Suscríbase y conozca cada mes novedades de GESCONSULTOR y mejores prácticas para
sus proyectos de Sistemas de Gestión. Consulte y acepte la Política de Privacidad

Valoración según el ENS (CCN-STIC-803)

El Esquema Nacional de Seguridad requiere la valoración de los activos identificados en su alcance en base a las dimensiones de seguridad especificadas en dicho Marco (Disponibilidad, Integridad, Confidencialidad, Trazabilidad y Autenticidad). Esta valoración tiene como objetivo establecer el principio de proporcionalidad respecto a las medidas que deben ser aplicadas y, con ello, implantar una estructura de seguridad que refleje las aportaciones de valor que cada activo genera para el Organismo.

Con relativa frecuencia el valor del Sistema en materia de seguridad se concentra en unos pocos activos, y en unas pocas dimensiones, es decir, algunos elementos del Sistema más importantes que otros.

En el Esquema Nacional de Seguridad se identifican dos tipos de activos esenciales, éstos son la información que se trata y los servicios que se prestan. Así mismo, la guía 803 del CCN establece un criterio estándar para su clasificación en tres niveles (básico, medio y alto). También se establece un nuevo concepto, el de Sistema, como conjunto de recursos que dan soporte a la prestación de los servicios y el tratamiento de la información.

GesConsultor GRC permite la identificación de estos tipos de activo y su posterior evaluación. Para ello se le facilita al usuario un asistente vinculado a cada una de las dimensiones de seguridad, en el que, a través de unas sencillas preguntas tipo test, representadas en un formulario basado en el criterio establecido en las guías del CCN, y dependiendo de las respuestas dadas, el sistema valora automáticamente el nivel de seguridad a asignar.

Por otra parte, también se permite la valoración personalizada de los activos en base a los criterios que establezca el usuario. Al respecto se permiten dos tipos, por una parte una valoración cualitativa a cinco niveles, y otra más detallada a diez niveles para una mejor especificación.

Así mismo, GesConsultor GRC, a través de su red de dependencias, trata y asigna el valor acumulado entre activos, con lo que la estructura de valoraciones refleja fielmente las interacciones entre los activos incluidos en el proyecto.

El asistente de valoración supone una ayuda importante en el proceso, minimizando la subjetividad que puede generarse en las valoraciones manuales.

ENS - Valoración de Sistemas, Servicios e Información conforme a CCN-STIC-803