Page 99 - Revista Auditoria Pública nº 83
P. 99

La importancia de los controles de seguridad en las fiscalizaciones de los ICEX






            ciberataques que provienen del ciberespacio.           se garantiza la exactitud de los datos.

            De acuerdo con el Instituto de Auditores Internos de Es-  ¡   Autenticidad: propiedad en que una entidad es
            paña , la ciberseguridad conlleva el desarrollo de una es-  quien dice ser o se garantiza la fuente de la que pro-
                4
            trategia global de seguridad, la monitorización y vigilan-  ceden los datos.
            cia de la seguridad, la gestión de amenazas de manera
            proactiva, la coordinación e intercambio de información,   ¡   Trazabilidad: propiedad consistente en que las ac-
            personal dedicado y experto y formación y conciencia-  tuaciones de una entidad pueden ser imputadas ex-
            ción de personal.                                      clusivamente a dicha entidad.

            Para resumir y tal como se señala en el documento “La   Por tanto, estas son las características de la información
            ciberseguridad en la UE y sus Estados miembros” , no   y los sistemas de información que la ciberseguridad debe
                                                        5
            existe ninguna definición normalizada y universal de la ci-  garantizar mediante el establecimiento de medidas de
            berseguridad. Por ciberseguridad entenderemos todas las   seguridad (utilizando la terminología del ENS) o controles
            actividades necesarias para la protección de las redes y los   de ciberseguridad (en terminología de las guías prácticas
            sistemas de información, los usuarios de tales sistemas y   de fiscalización de los OCEX), y, de esta forma, proteger
            otras personas afectadas por ciberamenazas. Consiste en   los activos en redes y sistemas interconectados.
            prevenir y detectar ciberincidentes, así como responder
            ante los mismos y recuperarse de ellos. Dichos incidentes
            pueden ser intencionados o no y oscilar entre una divul-
            gación accidental de información y ataques a empresas   3.    El esquema nacional de seguridad.
            e infraestructuras críticas, el robo de datos personales o
            incluso la injerencia en procesos democráticos y electora-  El ENS vigente está regulado en el Real Decreto
            les, pasando por las campañas generales de desinforma-  311/2022, de 3 de mayo, por el que se regula el Esquema
            ción para influir en el debate público.             Nacional de Seguridad. Incluye una serie de principios
                                                                básicos y requisitos mínimos que debe utilizar la adminis-
            Para los efectos de establecer una metodología de au-  tración pública para proteger los activos de información.
            ditoría de ciberseguridad que sea compatible con la au-  Con estos principios y requisitos se pretende garantizar
            ditoría de sistemas integrada en una auditoría financiera   el  acceso,  disponibilidad,  integridad,  confidencialidad,
            o de cumplimiento, debemos destacar que de la defini-  autenticidad y conservación de los datos, informaciones
            ción vista anteriormente de ciberseguridad dada por la   y servicios utilizados en medios electrónicos que gestio-
            Directiva 2016/1148 se desprenden cuatro dimensiones,   nen en el ejercicio de sus competencias. Como hemos
            cualidades o criterios de los sistemas de información. A   visto anteriormente, se incluyen las características que
            estas cuatro dimensiones el ENS (en su anexo 1) añade   definen a la ciberseguridad.
            una quinta. Así, las cinco dimensiones de la seguridad,
            según el ENS, que es aplicable a todas las administracio-  El ENS surge de la Ley 11/2007, de acceso electrónico de
            nes públicas, son:                                  los ciudadanos a los servicios públicos y debe aplicarse
                                                                a todos los sistemas de las Administraciones Públicas
            ¡   Disponibilidad: capacidad de un servicio, sistema o   (general del Estado, autonómica y local).
               información, de ser accesible y utilizable.
                                                                El artículo 46.3 de la Ley 40/2015 indica que los medios
            ¡   Confidencialidad: propiedad de la información por   o soportes en que se almacenen los documentos debe-
               la que se garantiza que es accesible únicamente a   rán contar con medidas de Seguridad, de acuerdo con
               personal autorizado.                             lo previsto en el Esquema Nacional de Seguridad, que
                                                                garanticen la integridad, autenticidad, confidencialidad,
            ¡   Integridad: propiedad de la información por la que   calidad, protección y conservación de los documentos












            4   99
            5   https://www.eca.europa.eu/sites/cc/Lists/CCDocuments/Compendium_Cybersecurity/CC_Compendium_Cybersecurity_ES.pdf


                                                                                                              99
   94   95   96   97   98   99   100   101   102   103   104