Seguritecnia 394
49 SEGURITECNIA Febrero 2013 Protección de Infraestructuras Críticas probabilidad y alto impacto . En este sentido, se ha de indicar la combina- ción de medidas de seguridad que se van a aplicar para prevenir, detec- tar o actuar en caso de que se mate- rialice alguna amenaza. Como medi- das de seguridad, se hace mención explícita a sistemas de detección de alerta temprana, procedimientos de respuesta ante incidentes o mecanis- mos de contingencia. Otro de los puntos mencionados ex- plícitamente en la guía hace referen- cia a los criterios de aplicación de me- didas de seguridad integral. Establece la norma ISO 27001 como fuente para la selección de controles de seguri- dad para ser implementados y ges- tionados en el ámbito de la seguridad lógica. En el caso de la seguridad fí- sica, se seguirá lo especificado en la Ley de Seguridad Privada, especial- mente en lo recogido en la Orden Mi- nisterial INT/316/2011 y su referencia a la normativa UNE/EN. En este sentido, se seguirán las recomendaciones de la norma UNE/CLC TS 50131-7, “Siste- mas de alarma. Sistemas de alarma de intrusión. Parte 7. Guía de Aplicación”. como me c a - nismo de medi- ción del poten- cial daño, con independencia de su probabili- dad. A partir de esta estimación, se calculará el riesgo potencial como resultado de la conside- ración del im- pacto potencial y de la proba- bilidad de ocu- rrencia. De l a tot a - l idad de r ies- gos potencia- les ident i f ica- dos, se procederá a la gestión de los mismos, mediante la definición de las medidas de seguridad que reduzcan los riesgos potenciales. En particular, dada la naturaleza de las amenazas de origen intencionado, el operador debe indicar el trata- miento que va a dar a las de baja PSO, se hace referencia a la necesi- dad de una metodología de análi- sis de riesgos , indicando como as- pecto fundamental de dicho análisis “que los distintos valores que se uti- lizan y las estimaciones de los dife- rentes parámetros sean repetibles y con un mismo criterio a lo largo del tiempo para poder obtener valores comparables”. El análisis de riegos incluido en el PSO debe contener una precisa iden- tificación y valoración de los activos que soportan los servicios esenciales, punto este último para el que se debe tener en consideración lo establecido en la ley 8/2011 en relación con los “criterios horizontales de criticidad”. Sobre la lista de activos identifica- dos, hay que def inir las amenazas que pudieran llegar a afectar a estos activos, con el fin de cubrir el mayor número posible de potenciales situa- ciones de riesgo. En la siguiente fase, se establece la valoración y gestión de riesgos, con el objetivo de identificar la combinación de activos y amenazas que puedan afectar a la prestación de los servicios críticos. Se debe estimar el impacto potencial que supondría la materia- lización de cada amenaza sobre los activos identificados por el operador, Hay que definir las amenazas que pudieran llegar a afectar a estos activos, con el fin de cubrir el mayor número posible de potenciales situaciones de riesgo
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz