Los sistemas ciberfísicos (CPS) son sistemas inteligentes que incluyen redes de ingeniería que interactúan con componentes físicos y computacionales. Los CPS están cada vez más presentes en las infraestructuras críticas y tienen un impacto en casi todos los aspectos de nuestra vida cotidiana, como el transporte, la atención sanitaria, la energía eléctrica y la fabricación avanzada. Sin embargo, los CPS se enfrentan a un creciente y grave problema de seguridad debido a la amplia conectividad entre el mundo cibernético y el mundo físico. Aunque los métodos de evaluación de riesgos para los sistemas informáticos tradicionales están ya muy maduros, éstos no son adecuados para la evaluación de riesgos de los SPI debido a las diferentes características de éstos. Por ello, es urgente definir enfoques que apoyen adecuadamente la evaluación de riesgos de los SPI. Para contribuir a este importante reto, proponemos una novedosa técnica de análisis de riesgos para CPSs basada en MARISMA, una metodología de gestión de la seguridad, y en eMARISMA, un entorno tecnológico en la nube. Nuestro trabajo contribuye al estado del arte a través de la definición del patrón MARISMA-CPS que incorpora un conjunto de elementos reutilizables y adaptables que permiten gestionar y controlar los riesgos en CPSs, el cual está alineado con los principales frameworks de CPSs, como los definidos por NIST y ENISA. Se presenta un caso de estudio para un hospital inteligente, que muestra cómo la reutilización y adaptabilidad de la propuesta permite que el patrón MARISMA-CPS propuesto se adapte fácilmente a cualquier entorno de CPS. Esta adaptabilidad es importante para garantizar una amplia aplicación en el ámbito de los CPS.
