(ES) ENS - La preceptiva Declaración de Aplicabilidad, ¿ha de realizarse por Sistema de Información o por Áreas de Negocio?

La Declaración de Aplicabilidad es uno de los elementos que se obtienen como resultado de un Análisis de Riesgos previo. Por tanto, como su propio nombre indica, la Declaración de Aplicabilidad deberá aplicarse al Sistema de Información que le ha dado origen.

En términos prácticos, podrá realizarse un Análisis de Riesgos para todo el conjunto de sistemas y, a posteriori, desarrollar una o varias Declaraciones de Aplicabilidad, asignando a cada una de ellas los activos que trate cada sistema independiente.

La posibilidad coherente de realizar un único Análisis de Riesgos se da cuando todos los Sistemas de Información sometidos al Análisis de Riesgos pertenezcan al mismo Dominio de Seguridad, es decir, aquel conjunto de sistemas sometidos a una Política de Seguridad de la Información común, esto es: homogéneos desde el punto de vista de medidas que hay que aplicar.

La herramienta PILAR, distribuida por el CCN, permite este estudio separado por dominios de seguridad.
A efectos prácticos, puede resultar útil desarrollar primero los sistemas horizontales (infraestructuras compartidas), para seguir con los sistemas verticales, que pueden ir añadiéndose como "familia de servicios".