Nos hacemos eco, vía
el CCN-CERT, de la publicación en el BOE de la tercera instrucción técnica
acerca de las auditorías de seguridad obligatorias, la cual, establece las
condiciones en las que deberán realizarse las auditorías de seguridad
obligatorias para los sistemas clasificados con categoría MEDIA o ALTA, dentro
del ámbito del Esquema Nacional de Seguridad (en adelante, ENS).
¿Qué es una instrucción técnica?
En las propias
palabras del CCN-CERT:
Estas instrucciones técnicas entran a regular aspectos
concretos que la realidad cotidiana ha mostrado especialmente significativos,
tales como: Informe del Estado de la Seguridad; notificación de incidentes de
Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de
Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el
Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de
Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio
de las propuestas que pueda acordar el Comité Sectorial de Administración
Electrónica, según lo establecido en el citado artículo 29.
¿Ha de auditarse un sistema de información de
categoría BÁSICA?
No es obligatorio,
pero de forma voluntaria es recomendable. Un sistema de información con dicha
categoría sólo está obligado a una autoevaluación por los administradores o en
quien estos deleguen. Básicamente, un documento donde se expone que las medidas
de seguridad exigidas están implementadas y son revisadas con regularidad.
¿Cuándo debo auditar los sistemas de
información con categoría MEDIA o ALTA?
Las auditorías son
necesarias, al menos una cada dos años, para obtener la certificación de
adecuación al ENS. Además, se deberán realizar auditorías extraordinarias cada
vez que el sistema reciba modificaciones cuyo alcance modifique los
requerimientos de seguridad.
Independencia del auditor
Un punto interesante
y a tener en cuenta es la circunscripción explícita de las tareas de auditorías
al cometido o ámbito para la que están encomendadas. Esto, impide que dentro
del proceso de auditoría entren funciones de consultoría, labores de
implantación o la modificación lógica de las aplicaciones del propio sistema de
información auditado. Incluso cierra la puerta a la realización de la
documentación exigida por el ENS o los procedimientos de actuación.
Es decir, el auditor
viene a auditar. Solo eso. Se respeta así la independencia de un proceso. Por
lo que, ni el auditor puede ofertar arreglar los fallos que él mismo encuentra
(algo, muy cuestionable éticamente) ni por tu parte puedes exigirle que
implemente las modificaciones y medidas propuestas por él en su informe. Es
más, se hace explícito algo que siempre hemos defendido desde HISPASEC: no
recomendar ningún producto o servicio concreto. Independencia absoluta y sin
intereses.
¿Cómo se clasifican los hallazgos?
En dos. "No
conformidad menor" y "No conformidad mayor". Las primeras
indican fallos o controles de seguridad ausentes en uno o más requisitos del
ENS. Pero ojo, dan cabida a la "duda significativa". Es decir, cuando
mediante una evidencia objetiva, el auditor plantee la posibilidad de
existencia de una no conformidad en los requisitos, entonces pasa a
considerarse una no conformidad de lleno.
Para que nos hagamos
una idea, una no conformidad podría ser no usar criptografía en dispositivos
removibles (un USB) si el sistema de información posee categoría MEDIA o ALTA;
siendo necesario en ésta el uso de algoritmos aprobados por el Centro
Criptológico Nacional (CCN).
Resultados de la auditoría
La auditoría posee
tres finales posibles: "FAVORABLE", en el cual el sistema no poseerá
ninguna "no conformidad". "FAVORABLE CON NO CONFORMIDADES",
en la que existen deficiencias, tanto mayores como menores. En este caso, se
deberá presentar en el plazo de un mes un Plan de Acciones Correctivas sobre
dichos hallazgos a la entidad certificadora. Por último, tenemos el resultado
"DESFAVORABLE". En este caso, se deberá realizar una nueva auditoría
extraordinaria, en el plazo de seis meses, para comprobar que se han
solucionado los hallazgos encontrados por el auditor.
La instrucción
técnica se encuentra publicada aquí y entra en vigor hoy mismo, 4 de abril de
2018, http://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-4573
Más información:
Publicada en el BOE
la Instrucción Técnica de Seguridad de Auditoría https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/6024-publicada-en-el-boe-la-instruccion-tecnica-de-seguridad-de-auditoria.html
Fuente: Hispasec