Page 106 - REVISTA AUDITORÍA PUBLICA 86
P. 106
El deber de la Intervención Local de revisar los controles de seguridad de la información. La metodología de los controles básicos...
seguridad es la facultad establecida en el art. 33.4 de seguro, evitando versiones obsoletas o maliciosas.
verificar la seguridad y fiabilidad de los sistemas informá- Para ello, resulta clave disponer de un inventario
ticos que soportan la información económico–financiera actualizado, de una “lista blanca” de aplicaciones
y contable. permitidas y de un proceso de revisión constante.
Aunque limita la libertad de instalación por parte de
Por todo ello, tanto para la entidad principal como para los usuarios, es una de las medidas más efectivas
las entidades dependientes, el órgano interventor tiene contra los ciberataques.
entre sus responsabilidades (y facultades), la de verificar
la existencia y el funcionamiento de los correspondien- CBCS 3. Identificación y corrección de vulnerabi-
tes controles de seguridad de la información, al menos lidades
los relacionados con el software que directa, o indirec- Se trata de localizar de forma continua las debilida-
tamente tenga repercusión en la información contable des técnicas de los sistemas, valorarlas según su cri-
de la entidad, entre la que podemos incluir el propio ticidad y aplicar correcciones en plazos razonables.
software de contabilidad, pero también el software de El control exige realizar escaneos periódicos, analizar
administración electrónica, el de gestión de personal y alertas de seguridad, gestionar parches y documen-
confección de nóminas, o el de gestión de ingresos y tar las medidas adoptadas. La finalidad es reducir
recaudación, por ejemplo. el tiempo en que un sistema permanece expuesto.
El uso de herramientas automáticas de detección y
gestión resulta esencial para anticiparse a los atacan-
4. Los controles básicos de ciberseguridad. tes, que suelen aprovechar cualquier demora en la
aplicación de parches.
La GPF–OCEX 5313 en el Anexo 1 describe los ocho con-
troles básicos de ciberseguridad y explica por qué son CBCS 4. Uso controlado de privilegios adminis-
importantes para la evaluación de la seguridad informá- trativos
tica de la organización, y en el Anexo 3, en las fichas de Busca asegurar que los permisos de administración
revisión para la realización del trabajo, recoge los subcon- solo se concedan cuando son estrictamente necesa-
troles en los que se desglosan cada uno de ellos, y las rios y siempre a usuarios identificados. La apropia-
pruebas a realizar y posibles evidencias a obtener. ción indebida de credenciales privilegiadas es una de
las técnicas más frecuentes en ciberataques. Este
Los ocho controles básicos de ciberseguridad son los si- control requiere políticas de privilegios mínimos, re-
guientes: visión periódica de cuentas, contraseñas robustas,
autenticación multifactor y supervisión de accesos.
CBCS 1. Inventario y control de dispositivos físi- Si los permisos se conceden de forma indiscrimina-
cos da, el riesgo de accesos indebidos y propagación de
Este control implica disponer de un inventario com- ataques se incrementa notablemente.
pleto y actualizado de todos los equipos (servidores,
ordenadores, móviles, impresoras, dispositivos de CBCS 5. Configuraciones seguras de hardware y
red, etc.) y garantizar que no accedan a la red dispo- software
sitivos no autorizados. La finalidad es doble: conocer Consiste en aplicar configuraciones reforzadas a to-
con precisión qué activos deben protegerse y evitar dos los sistemas, deshabilitando servicios innece-
que equipos no controlados introduzcan vulnerabili- sarios, eliminando cuentas por defecto y siguiendo
dades. Para ello se combinan herramientas de des- las guías de seguridad de fabricantes y organismos
cubrimiento automático o registros manuales junto especializados. Muchos equipos se entregan confi-
con medidas que bloqueen accesos indebidos. Su gurados para la facilidad de uso, no para la seguridad.
importancia radica en que cualquier equipo externo El bastionado inicial debe mantenerse actualizado
sin control puede convertirse en un punto de entrada mediante procedimientos de gestión de cambios,
de malware y comprometer la seguridad global. evitando que servicios obsoletos o protocolos inse-
guros se conviertan en puntos de entrada.
CBCS 2. Inventario y control de software autori-
zado CBCS 6. Registro y análisis de la actividad de los
Consiste en mantener un catálogo de programas usuarios
aprobados, revisar periódicamente las aplicaciones La conservación y revisión de logs es básica para de-
instaladas y restringir la ejecución de software no tectar y reconstruir incidentes. Este control revisa si
permitido. El uso de programas sin autorización cons- la entidad tiene políticas claras de logging, define qué
tituye una de las vías más habituales de infección. eventos registrar, cómo protegerlos y cuánto tiempo
Este control pretende que solo se ejecute software conservarlos. Una buena práctica es centralizar los
105
