Red Seguridad 106

96 red seguridad tercer trimestre 2024 monográfico sector financiero interrupción del servicio causada por un ciberincidente). 3. Evaluar la situación actual . Hemos visto que algunas infraestructuras ya lle- van a cabo análisis de vulnerabilidades y test de intrusión, lo cual es, obviamente, totalmente necesario, pero no suficiente. De hecho, si el foco es exclusivo en lo primero, se podría llegar a pensar que si los sistemas no están conectados no existe ningún riesgo ciber, lo cual, como todos sabemos, no es correcto. El aislamiento de los sistemas reduce la probabilidad de ocurrencia al reducir las vías de ataque a dichos sistemas, pero no las elimina completamente. Por tan- to, se deben evaluar todos los aspectos que puedan afectar a la operativa de la infraestructura digital (en la tabla 2 in- cluimos una lista de alto nivel de todos los aspectos que se deberían evaluar para tener una imagen lo más completa posible del riesgo existente). 4. Establecer un plan de acción . En este punto, lo más importante es que las acciones que se deriven del gap analysis previo estén priorizadas sobre la base de un criterio adecuado. Es de- cir, no se puede utilizar una categori- zación estándar, puesto que, para este tipo de infraestructuras, la dimensión de disponibilidad será preeminente sobre el resto de dimensiones (integridad y confidencialidad). En resumen, los pla- nes de acción deben estar priorizados conforme a la finalidad de estas infraes- tructuras. En definitiva, aprovechemos la inercia que está generando DORA, para evaluar la resiliencia de nuestros sistemas, para evaluar también cómo de resilientes son nuestras infraestructuras digitales a un ciberincidente y entender cuál es el ries- go potencial en este elemento básico de cualquier sistema. Aprovechemos DORA para evaluar cómo de resilientes son nuestras infraestructuras digitales Tabla 2. Aspectos para evaluar el riesgo.