¿Cómo valoras los activos de tu empresa? ¿Los tienes identificados y has cuantificado su valor? La vulnerabilidad a la que se enfrentan las compañías hoy es enorme y tener un protocolo de ciberseguridad, indispensable. Nuestro colaborador Héctor Traspuesto, de Amio Ingenieros, cierra hoy con este tercer artículo el círculo de la ciberseguridad para hacer frente a ciberataques.
Hablemos ahora de los ACTIVOS de la Organización, ya que para la correcta realización del Análisis de Riesgos, es imprescindible identificar LOS ACTIVOS de la organización y EL VALOR que tienen para la Compañía, en términos de:
- Confidencialidad
- Disponibilidad
- Integridad
- Autenticidad
- Trazabilidad
Los activos de la Compañía están expuestos a una serie de AMENAZAS que, cuando ocurren, degradan el valor del activo, causando un cierto Impacto. Por ello, uno de los registros más significativos de un SGSI será el Inventario de Activos, en el cual la Organización llevará a cabo la valoración de los mismos conforme a los ya definidos criterios de Confidencialidad, Disponibilidad, Integridad, Autenticidad y Trazabilidad. Finalmente, debemos enumerar la serie de Amenazas que hemos identificado, y que afectan directa o indirectamente al Activo. Si estimamos la probabilidad de la amenaza, podemos concluir el Riesgo en el sistema, o la pérdida a la cual está expuesto. La probabilidad de las amenazas puede ser:
| MR | Muy Rara |
| PP | Poco Probable |
| P | Posible |
| MA | Muy Alto |
| CS | Casi Seguro |
La DEGRADACIÓN de un Activo, así como la PROBABILIDAD de que ocurra, determinarán la vulnerabilidad de nuestro SGSI frente a las amenazas.
Con la información obtenida, podemos definir una estrategia para la GESTIÓN DEL RIESGO. Los puntos fundamentales deben ser:
- Desplegar salvaguardas para hacer frente a las amenazas. (según Perfiles ISO 27002:2013 y ENS)
- Definir las salvaguardas de forma que se logre mitigar los valores de impacto y riesgo, dejándolos reducidos a unos valores residuales, que serán asumidos por la empresa.
Las medidas y relaciones impacto / riesgo se pueden definir como sigue:
| Cualitativo | |
| Impacto | nivel de valor |
| Riesgo | nivel de criticidad |
El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información.
Entorno Normativo del ENS – Esquema Nacional de Seguridad.
- La Ley 11/2007, de 22 de junio,de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad.
- Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
- Real Decreto 951/2015, de 23 de octubre, Modificación del Esquema Nacional de Seguridad, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
¿Quiénes tiene la OBLIGACIÓN de implantar el ENS?
- La Administración General del Estado.
- Las Administraciones de las Comunidades Autónomas.
- Las Entidades que integran la Administración Local.
- El sector público institucional.
- Toda empresa PRIVADA que colabore o proporcione servicios a las Administraciones Pública dentro del ámbito del ENS.
