El documento presenta una metodología propia de análisis de riesgos desarrollada por la empresa. Se basa en metodologías internacionales como Magerit e ISO 31000 y tiene un enfoque en la seguridad integral y continuidad del negocio. La metodología incluye un marco de trabajo con fases como diseño, implementación, seguimiento y mejora continua. La empresa también desarrollará una herramienta que soporte esta metodología y aporte valor a los operadores críticos.
3. 3
• PSO Contenidos mínimos
– En virtud de lo establecido en el artículo 22.3 del Real
Decreto 704/2011, en el PSO se deberá establecer una
metodología de análisis de riesgos internacionalmente
reconocida que garantice la continuidad de los servicios
proporcionados por dicho operador en la que se contemple,
de una manera global, tanto las amenazas físicas como
lógicas existentes contra la totalidad de sus activos, con
independencia de las medidas mínimas que se puedan
establecer para los Planes de Protección Específicos
conforme a lo establecido por el artículo 25.
9. 9
• Basada en Magerit
• Alineada con:
– ISO 31000
– ISO 27005
• Con elementos de:
– ISO 28000
– ISO 22301
– Guías y publicaciones de:
• Centro Criptológico Nacional (CCN-CNI)
• National Institute of Standards and Technology (NIST)
• U.S. Department of Homeland Security.
11. 11
• Con un enfoque de continuidad del negocio
• Análisis de Impacto en el negocio
– la identificación de las actividades que apoyan el abastecimiento de productos y
servicios;
– la evaluación de los impactos en el tiempo en que no se realizan estas
actividades;
– el establecimiento de plazos prioritarios para la reanudación de estas actividades
a un nivel mínimo especificado que sea aceptable, teniendo en consideración el
tiempo durante el cual los impactos por la no reanudación pasarían a ser
inaceptables; y
– la identificación de las dependencias y de los recursos de apoyo de estas
actividades, tncluidos proveedores, socios externos, y otras partes interesadas
relevantes.
12. 12
• Con un marco de trabajo
Mandato y
Compromiso
Diseño del Marco de
Trabajo
Seguimiento y
Revisión
Mejora Continua
Implementación del
Proceso de Gestión del
Riesgo