Auditoría Pública nº 73. Revista de los órganos autonómicos de control extreno

El 12 de noviembre del pasado 2018 la Conferencia de Presidentes de ASOCEX aprobó las siguientes Guías Prácticas de Fiscalización (GPF-OCEX) elaboradas por la Comisión Técnica de los OCEX (CT-OCEX): GPF-OCEX 5313 Revisión de los controles básicos de ciberseguridad GPF-OCEX 5330 Revisión de los controles generales de tecnologías de información en un en- torno de administración electrónica GPF-OCEX 5340 Los controles de aplica- ción: qué son y cómo revisarlos GPF-OCEX 5370 Guía para la realización de pruebas de datos Conviene destacar la importancia de estas guías para de- sarrollar la fiscalización del sector público en un entorno de administración electrónica, totalmente informatizado, que es en el que actualmente nos desenvolvemos los OCEX. Estas guías son importantes por varios motivos. No son documentos teóricos ya que están fundamentadas en una larga experiencia adquirida por diversos OCEX en los últimos años, al mismo tiempo que recogen la más actual metodología nacional e internacional en es- tas materias. Son totalmente innovadoras no solo en el ámbito público, sino en el ámbito auditor en general de nuestro país, pues no existen guías de auditoría publi- cadas que contemplen esta materia y faciliten el trabajo de los auditores externos en un entorno de administra- ción electrónica. Por tanto, estas GPF-OCEX, con sus programas detallados de trabajo y orientaciones muy prácticas para aplicarlas en las auditorías, serán de gran ayuda para los auditores públicos en el nuevo mundo de la administración electrónica. GPF-OCEX 5313 REVISIÓN DE LOS CONTROLES BÁSICOS DE CIBERSEGURIDAD En la GPF-OCEX 5311 Ciberseguridad, seguridad de la información y auditoría externa , aprobada en 2017, se destacaba la importancia creciente que las cuestiones relacionadas con la ciberseguridad están adquiriendo en la gestión de las administraciones públicas y, en con- secuencia, la atención creciente que los auditores públi- cos deben conceder a dicha materia. En la medida en que cada vez un mayor número de servicios públicos se presta on-line y la conectividad por internet se ha convertido en una característica de todos los sistemas de información (contables, sanitarios, educativos, etc) los auditores deben prestar cada vez más atención a las cuestiones relacionadas con la ciberseguridad. También se mencionan en la citada guía los distin- tos enfoques que los OCEX pueden adoptar a la hora de abordar una auditoría o una revisión de la ciberse- guridad de los entes públicos. En síntesis, desde la pers- pectiva de un OCEX, se pueden adoptar tres enfoques principales: • Realizar una auditoría de ciberseguridad consis- tente en un análisis a fondo de la situación en un determinado ente. Podría ser similar a una auditoría de seguridad de las requeridas por el Esquema Nacional de Seguri- dad (ENS) o una auditoría siguiendo la metodolo- gía de ISACA. Un trabajo de este tipo entraña una intensa dedicación de personal especializado tanto para el auditor como para el ente auditado. • La revisión de controles directamente relacionados con las áreas significativas en una auditoría financiera. Consistirá en la revisión de los Controles Generales de Tecnologías de la Información (CGTI) relacio- nados únicamente con las áreas significativas para los fines de la auditoría financiera del ente audita- do. Una parte significativa de dichos controles está formada por controles de ciberseguridad. Este es el objeto de la GPF-OCEX 5330. • La revisión de una serie de controles básicos de ci- berseguridad. Los controles básicos de ciberseguridad son un sub- conjunto reducido de los controles de ciberseguri- dad. Su revisión permitirá que el auditor pueda for- marse una idea general de la situación en la entidad revisada y no requerirá la dedicación de excesivos recursos especializados ni del auditor externo ni del ente auditado. Será por tanto un trabajo más viable en entes que no dispongan de muchos recursos téc- nicos o humanos. Un enfoque de este tipo es el que motiva el desarrollo de la GPF-OCEX 5313. En el desarrollo de la GPF-OCEX 5313, cuyo conte- nido está fundamentalmente relacionado con la audito- ría de la seguridad de la información , se ha tenido es- pecial cuidado en mantener la máxima coherencia con los postulados del ENS puesto que es de obligado cum- plimiento para todos los entes públicos. Esta alineación facilita la realización de las auditorías de ciberseguridad y coadyuvan a la implantación del ENS. No obstante, dada su amplitud, se han seleccionado, por las razones señaladas antes, una serie limitada de controles para su revisión, priorizados según su importancia para hacer frente a las ciberamenazas. Estos controles están pensados para organizaciones de cualquier tipo . Además, en este tipo de revisión se incluirá la verificación del cumplimientode diversas normas relacionadas con la se- guridad de la información aplicables al sector público. Los ocho controles básicos de ciberseguridad inclui- dos en la guía son: 54 Junio nº 73 - 2019 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS