ENS desde dentro (VIII): Gestión de riesgos — cómo se ve un análisis real y cómo mantenerlo vivo
Cómo se gestiona el riesgo en ENS en la práctica: activos, amenazas, medidas, mapa de riesgos y decisiones reales explicadas paso a paso.
Este artículo forma parte de la serie ENS desde dentro.
👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/
👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/
👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-planificacion-ps02/
Introducción
En el artículo anterior (PS02) vimos cómo realizar el análisis de riesgos dentro de la planificación.
👉 Identificar
👉 Analizar
👉 Decidir
Pero hay un error muy común:
💣 pensar que el análisis de riesgos es algo que se hace una vez
👉 En ENS, el riesgo no es un documento.
👉 Es algo que hay que mantener vivo.
Qué espera realmente el ENS
El ENS no pide un Excel.
👉 Pide que entiendas:
- qué estás protegiendo
- de qué lo estás protegiendo
- y si lo estás protegiendo bien
💣 Y sobre todo:
👉 que puedas demostrarlo
Cómo se ve un análisis de riesgos real
Vamos a verlo como ocurre en la práctica.
No teoría.
👉 Esto es lo que realmente existe en un sistema ENS.
🧭 Paso 1: Identificación de activos
Todo empieza aquí.
👉 Si no sabes qué tienes, no puedes protegerlo.
Debes identificar:
- servicios
- información
- aplicaciones
- sistemas
- comunicaciones
- instalaciones
- personal
👉 Los activos de información dan soporte a los servicios esenciales.
💣 Y heredan su valor.
🧭 Paso 2: Identificación de amenazas
Una amenaza es:
👉 algo que puede causar daño
Debes valorar:
- probabilidad
- impacto
👉 Esto permite entender el riesgo real del sistema.
🧭 Paso 3: Evaluación de medidas de seguridad
Aquí analizas lo que ya tienes.
👉 Se mide mediante niveles de madurez:
- L0 → inexistente
- L1 → inicial
- L2 → reproducible
- L3 → definido
- L4 → gestionado
- L5 → optimizado
💣 Esto marca la diferencia entre:
👉 “tener controles”
👉 y “tener controles efectivos”
🧭 Paso 4: Cálculo del riesgo
Aquí está el núcleo.
Un análisis real distingue:
👉 Riesgo potencial
Sin medidas → riesgo máximo
👉 Riesgo actual
Con medidas actuales
👉 Riesgo objetivo
Tras aplicar mejoras
💣 Esto es clave en ENS:
👉 no solo saber el riesgo
👉 sino saber hacia dónde vas
🧭 Paso 5: Mapa de riesgos
El resultado se representa en un mapa.
👉 Permite ver:
- qué servicios son críticos
- dónde están los mayores riesgos
- qué dimensiones afectan: confidencialidad (C), integridad (I), disponibilidad (D), autenticidad (A) y trazabilidad (T)
💡 Es lo que se presenta a dirección.
💣 Si no puedes explicarlo:
👉 no tienes control
🧭 Paso 6: Aceptación del riesgo
Aquí se toman decisiones reales.
👉 Se define un umbral:
Por ejemplo:
👉 riesgos < 2 → aceptables
👉 Lo que esté por encima:
- debe tratarse
- debe reducirse
💣 Aquí entra el comité de seguridad
🧠 Lo más importante: esto no es estático
El análisis de riesgos debe revisarse:
- al menos una vez al año
- cuando hay cambios
- cuando hay incidentes
💣 Si no cambia:
👉 está desactualizado
Error típico (y muy común)
❌ “El análisis está hecho”
❌ “Está en PILAR”
❌ “Ya cumplimos”
💣 Resultado:
👉 el sistema no refleja la realidad
Lo que te van a pedir en auditoría
👉 análisis de riesgos actualizado
👉 coherencia con los sistemas
👉 relación con medidas de seguridad
👉 decisiones justificadas
👉 Y sobre todo:
💣 que se usa para tomar decisiones
Conclusión
El análisis de riesgos no es el Excel de PILAR.
👉 Es la base de todas las decisiones.
👉 Si lo haces bien:
💣 todo el ENS tiene sentido
👉 Si lo haces mal:
💣 todo el ENS falla
Próximo paso
Ya sabes cómo gestionar los riesgos.
Pero hay una pregunta clave:
👉 ¿cómo está construido tu sistema realmente?
👉 En el siguiente artículo entraremos en la arquitectura de seguridad en ENS (op.pl.2):
lo que debes documentar… y lo que te van a pedir en auditoría.
👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/