Sea cuales fueren los requerimientos de seguridad, es importante identificar y explicitar los objetivos de seguridad del sistema, sin importar cómo se agrupen. De esta forma se estará en condiciones de determinar si se están cumpliendo, y en caso de no ser así, dónde están las falencias.
Antes de entrar en el detalle de lo que se desea, deben tenerse en cuenta un par de puntos importantes:
Cuando se habla de seguridad, normalmente se considera sólo el caso de un atacante que accede al sistema sin autorización. Siendo éste un caso importante, no debe olvidarse el efecto que pueden tener equipos que fallan, cortes de energía, fenómenos naturales, error humano, ...
La seguridad absoluta no existe. Lo más que se puede hacer es disminuir la probabilidad o el impacto de situaciones no deseadas.
Toda seguridad tiene un costo. Este costo no es sólo en términos de equipamiento (máquinas replicadas, alarmas contra intrusos, o sistemas de respaldo), el costo más importante (que suele olvidarse) es en términos de comodidad de uso (mantener sincronizadas las réplicas, tener a alguien que deba presentarse en corto plazo si suena la alarma, o el no poder usar el sistema mientras se hacen los respaldos mensuales).
La cadena es tan fuerte como su eslabón más débil. Es inútil asegurar exhaustivamente el acceso al sistema donde están los datos a proteger contra acceso no autorizado si éstos aparecen en forma de listados en la basura.
En lo que sigue se discute más que nada el caso en que se pierdan datos. El mismo tipo de análisis puede (y debe) aplicarse a las demás dimensiones de la seguridad que interesen para una situación dada. Por ejemplo, es perfectamente factible que ciertos datos tengan poco valor en sí, pero que deban ser protegidos cuidadosamente contra divulgación o modificación no autorizadas.
El análisis que se haga deberá considerar como parte del "valor" de los recursos en cada una de las dimensiones condiciones adicionales, como pueden ser obligaciones legales (hay leyes que regulan el uso que pueden hacer las instituciones financieras con los datos de los clientes), contractuales (una empresa de ingeniería estará obligada a guardar reserva de los proyectos de sus clientes), e incluso éticas (los datos de los pacientes de un médico son confidenciales). Un punto de importancia es el problema de imagen pública: En Internet, la imagen que tiene una empresa está dada por su reputación casi exclusivamente. Como el grueso público conoce aún menos de segiuridad que los especialistas, incidentes como el reciente cracking de Microsoft, donde el (o los) atacantes habrían tenido acceso al repositorio de código fuente resultan alarmantes para los potenciales clientes, que de muchas empresas sólo conocen su página web. Además, de ser usada una máquina como herramienta para atacar a otras, en algunas legislaciones el responsable de la máquina usada para perpetrar un ataque puede ser legalmente responsable de éste, al menos en parte.
Es importante tener claro cuáles son los recursos que deben protegerse. Igualmente, es importante determinar los riesgos a que están sujetos, y el impacto que tales riesgos puedan tener.
Típicamente los datos almacenados en un sistema son mucho más valiosos que el sistema mismo. Debe determinarse el costo de reponer los recursos bajo estudio (suponiendo que se pierden totalmente), y alguna idea de la probabilidad de tales desgracias. Esto determinará el costo que estaremos dispuestos a incurrir para protegerlos de posible pérdida.
Asimismo, debe considerarse el valor que estos recursos puedan tener para un posible atacante. Esto determinará en buena parte el costo en que éste estará dispuesto a incurrir para acceder a ellos. Esto, a su vez, da una pauta complementaria para determinar cuánto esfuerzo invertir en su protección.