Cómo hacer una valoración de activos según ENS y evitar riesgos en tu organización

Valorar activos es el primer paso del ENS: permite conocer qué proteger y aplicar medidas de seguridad ajustadas al riesgo real.

ensnavegable24
11 de noviembre de 2025
Compartir en:

Índice

La valoración de activos es una de las piezas clave para cumplir con el Esquema Nacional de Seguridad (ENS) y, más importante aún, para proteger correctamente los sistemas de información de las organizaciones del sector público. No se puede proteger lo que no se conoce ni se valora. Por eso, la identificación y clasificación de los activos es el primer paso para aplicar medidas de seguridad proporcionales y efectivas.

¿Qué es un activo según el ENS?

El ENS define los activos como cualquier componente, funcionalidad o recurso del sistema de información que pueda ser objeto de un ataque deliberado o accidental. Esto incluye tanto activos tecnológicos , como: servidores, aplicaciones, bases de datos, así como intangibles, por ejemplo: información, servicios, imagen institucional, también humanos: usuarios, responsables, terceros. La visión es integral y se alinea con el principio de que todo elemento que tenga valor para la organización y pueda afectar a su misión, debe ser protegido.

¿Por qué es importante valorar los activos?

La valoración de activos determina el impacto que podría tener un incidente de seguridad como la filtración, alteración, caída del servicio, etc. sobre la organización. Esto permite entender qué está en juego y priorizar la protección de los elementos más críticos. Si la valoración es incorrecta, las medidas adoptadas pueden ser ineficaces o desproporcionadas.

Criterios de valoración: confidencialidad, integridad y disponibilidad

Para valorar un activo, se evalúa el impacto que tendría sobre la organización la pérdida de:

  • Confidencialidad: acceso no autorizado a la información.
  • Integridad: alteración no autorizada de datos o procesos.
  • Disponibilidad: indisponibilidad del activo cuando se necesita.
ENS

A estas tres dimensiones (CIA) se suman en el ENS otras dos: autenticidad basada en garantizar que el origen de la información es fiable, y la trazabilidad, es decir, poder auditar qué ha ocurrido y cuándo.

La combinación de estos factores permite determinar el nivel de impacto de un activo en cada dimensión: bajo, medio o alto. La combinación de estas valoraciones permite determinar la categoría de seguridad del sistema (Básica, Media o Alta), que a su vez define qué medidas de seguridad deben aplicarse.

Este nivel es el que se utiliza posteriormente para categorizar el sistema y definir las medidas de seguridad aplicables.

Buenas prácticas en la valoración

  • Mantener un inventario completo y actualizado de todos los activos.
  • Usar criterios claros y homogéneos para asignar niveles de impacto.
  • Focalizarse en los activos esenciales y comprender sus dependencias.
  • Documentar y justificar todas las valoraciones, revisándolas periódicamente.
  • Traducir la valoración en medidas concretas, proporcionales al riesgo.

De la valoración a la categoría ENS del sistema

La categorización ENS de un sistema se basa en los niveles más altos asignados a sus activos. Si al menos una dimensión es «alta» en algún activo, todo el sistema se categoriza como «Alto». Esto tiene implicaciones directas: cuantas más exigencias tenga un sistema, más controles debe aplicar. Esta lógica garantiza que ningún activo crítico quede sin protección.

ENS

Buenas prácticas en la valoración

  1. Inventario exhaustivo y actualizado: sin inventario no hay valoración posible.
  2. Criterios claros y objetivos: consensuar escalas y umbrales de impacto.
  3. Foco en activos esenciales: priorizar los activos que soportan servicios vitales.
  4. Justificación y trazabilidad: cada valoración debe estar documentada.
  5. Reevaluación periódica: los sistemas cambian y los activos también.

Aplicación a proveedores TIC del sector público

El ENS también es obligatorio para las empresas tecnológicas que prestan servicios a la administración. Estas deben identificar y valorar sus activos para determinar la categoría de seguridad del sistema que ofrecen. Si un proveedor no gestiona correctamente la valoración de activos, podría incumplir sus compromisos contractuales, afectar a la seguridad del servicio y poner en riesgo la información pública o personal que maneja.

ENS

La valoración de activos no es una formalidad

Es la base sobre la que se construye todo el sistema de seguridad de la información. Hacerlo bien significa conocer qué es importante, cuáles son los riesgos y cómo proteger lo que realmente importa.

En ENS Navegable ayudamos a entidades públicas y proveedores TIC a realizar este proceso con método, claridad y garantías. Asesoramos en la identificación y valoración de activos, categorización de sistemas y aplicación de medidas de seguridad conforme al ENS. Si necesitas alinear tus sistemas con el Esquema Nacional de Seguridad y gestionar los riesgos de forma profesional, contáctanos.