(ES) ENS - ¿Es necesario realizar un Análisis de Riegos, en sentido estricto? ¿No bastaría con usar la experiencia de los técnicos del organismo para determinar qué medidas son las más oportunas en cada caso?

Owned by SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ
Last updated: may 11, 2023 by Carla Garrido Zanón
2 min read

La excesiva confianza en las capacidades personales y en la experiencia es, en sí misma, un riesgo.


Aunque nuestra experiencia en materia de Seguridad de la Información sea dilatada, debemos entender que los procesos de Análisis de Riesgos, realizados adecuadamente, se llevan a cabo usando metodologías contrastadas que evitan que un exceso de confianza nos conduzca a errores, imprecisiones, olvidos, etc., que podrían tener consecuencias desastrosas para nuestros sistemas o servicios.


Todos los modelos y referentes de seguridad coinciden en sostener que el edificio de la seguridad y, en definitiva, la confianza, se construyen sobre la base del Análisis y la Gestión de Riesgos. ¿Cómo podría modularse, de no ser así, el equilibrio entre la información que se maneja, los servicios que se prestan, los riesgos a los que están expuestos y la adopción de las medidas adecuadas y proporcionadas para la protección de la información y los servicios?


Obsérvese que, incluso cuando se seleccionan las medidas apropiadas, también es necesario graduarlas o asignarles un determinado nivel. (Por ejemplo, optar por usar un mecanismo de usuario/contraseña, tarjeta con certificados o autenticación con biometría, en el acceso a un Sistema de Información).
Podemos afirmar que el Análisis y la Gestión de Riesgos son la base de la Seguridad TIC. Las Directrices de seguridad de la OCDE, las normas internacionales ISO/IEC 27001/27002, las normas NIST, etc., todas ellas sustentan su aplicación a un preceptivo análisis y ulterior gestión de riesgos.


Por este motivo, el art. 6 del ENS señala como obligatorio, para todos los sistemas afectados por el ENS, el desarrollo de un Análisis de Riesgos, al que deberá seguir el correspondiente proceso de Gestión de Riesgos (art. 13).


Realizar un Análisis y Gestión de Riesgos no es, por tanto, una medida opcional: es una exigencia de obligado cumplimiento.



























Rev:2023 / 05
Lang.

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA