Page 103 - Revista Auditoria Pública nº 83
P. 103
La importancia de los controles de seguridad en las fiscalizaciones de los ICEX
En esta guía se establece el procedimiento de audi-
toría y el programa de trabajo que se debe seguir, así
como la evaluación de los resultados obtenidos.
En los anexos están definidos cada uno de los con-
troles de ciberseguridad con su concordancia con el
anterior ENS y la guía CNN-STIC 804. También incor-
pora unas fichas de revisión con los subcontroles que
se deben verificar.
GPF-OCEX 5330 Revisión de los controles generales
de tecnología de información en un entorno de ad-
ministración electrónica
Los objetivos de los CGTI son proporcionar una ga-
rantía razonable de que los datos, la información y
los activos de los sistemas de información cumplen
las siguientes propiedades, que coinciden con las
cinco dimensiones de la seguridad de la información
que establece el Esquema Nacional de Seguridad (y
en cuatro con la definición de ciberseguridad): confi-
dencialidad, integridad, disponibilidad, autenticidad y No hay que olvidar que las entidades deben realizar una
trazabilidad. evaluación continua de los riesgos, ya que estos evolu-
cionan constante y rápidamente.
La finalidad de la auditoría de los CGTI es verificar
su eficacia, es decir que garantizan razonablemente Por el gran impacto potencial y su trascendencia, los
estas propiedades. riesgos de ciberseguridad deben ser incorporados a la
valoración de riesgos durante la auditoría (como parte
integrante de una auditoría financiera o como auditoría
exclusiva de ciberseguridad). En un entorno de adminis-
5. ¿Cómo afecta la ciberseguridad tración electrónica el auditor público debe incorporar en
a la auditoría financiera? su metodología de trabajo, la revisión de los controles
de seguridad de la información, entre ellos la cibersegu-
Para analizar cómo puede afectar la ciberseguridad a ridad.
los estados financieros, debemos partir de la idea que
los estados financieros son el resultado sintético de un Durante los últimos años se han realizado auditorías de
conjunto de información y datos utilizados por las admi- ciberseguridad en el ámbito internacional, europeo y en
nistraciones públicas, procesados por los sistemas de España a través de los OCEX.
información que se utilizan para gestionar los servicios
públicos. Estos sistemas y datos deben estar protegidos
de cualquier amenaza relacionada con su disponibilidad,
autenticidad, integridad, confidencialidad o trazabilidad. 6. Conclusiones.
La ciberseguridad debe de garantizar la protección de es-
tas cinco características. Como he dicho, los incidentes 1. El incremento de las tecnologías de la información
cibernéticos pueden tener consecuencias financieras y aporta múltiples beneficios, pero también muchos
tener un efecto significativo en los estados financieros. riesgos (ciberriesgos) que deben ser considerados a
Para intentar protegerse, la entidad debe realizar una eva- la hora de hacer las auditorías públicas (ciberseguri-
luación de los riesgos de ciberseguridad concretos de su dad). Hemos visto los riesgos asociados y las con-
entidad, hacer una valoración de éstos y poder determi- secuencias tan terribles que se desprenden (incluso
nar a qué activo afecta de los estados financieros. Una algunos, hasta lo han vivido en sus instituciones).
vez evaluado el riesgo se deberán establecer los contro-
les pertinentes para mitigar estos riesgos de cibersegu- 2. Los auditores públicos debemos incluir en nuestra
ridad. Por ello, el auditor público delimitará el alcance de metodología de trabajo la revisión de los controles
las pruebas a realizar en función de los objetivos de la de seguridad de la información y la ciberseguridad,
auditoría y los riesgos TIC relacionados. tanto en auditorías financieras como de legalidad. En
103
