/
(VA) ENS - És necessari realitzar una Anàlisi de riscos, en sentit estricte? No bastaria amb usar l'experiència de els tècnics de l'organisme per a determinar què mesures són les més oportunes en cada cas?

(VA) ENS - És necessari realitzar una Anàlisi de riscos, en sentit estricte? No bastaria amb usar l'experiència de els tècnics de l'organisme per a determinar què mesures són les més oportunes en cada cas?

By Former user (Deleted)
may 11, 2023

Encara que la nostra experiència en matèria de Seguretat de   la Informació siga dilatada, hem d'entendre  que els processos  d'Anàlisis de Riscos, realitzats adequadament, es duen a terme   usant metodologies contrastades que eviten que un excés de confiança ens conduïsca a errors, imprecisions, oblits, etc., que podrien tindre conseqüències desastroses per als nostres sistemes o serveis.

  

Tots els models i referents de seguretat   coincideixen a sostindre que l'edifici  de   la seguretat i, en definitiva, la confiança, es construeixen  sobre la base de l'Anàlisi  i la Gestió de Riscos.

Com podria modular-se, de no ser així, l'equilibri  entre  la informació que es maneja, els serveis que es presten, els riscos a   els quals estan exposats i l'adopció  de   les mesures adequades i proporcionades per a la  protecció de   la informació i els serveis?


Observe's que, fins i tot quan se seleccionen les mesures apropiades, també és necessari graduar-les o assignar-los un determinat nivell. (Per exemple,  optar per usar un mecanisme d'usuari/contrasenya,  targeta amb certificats o autenticació amb biometria, en  l'accés a   un Sistema d'Informació)..

Podem afirmar que l'Anàlisi  i la Gestió de Riscos són la base  de la Seguretat TIC. Les Directrius de seguretat de   l'OCDE, les normes internacionals ISO/IEC 27001/27002, les normes NIST, etc., totes elles sustenten la seua aplicació a   una preceptiva anàlisi i ulterior gestió de riscos.

Per a obtindre una informació més completa de   les pràctiques europees habituals en Gestió de


Per aquest motiu, l'art.  6 de l'ENS  assenyala com a obligatori, per a tots els sistemes afectats per   l'ENS, el desenvolupament de   una Anàlisi de Riscos, al que haurà de seguir el corresponent procés  de Gestió de Riscos (art. 13).


Realitzar una Anàlisi i Gestió de Riscos no és, per tant, una mesura opcional: és una exigència d'obligat  compliment.


























Rev:2023 / 05
Lang.

Related content

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv