NIST SP 800-33 2.0.1 dice que "disponibilidad" parte de la tríada de la CIA protege contra intentos intencionales o accidentales de:
- realizar la eliminación no autorizada de datos o
- de lo contrario, causará una denegación de servicio o datos
Esto deja bastante claro que la capacidad de eliminar datos de hecho modifica la disponibilidad desde un punto de vista de seguridad en general. Sin embargo, la especificación CVSS v2 indica:
Esta métrica mide el impacto en la disponibilidad de una vulnerabilidad explotada con éxito. La disponibilidad se refiere a la accesibilidad de los recursos de información. Los ataques que consumen ancho de banda de red, ciclos de procesador o espacio en disco afectan la disponibilidad de un sistema.
Todos los ejemplos proporcionados discuten la disponibilidad del servicio, no la disponibilidad de datos. Sé que CVSS v3 lo soluciona indicando explícitamente:
... Es decir, la métrica de Disponibilidad habla del rendimiento y la operación del servicio en sí, no de la disponibilidad de los datos.
Al calificar una vulnerabilidad que brinda la posibilidad de eliminar datos con CVSS v2, ¿la califica como impactando la disponibilidad? ¿Es seguro asumir que esta aclaración se puede trasladar a v2?