable al fuego.
- El papel es vulnerable al fuego.
- El armario inífugo no es vulnerable al fuego.

De esta forma tenemos que, al escribir la información en el papel, la estamos exponiendo al fuego y al meter este papel en el armario inífugo estamos protegiendo la información del fuego.

Y de todo esto deducimos que, la vulnerabilidad de un activo de información a una amenaza concreta y en un momento determinado del tiempo depende de su contexto, el cual modifica el grado de vulnerabilidad del activo. Y esto no es ni más ni menos que la base de la seguridad de la información, modificar el contexto de un activo de información para que éste sea más seguro :).

Por último, y siempre bajo mi punto de vista, a la definición de la rae yo le añadiría lo siguiente:

Vulnerable: adj. Que puede ser herido o recibir lesión, física, lógica o moralmente.