Auditoría Pública nº 73. Revista de los órganos autonómicos de control extreno

Control Objetivo de control CBCS 1 Inventario y control de dispositivos físicos Gestionar activamente todos los dispositivos hardware en la red, de forma que sólo los dispositivos autorizados tengan acceso a la red. CBCS 2 Inventario y control de software autorizado y no autorizado Gestionar activamente todo el software en los sistemas, de forma que sólo se pueda instalar y ejecutar software autorizado. CBCS 3 Proceso continuo de identificación y remediación de vulnerabilidades Disponer de un proceso continuo para obtener información sobre nuevas vulnerabili- dades, identificarlas, remediarlas y reducir la ventana de oportunidad a los atacantes. CBCS 4 Uso controlado de privilegios admi- nistrativos Desarrollar procesos y utilizar herramientas para identificar, controlar, prevenir y corregir el uso y configuración de privilegios administrativos en ordenadores, redes y aplicaciones. CBCS 5 Configuraciones seguras del soft- ware y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores Implementar la configuración de seguridad de dispositivos móviles, portátiles, equi- pos de sobremesa y servidores, y gestionarla activamente utilizando un proceso de gestión de cambios y configuraciones riguroso, para prevenir que los atacantes exploten servicios y configuraciones vulnerables. CBCS 6 Registro de la actividad de los usuarios Recoger, gestionar y analizar logs de eventos que pueden ayudar a detectar, enten- der o recuperarse de un ataque. CBCS 7 Copias de seguridad de datos y sistemas Utilizar procesos y herramientas para realizar la copia de seguridad de la información crítica con una metodología probada que permita la recuperación de la información en tiempo oportuno. CBCS 8 Cumplimiento del ENS - Política de seguridad y responsabilidades - Declaración de aplicabilidad - Informe de Auditoría (nivel medio o alto) - Informe del estado de la seguridad - Publicación de la declaración de conformidad y los distintivos de seguridad en la sede electrónica Cumplimiento de la LOPD/RGPD - Nombramiento del DPD - Registro de actividades de tratamiento - Análisis de riesgos y evaluación del impacto de las operaciones de tratamiento (para los de riesgo alto) - Informe de auditoría de cumplimiento (cuando el responsable del tratamiento haya decidido realizarla) Cumplimiento de la Ley 25/2013, de 27 de diciembre ( creación del registro contable de facturas ) - Informe de auditoría de sistemas anual del Registro Contable de Facturas Las nuevas Guías Prácticas de Fiscalización de los OCEX, unas guías de auditoría de la administración electrónica para el siglo XXI 55 Auditoría Pública nº 73 (2019), pp. 53 - 58 La elección de estos ocho controles no ha sido aleatoria. Los seis primeros son los seis controles básicos estable- cidos por el Center for Internet Security 1 en su versión 7 2 de 2018. Según el CIS, con carácter general, las orga- nizaciones que apliquen sólo los cinco primeros contro- les pueden reducir su riesgo ante ciberataques alrededor del 85%. Si se implementan los 20 controles CIS el ries- go se puede reducir un 94%. Además de los seis controles CIS básicos se ha incluido en los CBCS el control “Copias de seguridad de datos y sistemas” (control CIS número 10) ya que es un elemento fundamental para mantener un grado razonable de ciber- resiliencia 3 . Si todos los controles preventivos fallan y un ciberataque traspasa todas las líneas de defensa y tiene éxito, el último recurso de la entidad atacada es restau- rar sus sistemas y datos en un plazo predeterminado para poder continuar prestando sus servicios. Además de los CBCS vistos en el apartado anterior, en este tipo de revisión se incluirá la verificación del cumplimiento de diversas normas relacionadas con la 1 Organización de reconocido prestigio internacional. 2 Con objeto de seleccionar los más relevantes se ha atendido al marco conceptual establecido por Los Controles CIS priorizan y clasifican los controles según su importancia para hacer frente a las ciberamenazas. 3 Ciber-resiliencia es la capacidad para continuar prestando servicios mientras se previenen y responden los ciberataques. También reduce la probabilidad de que los ciberataques tengan éxito. Para ser ciber-resiliente, una entidad pública debe tener implementado un sólido sistema de CGTI, cuya función es proporcionar un entorno TI fiable sobre el que otros procesos y controles TI pueden apoyarse y funcionar.