Sign in Subscribe

ENS desde dentro (X): Adquisición de componentes — cómo decidir bien antes de comprar

Cómo realizar un estudio previo a la adquisición en ENS: evaluación de riesgos, arquitectura, capacidades y toma de decisiones explicadas paso a paso.

Adquisición de componentes en ENS representando la toma de decisiones entre seguridad y coste antes de comprar tecnología
ENS desde dentro (X): cómo decidir antes de comprar y evitar introducir riesgos en el sistema

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/

👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-arquitectura-seguridad/

Introducción

Ya sabes:

👉 qué riesgos tienes
👉 cómo está construido tu sistema

Pero ahora llega un momento crítico:

💣 cuando decides comprar algo

👉 un servidor
👉 un software
👉 un servicio
👉 un proveedor

Y aquí es donde muchas organizaciones fallan.

El error más común

❌ “Lo necesitamos, cómpralo”
❌ “Es barato”
❌ “Siempre se ha hecho así”

💣 Sin análisis
💣 Sin validación
💣 Sin control

👉 Resultado:

  • introduces riesgos
  • rompes la arquitectura
  • pierdes control

Qué pide realmente el ENS

El ENS es claro:

👉 no puedes comprar sin pensar

Debes tener un proceso que:

  • tenga en cuenta los riesgos
  • sea coherente con la arquitectura
  • contemple necesidades reales

💣 No es una compra.

👉 Es una decisión de seguridad.

Cómo se hace en la práctica

Aquí es donde entra algo clave:

👉 el estudio previo a contratación

💡 Es lo que convierte una compra en una decisión controlada

🧭 Paso 1: Definir el componente

Antes de nada:

👉 qué vas a comprar
👉 para qué
👉 quién es responsable

🧭 Paso 2: Evaluación del riesgo

Aquí haces preguntas clave:

  • ¿afecta a datos sensibles?
  • ¿se conecta con otros sistemas?
  • ¿introduce nuevos accesos?
  • ¿impacta en disponibilidad?
  • ¿afecta a otros sistemas?

👉 Se calcula el nivel de riesgo:

  • Bajo
  • Medio
  • Alto

💣 Esto es lo que evita decisiones a ciegas

🧭 Paso 3: Evaluación de la capacidad

No todo es seguridad.

Debes validar:

  • capacidad de procesamiento
  • almacenamiento
  • comunicaciones
  • personal disponible
  • formación necesaria
  • espacio físico
  • financiación

💣 Error típico:

👉 comprar algo que no puedes operar

🧭 Paso 4: Conclusiones

Aquí se toma la decisión.

👉 Debes poder justificar:

  • si introduce nuevos riesgos
  • si requiere medidas adicionales
  • si encaja con la arquitectura
  • si es viable técnicamente

💡 Ejemplo real:

  • no introduce riesgos nuevos ✔️
  • es compatible con la arquitectura ✔️
  • no requiere formación ✔️
  • es viable ✔️

👉 Entonces se aprueba

🧠 Lo importante: conexión con todo

Este proceso no va solo.

👉 Debe estar alineado con:

  • análisis de riesgos (op.pl.1)
  • arquitectura de seguridad (op.pl.2)

💣 Si no:

👉 el sistema pierde coherencia

Error típico (muy común)

❌ compras por precio
❌ sin evaluar riesgos
❌ sin validar arquitectura
❌ sin formación

💣 Resultado:

👉 problemas operativos
👉 riesgos no controlados
👉 no conformidades

Lo que te van a pedir en auditoría

👉 proceso de adquisición
👉 estudio previo
👉 evaluación de riesgos
👉 justificación de la decisión
👉 coherencia con el sistema

👉 Y la pregunta clave:

💣 ¿Puedes demostrar por qué compraste eso?

Conclusión

La adquisición no es comprar.

👉 Es decidir bien.

👉 Si lo haces bien:

💣 mantienes el control del sistema

👉 Si lo haces mal:

💣 introduces riesgos sin darte cuenta

Próximo paso

Ya sabes cómo decidir qué entra en tu sistema.

👉 Ahora toca ver cómo se gestiona la capacidad.

👉 En el siguiente artículo entraremos en la gestión de capacidades en ENS (op.pl.4)

👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe