P
rese
nta
ció
n C
orp
ora
tiva
LA AUDITORÍA DE SEGURIDAD DEL ENS La auditoría de Seguridad en el Esquema
Nacional de Seguridad
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Índice
Dónde se regula la auditoría del ENS
Qué es una auditoría
Cuál es la finalidad de la auditoría
Quién debe realizar la auditoría del ENS
Cuándo es obligatoria
Qué tipos de auditoría existen
Qué alcance debe tener
Aproximación práctica al desarrollo de
una auditoría del ENS
Herramientas
Equipo auditor
Fases
Puntos de control
2
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Dónde se regula la auditoría prevista en el ENS
En el art. 34 y el Anexo III del RD 3/2010 (ENS)
Qué es una auditoría
Es la revisión y examen independientes de los registros y actividades del
sistema de información (Anexo IV ENS)
Se entiende por “Sistemas de información”: el conjunto organizado de recursos para que
la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir,
distribuir, poner a disposición, presentar o transmitir (Anexo IV).
Cuál es la finalidad de la auditoría
Verificar la idoneidad de los controles del sistema
Asegurar que se cumple la política de seguridad
Asegurar que se cumplen los procedimientos operativos establecidos
Detectar las infracciones de la seguridad
Recomendar modificaciones apropiadas de los controles, de la política y de
los procedimientos.
(Anexo IV ENS)
3
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Quién debe auditar sus sistemas de información
Administración General del Estado
Administraciones de las Comunidades Autónomas
Entidades que integran la Administración Local
Entidades de derecho público vinculadas o dependientes de
cualquiera de las anteriores
Se entiende por “Sistemas de información”:
– Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
4
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Cuándo es obligatorio realizar la auditoría del
ENS
Para determinar la obligatoriedad o no de auditoría, el tipo de auditoría a
realizar, los plazos, etc es necesario saber previamente:
• Las dimensiones de seguridad del sistema de información
• La categoría del sistema de información (Cuando un sistema maneje diferentes informaciones y
preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada
servicio. La categoría que se determine se aplicará a todos los sistemas empleados para la prestación de los servicios de la
Administración electrónica y soporte del procedimiento administrativo general)
5
Dimensiones: [D] Disponibilidad [A] Autenticidad [I] Integridad [C] Confidencialidad [T] Trazabilidad
Categorías: BÁSICA MEDIA ALTA
Se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, con repercusión en la capacidad organizativa para:
• Alcanzar sus objetivos. • Proteger los activos a su cargo. • Cumplir sus obligaciones diarias de servicio. • Respetar la legalidad vigente. • Respetar los derechos de las personas.
Para determinar la categoría de un sistema:
• Primero, hay que identificar el nivel correspondiente a cada información y servicio, en función de las dimensiones de seguridad
• Segundo, hay que determinar la categoría del sistema.
Estas valoraciones las realiza el
Responsable del Servicio
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Qué tipos de auditoría existen
1. Según el plazo y momento de realización….
• Auditoría Regular Ordinaria
– Cuándo se realiza: al menos cada 2 años (bienal)
– Objeto: verificar que los sistemas de información cumplen los requerimientos del Esquema Nacional de Seguridad.
• Auditoría Extraordinaria
– Cuándo se realiza: siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.
– Objeto: determinar cómo afectarán las modificaciones a la seguridad y adoptar las medidas necesarias para que ésta se mantenga en las mismas condiciones.
– La auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años de la siguiente auditoría regular ordinaria.
(Art. 34.1 ENS)
6
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC 2. Según la categoría de los sistemas de información
auditados…..
7
Sistemas de categoría BÁSICA O INFERIOR
• No es obligatorio realizar auditoría
• Basta una autoevaluación:
• realizada por el mismo personal que
administra el sistema de información, o en quien éste delegue
• el resultado debe estar documentado, indicando:
• si cada medida de seguridad está implantada y sujeta a revisión regular y
• las evidencias que sustentan la valoración anterior.
• los informes de autoevaluación serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
Sistemas de categoría MEDIA O ALTA
• Auditoría obligatoria • Contenido del Informe de Auditoría:
• Alcance y objetivo de la auditoría • Criterios metodológicos de auditoría utilizados • Datos, hechos y observaciones en que se basen las
conclusiones formuladas. • Identificación de las deficiencias • Dictamen sobre el grado de cumplimiento del ENS • Sugerencia de posibles medidas correctoras o
complementarias que sean necesarias • Recomendaciones que se consideren oportunas.
• Destino del informe: • Serán analizados por el responsable de seguridad
competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
• Quedan a disposición del responsable de la organización por si los solicitara
• Deber de custodia y puesta a disposición por tanto
• Puede solicitarlos el CCN-CERT para prestar a las Administraciones públicas servicios de soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad.
• Consecuencias que pueden derivarse del informe: • En los sistemas de categoría ALTA, el responsable del
sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas. (Art. 34.5, 6 y 7 y Anexo III ENS)
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Qué alcance debe tener la auditoría
El alcance debe determinarse antes de iniciar la auditoría y servirá de guía
y límite (art. 34.3 ENS).
• Qué sistema de información o parte del mismo, servicio, activo….será
objeto de la auditoría
• De qué categoría de seguridad
• Qué dimensión/es se trata de verificar que es segura: confidencialidad,
disponibilidad, ….varias, todas
Caso particular: la Actuación Administrativa Automatizada prevista en el
artículo 39, de la Ley 11/2007, de 22 de junio:
• la auditoría profundizará en los detalles del sistema hasta el nivel que
considere que proporciona evidencia suficiente y relevante, dentro del
alcance establecido para la auditoría.
8
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Qué herramientas se pueden utilizar para realizar la
auditoría
los criterios, métodos de trabajo y de conducta generalmente reconocidos
Guías de seguridad de las tecnologías de la información y las comunicaciones elaboradas por el Centro Criptológico Nacional:
• CCN-STIC 802 - Guía de Auditoría: Esta guía de auditoría se encuadra dentro de lo previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y de los requisitos del artículo 34 (Auditoría de la seguridad), y del Anexo III (Auditoría de la Seguridad) del Real Decreto 3/2010 de 8 de enero.
• CCN-STIC 808 - Guía de Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. [EN BORRADOR]: El objeto de esta guía es que sirva tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del Esquema Nacional de Seguridad para un sistema
la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información
• UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)
• UNE-ISO/IEC 27002:2009 Tecnología de la Información. Técnicas de seguridad. Código de buenas prácticas para la gestión de la seguridad de la información
• UNE-ISO/IEC 20000 Tecnología de la información. Gestión del servicio. CTN: AEN/CTN 71/SC 7 - INGENIERIA DE SOFTWARE Y SISTEMAS DE INFORMACION ; CTN: AEN/CTN 71/SC 27 - TÉCNICAS DE SEGURIDAD
Orientadas a obtener evidencias que permitan sustentar objetivamente el cumplimiento de los puntos de control:
• Documentación de los procedimientos.
• Registro de incidencias.
• Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.
(Art. 29, 34.4 y Anexo III ENS)
10
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC …
Herramientas habituales del auditor para obtener
evidencias
• Estudio de Documentación: documentación de procedimientos,
rastro documental
• Estudio de Registros: registro de incidencias, logs, registros de
usuario, …
• Entrevistas (con actas): conocimiento y praxis de medidas que le
afecten
• Cuestionarios
• Preguntas cruzadas y reformulación de preguntas
• Listas de Comprobación
• Muestreo
• Visitas y Observación directa
• Pruebas técnicas
11
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Quién realizará la auditoría
El equipo auditor
• Composición: Podrá estar compuesto por auditores internos y/o externos
o una combinación de ambos.
• Independencia: debe ser independiente y nadie deberá haber participado
previamente en el sistema auditado
• Capacidad: Compuesto por un equipo de profesionales (Jefe del equipo de
auditoría, auditores y expertos) que garantice que se dispone de los
conocimientos suficientes para asegurar la adecuada realización de la
auditoría.
14
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Cómo se desarrolla una auditoría: fases
15
Actuaciones previas
Auditoría Informe de Auditoría
Esquema Nacional de Seguridad (y otras normas obligado cumplimiento)
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Desarrollo de una auditoría
16
Actuaciones Previas
Planificación Determinación del
alcance Elección metodología
Sistema/s de información
a auditar, partes, todo…,
activos, servicios
Categoría de los sistemas
de información (Básica,
Media, Alta)
Dimensiones de seguridad
a auditar
(Confidencialidad,
Integridad, Autenticidad,
Disponibilidad,
Trazabilidad)
Personal a entrevistar:
conocimientos y praxis
Documentación a
recopilar:
procedimientos, políticas,
registro de incidencias,
documentación técnica,
etc.
Criterios, métodos de
trabajo y de conducta
generalmente reconocidos
Normas nacionales o
internacionales aplicables a
este tipo de auditorías de
sistemas de información:
UNE-ISO/IEC 27001; UNE-
ISO/IEC 27002; UNE-ISO/IEC
20000; …
SELECCIÓN DEL AUDITOR
INDEPENDIENTE: Conocimientos
adecuados y suficientes
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
17
Desarrollo de una auditoría
Esquema Nacional de Seguridad (y otras normas obligado cumplimiento) + Metodología elegida
Análisis de situación existente Examen crítico y valorativo
Recomendaciones
Recomendar
modificaciones
apropiadas: sugerencia
de medidas correctoras
o complementarias, y
otras que se consideren
oportunas.
Medidas a adoptar
Recogida de
información
Controles existentes
Políticas de seguridad:
definición de roles y
funciones,…
Procedimientos operativos
establecidos: de
resolución de conflictos;
designación de
responsables; análisis de
riesgos, con revisión y
aprobación anual;
recomendaciones de
protección del anexo II ENS
; sistema de gestión de la
seguridad de la
información,….
Análisis crítico y
dictamen
Detectar infracciones de
seguridad. Identificar
deficiencias y dictaminar
sobre el grado de
cumplimiento del ENS
Datos, hechos y
observaciones
Cotejo de la Información
Recogida con el ENS y normas
aplicables
Atendiendo a las características
del sistema y a la norma
Auditoría
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
18
Informe de Auditoría
Consecuencias del
informe
Destinatarios del
informe
Responsable de Seguridad
competente: lo analizará
y emitirá sus propias
conclusiones que
presentará al Responsable
del Sistema.
Responsable del Sistema
competente: decidirá la
adopción de las medidas
oportunas
Responsable de la
organización: si lo
solicitara.
CCN-CERT: si lo solicita
para prestar servicios de
soporte y coordinación a
las AAPP.
En los sistemas de
categoría ALTA: el
Responsable del Sistema
podrá acordar la retirada
de operación de alguna
información, de algún
servicio o del sistema en
su totalidad, durante el
tiempo que estime
prudente y hasta la
satisfacción de las
modificaciones prescritas.
Alcance y objetivo de la
auditoría
Criterios metodológicos
de auditoría utilizados
Datos, hechos y
observaciones en que se
basen las conclusiones
formuladas.
Identificación de las
deficiencias
Dictamen sobre el grado
de cumplimiento del ENS
Sugerencia de posibles
medidas correctoras o
complementarias que
sean necesarias
Recomendaciones que se
consideren oportunas.
Contenido del informe
Deber de custodia y puesta a
disposición de los autorizados a
solicitarlo
Desarrollo de una auditoría
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
20
avanTICAvanzando con la Sociedad de la Información
avanTICAvanzando con la Sociedad de la Información
Si desea información sobre los servicios y soluciones de AvanTIC visite nuestro sitio
www.avantic.net
C/ Rufino, nº 1, Planta Alta
CP 38320 La Laguna (La Cuesta)
Tel. 902.36.63.24 / 922.64.10.51
AvanTIC Estudio de Ingenieros S.L. C.I.F. B-38-769337 Reg.Merc. de Santa Cruz de Tenerife, Hoja TF-33864, Folio 102, Tomo 2.580, Inscripción 1ª
Top Related