Page 108 - REVISTA AUDITORÍA PUBLICA 86
P. 108
El deber de la Intervención Local de revisar los controles de seguridad de la información. La metodología de los controles básicos...
¡ Nivel 5 (N5 – Optimizado): el control se encuentra Índice de cumplimiento
en mejora continua, con procesos sistemáticos de
retroalimentación. La organización completa está Por último, en los informes de evaluación de los CBCS
volcada en la mejora continua de los procesos. Se se recoge un índice de cumplimiento, global y para cada
hace uso intensivo de las métricas y se gestiona el control, que resultará de comparar el indicador de madu-
proceso de innovación. rez con el nivel requerido u objetivo mínimo que tiene el
sistema según el ENS.
Índices de madurez
De acuerdo con la metodología establecida en las GPF–
El índice de madurez es un indicador cuantitativo que OCEX 5313 y 5330, en primer lugar cada uno de los
refleja el grado de desarrollo de un control de ciberse- subcontroles o controles detallados en los que se des-
guridad en una entidad, y de la entidad en su conjunto. glosan los CBCS han de ponderarse en función de la im-
Se expresa en forma de porcentaje en una escala del portancia o peso relativo que se le otorgue a cada uno
0-100% tanto para cada control como de forma global. Al de ellos para la efectividad del control. A continuación
igual que los niveles de madurez, los indicadores reflejan han de calificarse en las siguientes categorías: control
el grado de implantación de las medidas de seguridad de efectivo, control bastante efectivo, control poco efectivo,
la información en una organización, pero la expresión en control no efectivo o no implantado, y se le ha de asignar
forma de índice numérico aporta ventajas significativas. un índice de madurez. Para evaluar el índice de madurez
En lugar de limitarse a cinco niveles discretos, la escala de cada control se tienen en cuenta los resultados ob-
de 0 a 100 % permite una medición más precisa del gra- tenidos en la revisión de los controles detallados que lo
do de cumplimiento y, además, facilita la comparación forman y considerando la ponderación o importancia re-
tanto entre distintas entidades como en la evolución de lativa que se les asigna para el cumplimiento del objetivo
una misma entidad a lo largo del tiempo. de control. El índice resultante marcará a su vez el nivel
de madurez (N0–N5) conforme a la equivalencia anterior-
En la GPF–OCEX 5330 a la que se remite la GPF–OCEX mente reproducida.
5313, se recoge la equivalencia entre los niveles e índi-
ces de madurez, siendo la siguiente: Una vez obtenida la evaluación de cada uno de los CBCS,
el índice de madurez global de la entidad se calcula me-
¡ 0–9 % → N0 Inexistente diante la media de los índices de madurez de los contro-
les.
¡ 10–49 % → N1 Inicial/ad hoc
El nivel mínimo exigible de madurez en los controles de-
¡ 50-79 % → N2 Repetible pero intuitivo pende de la categoría ENS del sistema de información
evaluado. El ENS distingue tres categorías (baja, media y
¡ 80-89 % → N3 Proceso definido alta) en función del impacto que tendría una pérdida de
seguridad en las dimensiones de confidencialidad, inte-
¡ 0–99 % → N4 Gestionado y medido gridad, disponibilidad, autenticidad y trazabilidad.
¡ 100 % → N5 Optimizado En los informes de los OCEX sobre entidades locales,
todos los sistemas revisados se han calificado como de
categoría media. Ello implica que el nivel de madurez ob-
jetivo es N3 (definido), equivalente a un índice de madu-
rez mínimo del 80 % en todos los CBCS, que implica que
los controles deben estar formalmente establecidos, do-
cumentados y aplicados de forma homogénea en toda la
organización.
La metodología expuesta hace posible que las interven-
ciones locales evalúen formalmente la situación de los
controles de seguridad de la información de la entidad
sin la necesidad de asistencia técnica externa, partiendo
simplemente de la información obtenida del cuestionario
anexo a la guía o bien de la última auditoría de seguridad
del ENS.
107
