El documento presenta una metodología propia de análisis de riesgos desarrollada por la empresa. Se basa en metodologías internacionales como Magerit e ISO 31000 y tiene un enfoque en la seguridad integral y continuidad del negocio. La metodología incluye un marco de trabajo con fases como diseño, implementación, seguimiento y mejora continua. La empresa también desarrollará una herramienta que soporte esta metodología y aporte valor a los operadores críticos.

1. Metodología
de
Análisis de Riesgos
Ricardo Cañizares Sales
Director de Consultoría
26 de Febrero de 2015

2. 2
CONSIDERACIONES

3. 3
• PSO Contenidos mínimos
– En virtud de lo establecido en el artículo 22.3 del Real
Decreto 704/2011, en el PSO se deberá establecer una
metodología de análisis de riesgos internacionalmente
reconocida que garantice la continuidad de los servicios
proporcionados por dicho operador en la que se contemple,
de una manera global, tanto las amenazas físicas como
lógicas existentes contra la totalidad de sus activos, con
independencia de las medidas mínimas que se puedan
establecer para los Planes de Protección Específicos
conforme a lo establecido por el artículo 25.

4. 4
• Metodologías
– UNE-ISO 28001
• ANEXO B (Informativo)
– ISO/IEC 27005:2008
– UNE-ISO 31000:2010
– MOSLER
– Cuantitativo mixto
– MAGERIT
– …….

5. 5
DECISION

6. 6
• Elegir un metodología o desarrollarla
• Elegir una herramienta o desarrollarla

7. 7
NUESTRA DECISION

8. 8
DESARROLLAR UNA METODOLOGIA

9. 9
• Basada en Magerit
• Alineada con:
– ISO 31000
– ISO 27005
• Con elementos de:
– ISO 28000
– ISO 22301
– Guías y publicaciones de:
• Centro Criptológico Nacional (CCN-CNI)
• National Institute of Standards and Technology (NIST)
• U.S. Department of Homeland Security.

10. 10
• Con una visión de seguridad integral

11. 11
• Con un enfoque de continuidad del negocio
• Análisis de Impacto en el negocio
– la identificación de las actividades que apoyan el abastecimiento de productos y
servicios;
– la evaluación de los impactos en el tiempo en que no se realizan estas
actividades;
– el establecimiento de plazos prioritarios para la reanudación de estas actividades
a un nivel mínimo especificado que sea aceptable, teniendo en consideración el
tiempo durante el cual los impactos por la no reanudación pasarían a ser
inaceptables; y
– la identificación de las dependencias y de los recursos de apoyo de estas
actividades, tncluidos proveedores, socios externos, y otras partes interesadas
relevantes.

12. 12
• Con un marco de trabajo
Mandato y
Compromiso
Diseño del Marco de
Trabajo
Seguimiento y
Revisión
Mejora Continua
Implementación del
Proceso de Gestión del
Riesgo

13. 13
HERRAMIENTA

14. 14
• Herramienta
– Que aporte valor
– Que soporte el marco de trabajo
– Que sea útil para los operadores críticos

15. 15

16. 16

17. 17

18. 18