Page 100 - Revista Auditoria Pública nº 83
P. 100
REVISTA AUDITORÍA PÚBLICA / 83
almacenados. Así mismo, el artículo 156 indica que el la adopción de medidas de seguridad proporcionadas a
ENS tiene por objeto establecer la política de seguridad la naturaleza de la información y los servicios a proteger;
en la utilización de medios electrónicos en el ámbito de el uso de infraestructuras y servicios comunes; las guías
la presente Ley. de seguridad; las instrucciones de seguridad; las comu-
nicaciones electrónicas; la respuesta ante incidentes de
Como se ha citado anteriormente, el ENS está formado seguridad; el uso de productos certificados; la conformi-
por unos principios básicos para proteger adecuadamen- dad; y la formación y concienciación.
te la información. En el capítulo II del ENS se establecen
los principios básicos, éstos son: Las responsabilidades derivadas del incumplimiento del
ENS serían las que correspondieren a cada caso concre-
a) Seguridad como proceso integral. to, en virtud de lo dispuesto en la Ley 40/2015, de 1 de
octubre, de Régimen Jurídico del Sector Público.
b) Gestión de la seguridad basada en los riesgos.
Para aplicar el ENS, en cumplimiento de su artículo 34,
c) Prevención, detección, respuesta y conservación. el Centro Criptológico Nacional ha elaborado y publicado
una serie de guías.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.
El artículo 31 del capítulo IV establece la obligatoriedad
de una auditoría de seguridad regular, como mínimo
cada dos años que verifique el cumplimiento de los re-
querimientos del ENS. Así, el informe de auditoría deberá
dictaminar sobre el grado de cumplimiento de este real
decreto, identificar sus deficiencias y sugerir las posibles
medidas correctoras o complementarias necesarias, así
como las recomendaciones que se consideren oportu-
nas. Además, en el anexo III se establece el objeto, nive-
les e interpretación de esta auditoría.
En desarrollo de esta norma se aprobó la Resolución de
27 de marzo de 2018, de la Secretaría de Estado de Fun-
ción Pública, por la que se aprueba la Instrucción Técnica
de Seguridad de Auditoría de la Seguridad de los Siste-
mas de Información, que es de obligado cumplimiento
para las entidades locales, y establece las condiciones
para la realización de la preceptiva auditoría a la que de-
ben someterse los sistemas de información del ámbito
de aplicación del ENS.
Además, el Centro Criptológico Nacional (CCN) aprobó
en abril de 2017 la Guía de Seguridad de las TIC CCN-
STIC 802 Guía de auditoría del ENS, para orientar en la
realización de forma homogénea de este tipo de audito-
rías. Más recientemente en agosto de 2020 se publicó la
Guía CCN-CERT IC-01/19 Criterios generales de auditoría
y certificación.
Además de los principios, el ENS dispone de los siguien-
tes elementos: los mecanismos para lograr el cumpli-
miento de los principios y requisitos mínimos mediante
100
