(VA) ENS - És necessari realitzar una Anàlisi de riscos, en sentit estricte? No bastaria amb usar l'experiència de els tècnics de l'organisme per a determinar què mesures són les més oportunes en cada cas?
Encara que la nostra experiència en matèria de Seguretat de la Informació siga dilatada, hem d'entendre que els processos d'Anàlisis de Riscos, realitzats adequadament, es duen a terme usant metodologies contrastades que eviten que un excés de confiança ens conduïsca a errors, imprecisions, oblits, etc., que podrien tindre conseqüències desastroses per als nostres sistemes o serveis.
Tots els models i referents de seguretat coincideixen a sostindre que l'edifici de la seguretat i, en definitiva, la confiança, es construeixen sobre la base de l'Anàlisi i la Gestió de Riscos.
Com podria modular-se, de no ser així, l'equilibri entre la informació que es maneja, els serveis que es presten, els riscos a els quals estan exposats i l'adopció de les mesures adequades i proporcionades per a la protecció de la informació i els serveis?
Observe's que, fins i tot quan se seleccionen les mesures apropiades, també és necessari graduar-les o assignar-los un determinat nivell. (Per exemple, optar per usar un mecanisme d'usuari/contrasenya, targeta amb certificats o autenticació amb biometria, en l'accés a un Sistema d'Informació)..
Podem afirmar que l'Anàlisi i la Gestió de Riscos són la base de la Seguretat TIC. Les Directrius de seguretat de l'OCDE, les normes internacionals ISO/IEC 27001/27002, les normes NIST, etc., totes elles sustenten la seua aplicació a una preceptiva anàlisi i ulterior gestió de riscos.
Per a obtindre una informació més completa de les pràctiques europees habituals en Gestió de
Per aquest motiu, l'art. 6 de l'ENS assenyala com a obligatori, per a tots els sistemes afectats per l'ENS, el desenvolupament de una Anàlisi de Riscos, al que haurà de seguir el corresponent procés de Gestió de Riscos (art. 13).
Realitzar una Anàlisi i Gestió de Riscos no és, per tant, una mesura opcional: és una exigència d'obligat compliment.
Rev: | 2023 / 05 |
Lang. |
|
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA