Page 101 - Revista Auditoria Pública nº 83
P. 101

La importancia de los controles de seguridad en las fiscalizaciones de los ICEX






            4.    Metodología de auditoría de sistemas.            finalidad y las declaraciones o certificados de confor-
                                                                   midad sobre el cumplimiento del ENS.
            Actualmente encontramos normas técnicas y guías que
            ayudan a fiscalizar esta área. Como de todos es conoci-  También explica las consecuencias de un incidente
            do, las guías que sirven de referencia para las fiscaliza-  de seguridad como el tiempo de inactividad, costes
            ciones de los OCEX son las GPF-OCEX. Son las guías     económicos, pérdida de datos y pérdida de vidas. Y
            prácticas de fiscalización que utilizan los órganos de con-  en su anexo 1 se exponen las amenazas más signi-
            trol externo de España para la elaboración de sus infor-  ficativas.
            mes. Las guías específicas utilizadas en el ámbito de la
            ciberseguridad son las siguientes:                     Esta GPF define la ciberseguridad y las considera-
                                                                   ciones sobre ciberseguridad en las fiscalizaciones de
               GPF-OCEX 5300 Directrices de auditoría              los OCEX. Éstos pueden realizar auditorías específi-
               de tecnologías de la información                    cas de ciberseguridad, pueden integrar la cibersegu-
                                                                   ridad como un apartado de las auditorías financieras
               Basándose en la ISSAI 5300  define las auditorías de   o de cumplimiento o una revisión de controles bási-
                                       6
               TI como “Un examen y revisión de los sistemas de    cos de ciberseguridad.
               TI y controles relacionados que busca obtener se-
               guridad o identificar violaciones a los principios de   En su anexo 4 se detallan los 20 controles de seguri-
               legalidad, eficiencia, economía y eficacia del sistema   dad críticos del CIS con su objetivo y comentarios de
               de TI y sus controles relacionados”. Además, indica   cada uno de ellos.
               los requerimientos generales relacionados con las
               auditorías de TI (enfoque de riesgos, materialidad,   GPF-OCEX 5312 Glosario de Ciberseguridad
               documentación, competencia, planificación, objeti-
               vos de auditoría, alcance, capacidad, asignación de   Esta guía define diferentes conceptos relacionados
               recursos, contratación de recursos externos, vincu-  con la ciberseguridad en concordancia con el ENS
               lación con la entidad auditada, evidencia de auditoría,   y/o el INCIBE (Instituto Nacional de Ciberseguridad).
               recopilación de evidencia de auditoría, supervisión y
               revisión, casos de fraude, corrupción y otras irregula-  GPF-OCEX 5313 Revisión de los controles básicos de
               ridades, limitaciones y seguimiento). La guía finaliza   ciberseguridad
               con la explicación de técnicas y herramientas de au-
               ditoría de TI.                                      Derivada de la GPF-OCEX 5311, esta guía fue elabo-
                                                                   rada por la Comisión Técnica de los OCEX y aproba-
               GPF-OCEX 5311 Ciberseguridad, seguridad             da por la conferencia de presidentes de ASOCEX el
               de la información y auditoría externa               12/11/208.
               Esta guía define la ciberseguridad y especifica las   Esta guía detalla y define los ocho Controles básicos
               características de la información digital y de la evi-  de ciberseguridad. Según el CIS  (Center for Inter-
                                                                                                7
               dencia electrónica. Así, de acuerdo con la GPF-OCEX   net Security) aplicando los cinco primeros controles
               1500, los criterios que permiten valorar la fiabilidad   se pueden reducir los ciberataques alrededor de un
               de la información y tenerla como evidencia en los en-  85%. La versión siete de los controles CIS indica que
               tornos informáticos son: autenticación, autorización,   los seis primeros controles son básicos y por ello la
               confidencialidad, integridad, disponibilidad, trazabili-  GPF-OCEX 5313 los ha establecido así también. A
               dad y no repudio.                                   estos, añadió el décimo control CIS (copias de segu-
                                                                   ridad de datos y sistemas) y el octavo control de ci-
               Expone las normas sobre seguridad de la informa-    berseguridad (cumplimiento normativo) añadido por
               ción y ciberseguridad explicando qué es el ENS, su   su importancia.











            6   La ISSAI 5300 contiene principios generales sobre los fundamentos de la auditoria de Tecnologías de la Información (TI) y sirve de guía para que las EFS (entidades
            fiscalizadoras superiores) puedan llevar a cabo auditorias de TI.
            7   El CIS establece un marco de ciberseguridad con una priorización de controles.


                                                                                                              101
   96   97   98   99   100   101   102   103   104   105   106