El Boletín Oficial del Estado, de 3 de abril de 2018, ha publicado la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) “Auditoría de la Seguridad de los sistemas de información”.

Esta ITS tiene por objeto establecer las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad. Las auditorías deben realizarse con el fin de determinar el grado de conformidad con el ENS y debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias encontradas y, en su caso, posibilitar la obtención de la correspondiente Certificación de Conformidad.

Cabe recordar que para obtener esta Certificación, los sistemas de información de categoría MEDIA o ALTA precisarán superar una Auditoría de Seguridad, al menos cada dos años. Asimismo, los informes de auditoría emitidos podrán ser requeridos por el CCN-CERT ante cualquier agresión recibida en los sistemas de información de las Administraciones Públicas (artículo 37 del ENS).

Para el desarrollo de las auditorías, la Resolución ahora publicada señala que deberán realizarse conforme a la propia ITS y, cuando corresponda, a las normas nacionales e internacionales sobre auditorías, entre ellas las Guías CCN-STIC 802 Guía de Auditoría, CCN-STIC 804 Guía de Implantación y CCN-STIC 808 Verificación del cumplimiento de las medidas en el ENS.


Las auditorias de categoría BÁSICA, que son la mayoría, no son obligatorios, pero de forma voluntaria (yo personalmente os las recomiendo 100%) son recomendables. Un sistema de información con dicha categoría sólo está obligado a una autoevaluación por los administradores o en quien estos deleguen. Básicamente, un documento donde se expone que las medidas de seguridad exigidas están implementadas y son revisadas con regularidad.

La independencia del auditor es un punto interesante y a tener en cuenta es la circunscripción explícita de las tareas de auditorías al cometido o ámbito para la que están encomendadas. Esto, impide que dentro del proceso de auditoría entren funciones de consultoría, labores de implantación o la modificación lógica de las aplicaciones del propio sistema de información auditado. Incluso cierra la puerta a la realización de la documentación exigida por el ENS o los procedimientos de actuación.

Es decir, el auditor viene a auditar. Solo eso. Se respeta así la independencia de un proceso. Por lo que, ni el auditor puede ofertar arreglar los fallos que él mismo encuentra (algo, muy cuestionable éticamente) ni por tu parte puedes exigirle que implemente las modificaciones y medidas propuestas por él en su informe.


Instrucciones Técnicas de Seguridad

Esta es la tercera ITS publicada de obligado cumplimiento, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, tal y como recoge el artículo 29 del Real Decreto 3/2010, por el que se regula el ENS. Las otras dos versan sobre la “Conformidad con el Esquema Nacional de Seguridad” e “Informe del Estado de la Seguridad”.

Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.


Acceso a la Instrucción Técnica de Seguridad (ITS) “Auditoría de la Seguridad de los sistemas de información”


Fuente:


Te pido que compartas y me ayudes a difundir...Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email