(VA) ENS - És necessari realitzar una Anàlisi de riscos, en sentit estricte? No bastaria amb usar l'experiència de els tècnics de l'organisme per a determinar què mesures són les més oportunes en cada cas?

Owned by Former user (Deleted)
Last updated: may 11, 2023 by Carla Garrido Zanón
2 min read

Encara que la nostra experiència en matèria de Seguretat de   la Informació siga dilatada, hem d'entendre  que els processos  d'Anàlisis de Riscos, realitzats adequadament, es duen a terme   usant metodologies contrastades que eviten que un excés de confiança ens conduïsca a errors, imprecisions, oblits, etc., que podrien tindre conseqüències desastroses per als nostres sistemes o serveis.

  

Tots els models i referents de seguretat   coincideixen a sostindre que l'edifici  de   la seguretat i, en definitiva, la confiança, es construeixen  sobre la base de l'Anàlisi  i la Gestió de Riscos.

Com podria modular-se, de no ser així, l'equilibri  entre  la informació que es maneja, els serveis que es presten, els riscos a   els quals estan exposats i l'adopció  de   les mesures adequades i proporcionades per a la  protecció de   la informació i els serveis?


Observe's que, fins i tot quan se seleccionen les mesures apropiades, també és necessari graduar-les o assignar-los un determinat nivell. (Per exemple,  optar per usar un mecanisme d'usuari/contrasenya,  targeta amb certificats o autenticació amb biometria, en  l'accés a   un Sistema d'Informació)..

Podem afirmar que l'Anàlisi  i la Gestió de Riscos són la base  de la Seguretat TIC. Les Directrius de seguretat de   l'OCDE, les normes internacionals ISO/IEC 27001/27002, les normes NIST, etc., totes elles sustenten la seua aplicació a   una preceptiva anàlisi i ulterior gestió de riscos.

Per a obtindre una informació més completa de   les pràctiques europees habituals en Gestió de


Per aquest motiu, l'art.  6 de l'ENS  assenyala com a obligatori, per a tots els sistemes afectats per   l'ENS, el desenvolupament de   una Anàlisi de Riscos, al que haurà de seguir el corresponent procés  de Gestió de Riscos (art. 13).


Realitzar una Anàlisi i Gestió de Riscos no és, per tant, una mesura opcional: és una exigència d'obligat  compliment.


























Rev:2023 / 05
Lang.

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA