Scribd
Cargar
14 vistas3 páginas

Activos Idl

El documento establece directrices para la ciberseguridad en los Estados miembros, incluyendo la creación de una red nacional de CSIRT para facilitar el intercambio de información sobre ciberamenazas. Se clasifica y valora los activos críticos y se analizan amenazas y riesgos, proponiendo controles y un plan de acción para mitigar dichos riesgos. Además, se menciona la implementación del método MAGERIT para asegurar una gestión efectiva de los activos en las PYMEs.

Cargado por

ahorainvierte22
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
14 vistas3 páginas

Activos Idl

El documento establece directrices para la ciberseguridad en los Estados miembros, incluyendo la creación de una red nacional de CSIRT para facilitar el intercambio de información sobre ciberamenazas. Se clasifica y valora los activos críticos y se analizan amenazas y riesgos, proponiendo controles y un plan de acción para mitigar dichos riesgos. Además, se menciona la implementación del método MAGERIT para asegurar una gestión efectiva de los activos en las PYMEs.

Cargado por

ahorainvierte22
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Las obligaciones de la Directiva no exigen divulgar información que pueda afectar la

seguridad nacional, pública o la defensa de los Estados miembros. Se establece


una red nacional de CSIRT para reforzar la confianza, la seguridad y la cooperación
operativa entre los Estados miembros, integrada por representantes de los CSIRT
designados y el CERT-EU, con la Comisión como observador y la ENISA a cargo de
la secretaría y el apoyo a la cooperación. Los Estados miembros garantizarán que
las entidades dentro del ámbito de la Directiva y, en su caso, otras entidades
puedan intercambiar voluntariamente información sobre ciberseguridad, incluyendo
ciberamenazas, cuasiincidentes, vulnerabilidades, tácticas de adversarios y
configuraciones de seguridad, siempre que tenga como fin la prevención, detección,
respuesta o recuperación ante incidentes y que refuerce la ciberseguridad mediante
concienciación, limitación de amenazas, fortalecimiento de capacidades defensivas
y fomento de la investigación colaborativa. Dicho intercambio se desarrollará en
comunidades de entidades esenciales e importantes y sus proveedores, mediante
mecanismos que respeten la sensibilidad de la información. Los Estados miembros
facilitarán estos mecanismos definiendo aspectos operativos como plataformas
específicas, herramientas de automatización y condiciones de intercambio,
pudiendo establecer requisitos sobre la información proporcionada por las
autoridades y los CSIRT. Asimismo, velarán por que las entidades esenciales e
importantes notifiquen su participación o retirada de estos mecanismos. La ENISA
apoyará su implementación mediante el intercambio de buenas prácticas y
orientación.

1.1. Activos Principales


●​ Datos y Documentación: Bases de datos de clientes, registros financieros,
documentos internos.
●​ Aplicaciones y Software: ERP, CRM, sistemas contables, software de
comunicación.
●​ Infraestructura TIC: Servidores, redes, equipos informáticos, almacenamiento en la
nube.
●​ Personal: Empleados con acceso a información crítica.

1.2. Activos de Soporte


●​ Sistemas operativos y plataformas.
●​ Servicios de telecomunicaciones e internet.
●​ Proveedores de servicios externos (hosting, backup, ciberseguridad).

2. Valoración de Activos
Se clasifica cada activo según su impacto en la organización en caso de una incidencia:
●​ Confidencialidad: Protección frente a accesos no autorizados.
●​ Integridad: Exactitud y fiabilidad de los datos.
●​ Disponibilidad: Accesibilidad del activo cuando sea necesario.

Ejemplo de Valoración:

Activo Confidencialida Integridad Disponibilida Valor Global


d d

Base de datos de Alta Alta Media Alta


clientes

Servidores internos Media Alta Alta Alta

Software ERP Alta Alta Alta Crítico

3. Análisis de Amenazas y Riesgos


Se identifican amenazas potenciales y su impacto sobre los activos.

Ejemplo de Análisis de Riesgos:

Amenaza Activo afectado Probabilidad Impacto Riesg


o

Ataque de ransomware Base de datos de Alta Crítico Alto


clientes

Fallo eléctrico Servidores internos Media Alta Medio

Pérdida de Software ERP Alta Alta Alto


credenciales

4. Evaluación de Controles
Se analizan los controles existentes y se proponen mejoras:

●​ Autenticación multifactorial (MFA) para accesos críticos.


●​ Cifrado de bases de datos y comunicaciones.
●​ Copias de seguridad automáticas y pruebas de recuperación.
●​ Actualizaciones y parches de seguridad regulares.
●​ Formación en seguridad para los empleados.

5. Plan de Acción y Seguimiento


Definición de acciones para mitigar los riesgos detectados y revisión periódica.

●​ Implementar soluciones de seguridad según prioridad de riesgo.


●​ Monitorizar amenazas y revisar políticas de seguridad.
●​ Realizar auditorías de seguridad anuales.
●​ Actualizar el análisis de riesgos en función de nuevos activos o amenazas.

Este documento sigue el método MAGERIT y se adapta a la realidad de la PYME,


garantizando una gestión efectiva de los activos y su seguridad.

También podría gustarte