Suscríbase y conozca cada mes novedades de GESCONSULTOR y mejores prácticas para
sus proyectos de Sistemas de Gestión. Consulte y acepte la Política de Privacidad

Valoración según el ENS (CCN-STIC-803)

Con relativa frecuencia el valor del Sistema en materia de seguridad se concentra en unos pocos activos, y en unas pocas dimensiones, es decir, algunos elementos del Sistema son de mayor importancia que otros, ya sea por su disponibilidad, por su confidencialidad, integridad, autenticidad o trazabilidad.

En el Esquema Nacional de Seguridad se identifican dos tipos de activos esenciales, éstos son la información que se trata y los servicios que se prestan. Así mismo, la guía 803 del CCN establece un criterio estándar para su clasificación en tres niveles (básico, medio y alto). También se establece un nuevo concepto, el de Sistema, como conjunto de recursos que dan soporte a la prestación de los servicios y el tratamiento de la información.

GesConsultor permite la identificación de éstos tipos de activos y su posterior evaluación. Para ello se le facilita al usuario un asistente para cada tipo de activo, en el que a través de unas sencillas preguntas tipo test, representadas en un formulario basado en el criterio establecido de las guías del CCN, y dependiendo de las respuestas dadas, el sistema valora automáticamente el nivel de seguridad a asignar.

GesConsultor también permite dar de alta otros tipos de activos, para ello toma como modelo el catálogo de elementos propuesto por la metodología Magerit, elaborada por el Consejo Superior de Administración Electrónica, y el criterio que establece como estándar para su valoración.

Por otra parte, también se permite la valoración personalizada de los activos en base a los criterios que establezca el usuario. Al respecto se permiten dos tipos, por una parte una valoración cualitativa a cinco niveles, y otra más detallada a diez niveles para una mejor especificación. Así mismo, GesConsultor a través de su red de dependencias, es capaz de heredar el valor acumulado entre activos, atendiendo a la idea de que si un elemento, que en principio no es relevante, si contiene o trata información crítica, éste tendrá la misma importancia, y por tanto se le tendrán que aplicar las medidas pertinentes a la información que gestiona.

Adicionalmente a lo citado anteriormente, en GesConsultor se ha dado un paso más allá incorporando elementos y buenas prácticas de ITIL e ISO20000, como es la integración de una CMDB (o Base de Datos de la Gestión de la Configuración) Federada, y aprovechando software de descubrimiento automático de activos en red.

ENS - Valoración de Sistemas, Servicios e Información conforme a CCN-STIC-803