En el ámbito de la ciberseguridad, una de las principales aportaciones del Esquema Nacional de Seguridad es su enfoque basado en la gestión de riesgos. El ENS no establece un catálogo rígido de medidas aplicables a todas las organizaciones por igual, sino que exige analizar cada entorno para determinar qué riesgos existen y qué controles deben implantarse para mitigarlos.
Este enfoque obliga a identificar los activos que soportan los servicios, evaluar las amenazas que pueden afectarles y determinar el impacto que tendría un incidente sobre la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información. La gestión de riesgos deja así de ser un ejercicio puntual para convertirse en una actividad continua que debe revisarse y actualizarse periódicamente.
A partir de ese análisis, las organizaciones deben implantar medidas de seguridad proporcionadas al nivel de riesgo identificado. Esto incluye controles de acceso, protección de sistemas, gestión de incidentes, monitorización de la actividad y mecanismos que permitan garantizar la continuidad de los servicios esenciales.
Especial relevancia adquiere el principio de mínimo privilegio, según el cual cada usuario, aplicación o sistema debe disponer únicamente de los permisos estrictamente necesarios para desempeñar sus funciones.
IMPORTANTE
Una correcta gestión de identidades y accesos constituye una de las barreras más eficaces frente a incidentes de seguridad.







