Page 107 - REVISTA AUDITORÍA PUBLICA 86
P. 107

REVISTA AUDITORÍA PÚBLICA / 86






            registros mediante sistemas SIEM que correlacionan   cer objetivos de evolución realistas. El resultado de esta
            grandes volúmenes de datos y facilitan la identifica-  evaluación se traduce en los llamados niveles de madu-
            ción de patrones sospechosos. Sin registros com-  rez, índices de madurez, e índices de cumplimiento.
            pletos y revisados, los ataques pueden permanecer
            ocultos durante largos periodos.                 Niveles de madurez

            CBCS 7. Copias de seguridad de datos y sistemas  El ENS, aprobado por Real Decreto 311/2022, establece
            Garantiza la recuperación de la información y la con-  que la seguridad de los sistemas de información debe
            tinuidad del servicio tras incidentes graves. Incluye   evaluarse no solo en términos de medidas técnicas im-
            la realización periódica de copias completas, su al-  plantadas, sino también de su grado de formalización y
            macenamiento en distintos soportes y ubicaciones,   eficacia. Para ello se define un esquema de niveles de
            el cifrado de la información y la existencia de pro-  madurez que clasifica los controles en cinco estadios,
            cedimientos de restauración probados. La copia de   además de un Nivel 0 o inexistente:
            seguridad solo es eficaz si se acompaña de ensayos
            regulares de recuperación, que verifiquen la integri-  ¡  Nivel 1 (N1 – Inicial/ad hoc): el control existe de ma-
            dad de los datos y la rapidez de respuesta.         nera incipiente o no está formalizado; depende de
                                                                iniciativas individuales. Las organizaciones en este
            CBCS 8. Cumplimiento de legalidad                   nivel  no disponen  de un ambiente estable  para la
            Este último control evalúa el cumplimiento de diver-  prestación del servicio requerido. Aunque se utilicen
            sas normas relacionadas con la seguridad de la infor-  técnicas correctas, los esfuerzos se ven minados por
            mación, e indirectamente evalúa la gobernanza de la   falta de planificación. El éxito de los proyectos se
            ciberseguridad, al evaluar el cumplimiento del ENS,   basa la mayoría de las veces en el esfuerzo personal,
            que incluye cuestiones tales como la aprobación y   aunque a menudo se producen fracasos y casi siem-
            difusión de la Política de Seguridad de la Información   pre retrasos y sobrecostes. El resultado es imprede-
            (PSI), la constitución de un comité de seguridad, la   cible. A menudo las soluciones se implementan de
            definición de responsabilidades, o la formación y con-  forma reactiva a los incidentes.
            cienciación. Además del cumplimiento de la ENS se   Los procedimientos de trabajo, cuando existen, son
            evalúa la conformidad con la normativa de protección   informales, incompletos y no se aplican de forma sis-
            de datos y las normas de facturación electrónica.   temática.

            La relevancia de este control es doble: garantiza la   ¡  Nivel 2 (N2 – Repetible pero intuitivo): el control se
            legalidad y crea un marco organizativo estable que   aplica de manera reiterada, pero sin procedimientos
            trasciende lo técnico. Sin una gobernanza clara y pro-  formalmente aprobados. En este nivel las organiza-
            cedimientos formalmente aprobados, las medidas      ciones disponen de unas prácticas institucionalizadas
            de seguridad corren el riesgo de ser parciales, incon-  de gestión, existen unas métricas básicas y un ra-
            sistentes o meramente formales, lo que comprome-    zonable seguimiento de la calidad. Existen procedi-
            te la eficacia global del sistema de protección.    mientos de trabajo, pero no están suficientemente
                                                                documentados o no cubren todos los aspectos re-
                                                                queridos.
         5. Metodología recogida en la GPF-OCEX 5313.        ¡  Nivel 3 (N3 – Definido): el control está documentado
             Revisión de los controles básicos de               y formalizado, se aplica de forma homogénea. Ade-
             ciberseguridad.                                    más de una buena gestión, a este nivel las organi-
                                                                zaciones disponen de normativa y procedimientos
         La evaluación se realiza partiendo de la información obte-  detallados y documentados. Los procedimientos se
         nida de los siguientes medios: mediante entrevistas, ins-  comunican con acciones formativas.
         pección documental, observación de procesos y revisión
         de evidencia técnica. La alineación con el ENS hace que   ¡  Nivel 4 (N4 – Gestionado y medido): el control se
         sea posible partir del resultado obtenido en la última au-  supervisa, se mide y se somete a revisiones perió-
         ditoría del ENS, de obligatoria realización cada dos años,   dicas. Se caracteriza porque las organizaciones dis-
         lo cual simplifica mucho el trabajo a realizar. Por otra par-  ponen de un conjunto de métricas de efectividad y
         te, la guía recoge en su Anexo 2 un cuestionario que de-  eficiencia, que se usan de modo sistemático para la
         berá rellenar el responsable del sistema informático de   toma de decisiones y la gestión de riesgos. El servi-
         la entidad y que recoge todos los aspectos a evaluar. La   cio resultante es de alta calidad. La Dirección contro-
         flexibilidad del modelo facilita su aplicación en entidades   la y mide el cumplimiento con los procedimientos y
         de diferentes tamaños y complejidad y permite estable-  adopta medidas correctoras cuando se requiere.



          106
   102   103   104   105   106   107   108   109   110   111   112