Análisis de riesgos en el ENS

El Marco Operacional del Esquema Nacional de Seguridad está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Es por ello que se determinan una serie de categorías en función del nivel de conformidad con el ENS.

PILAR cuenta con un módulo de cumplimiento con el ENS que ayuda a la adecuación del mismo. Una vez que se analizan las dimensiones de seguridad, el siguiente paso es una Evaluación de Riesgos, una Declaración de Aplicabilidad (las medidas que se deberán tener en cuenta) y el Perfil de Cumplimiento que especificará la configuración de seguridad de las medidas incluidas en la Declaración de Aplicabilidad.

Las categorías definidas son las siguientes:

Categoría BÁSICA

Bastará un análisis informal, realizado en lenguaje natural. Es decir, una exposición textual que describa los siguientes aspectos:

  1. Identifique los activos más valiosos del sistema.
  2. Identifique las amenazas más probables.
  3. Identifique las salvaguardas que protegen de dichas amenazas.
  4. Identifique los principales riesgos residuales.

Categoría MEDIA

Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Es decir, una presentación con tablas que describa los siguientes aspectos:

  1. Identifique y valore cualitativamente los activos más valiosos del sistema.
  2. Identifique y cuantifique las amenazas más probables.
  3. Identifique y valore las salvaguardas que protegen de dichas amenazas.
  4. Identifique y valore el riesgo residual.

Categoría ALTA

Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente. El análisis deberá cubrir los siguientes aspectos:

  1. Identifique y valore cualitativamente los activos más valiosos del sistema.
  2. Identifique y cuantifique las amenazas posibles.
  3. Identifique las vulnerabilidades habilitantes de dichas amenazas.
  4. Identifique y valore las salvaguardas adecuadas.
  5. Identifique y valore el riesgo residual.