Uno de esos aspectos es el del análisis de Riesgos. Las referencias al mismo en el ENS son las siguientes:
1. Conjunto de medidas a adoptar según Anexo II --> Marco operacional--> op.pl.1
Si la categoría del sistema es:
• BAJA, “Bastará un análisis informal, realizado en lenguaje natural.”.
Hay que puntualizar que para concluir que la categoría del sistema es BAJA, sí hemos debido de realizar un análisis formal inicial que incluya: inventario de activos de tipo información, servicios y sistema, dependencias entre ellos y valoración de los activos información y servicios. Esto serían los requisitos mínimos en el caso de AAPP con Sistemas de Información de categoría BAJA.
• MEDIA, “Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida”.
No tiene por qué seguirse metodología MAGERIT, y podría ser suficiente con un análisis en tablas de Excel sencillo.
• ALTA, “Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente.”
Se recomienda MAGERIT y se exige un inventario de “vulnerabilidades”, que no es exigido en las categorías anteriores.
2. En el resto de medidas exigibles por el ENS, se toma como referencia el análisis de riesgos para:
- En la auditoría obligatoria también debe comprobarse que se realiza el AARR, revisa y aprueba anualmente.
- En el plan de adecuación se debe incluir el AARR realizado hasta la fecha.
- En la política de Seguridad se debe incluir un apartado donde la organización se compromete a realizar el AARR y atender a sus conclusiones, además de nombrar a los responsables.
- El Análisis de Riesgos será elaborado y validado por el Responsable del Sistema, que puede delegar su elaboración.
En el próximo artículo profundizaremos en algunos aspectos particulares que hay que tener en cuenta al aplicar Magerit como metodología de AARR del ENS.
No hay comentarios:
Publicar un comentario