Cuando se valoran los sistemas para cumplir con el ENS, siempre surgen las mismas dudas: «¿qué implica que sea de nivel medio en Integridad? ¿Y en Autenticidad? ¿Qué más tengo que cumplir si paso de nivel medio a alto?…»

En definitiva, siendo la valoración un ejercicio completamente arbitrario conviene conocer las implicaciones de valorar cada dimensión. Así que he perdido un rato ordenando los controles de forma que tenga claro qué significa cada incremento en la valoración para cada dimensión.

Os recuerdo que la valoración de activos del ENS se efectúa en base a cinco dimensiones: [I] Integridad, [C] Confidencialidad, [A] Autenticidad, [T] Trazabilidad, [D] Disponibilidad. La categoría final del sistema será el máximo valor de estas dimensiones.

Posteriormente, los controles aplican en función de la categoría del sistema o de su valoración para alguna de las dimensiones. Así que, cuando valoras alguna dimensión de nivel medio, tienes que cumplir todos los controles que tienen definidas medidas para categoría media y aquellos que, específicamente, tienen definidas medidas para valoración media de dicha dimensión.

Tened en cuenta que cuando se asigna un valor distinto de bajo (o sea medio o alto) pueden ocurrir dos cosas:

  • Que una medida existente tenga que cumplirse de forma ampliada o más estricta
  • Que haya que aplicar una nueva medida
Bueno, sin más dilación, os dejo una hoja con las consecuencias para la selección de cada nivel divididas por categoría y por dimensión. Se trata de una hoja servida por Google documents, si tenéis algún problema para verla, por favor, decidmelo.