Page 102 - Revista Auditoria Pública nº 83
P. 102
REVISTA AUDITORÍA PÚBLICA / 83
Cuadro 1. Controles básicos de ciberseguridad.
Inventario y control de dispositivos Gestionar activamente todos los dispositivos hardware en
físicos. la red, de forma que sólo los dispositivos autorizados ten-
gan acceso a la red.
Inventario y control de software Gestionar activamente todo el software en los sistemas, de
autorizado y no autorizado. forma que sólo se pueda instalar y ejecutar software auto-
rizado.
Proceso continuo de identificación Disponer de un proceso continuo para obtener información
y remediación de vulnerabilidades. sobre nuevas vulnerabilidades, identificarlas, remediarlas y
reducir la ventana de oportunidad a los atacantes.
Uso controlado de privilegios Desarrollar procesos y utilizar herramientas para identifi-
administrativos. car, controlar, prevenir y corregir el uso y configuración de
privilegios administrativos en ordenadores, redes y aplica-
ciones.
Configuraciones seguras del sof- Implementar la configuración de seguridad de dispositivos
tware y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores, y
móviles, portátiles, equipos de so- gestionarla activamente utilizando un proceso de gestión
bremesa y servidores. de cambios y conjuraciones riguroso, para prevenir que los
atacantes exploten servicios y configuraciones vulnerables.
Registro de la actividad de los Recoger, gestionar y analizar logs de eventos que pueden
usuarios. ayudar a detectar, entender o recuperarse de un ataque.
Copias de seguridad de datos y sis- Utilizar procesos y herramientas para realizar la copia de
temas. seguridad de la información crítica con una metodología
probada que permita la recuperación de la información en
tiempo oportuno.
Cumplimiento del ENS (*). -Política de seguridad y responsabilidades.
-Declaración de aplicabilidad.
-Informe de Auditoría (en nivel medio o alto).
-Informe del estado de la seguridad.
-Publicación de la declaración de conformidad y los distin-
tivos de seguridad en la sede electrónica.
Cumplimiento de la LOPD/RGPD. -Nombramiento del DPD.
-Registro de actividades de tratamiento.
-Análisis de riesgos y evaluación de tratamiento (para los
de riesgo alto).
-Informe de auditoría de cumplimiento (cuando el respon-
sable del tratamiento haya decidido realizarlo).
Cumplimiento de la Ley 25/2013, Informe de auditoría de sistemas anual del Registro Conta-
de 27 de diciembre (impulso de la ble de Facturas.
factura electrónica y creación del
registro contable de facturas).
Fuente: GPF-OCEX 5313.
(*) No actualizado con el nuevo ENS del 2022.
102
