Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 33

Aunque frecuentemente se utilizan como si fueran
sinónimos, ciberseguridad y seguridad de la informa-
ción son conceptos que comparten muchos elementos
comunes pero que tienen ciertos matices diferenciado-
res importantes. Una distinción
6
entre ambos concep-
tos sería:
• La seguridad de la información trata de la protec-
ción de la información, independientemente de
su formato, dentro de la entidad.
• La ciberseguridad se ocupa específicamente de la
protección de los activos de información pro-
cesada, almacenada y transportada por
redes y
sistemas de información interconectados
.
Con toda probabilidad este último factor sea el ele-
mento clave que ha originado que, dentro del dominio
de la seguridad de la información, se haya producido un
creciente auge de los temas relacionados con la ciber-
seguridad. Un subdominio que debido a la imparable
tendencia hacia un mundo datacéntrico totalmente in-
terconectado, con los sistemas de información cada vez
más en la “nube”, ha adquirido una importancia propia
con características diferenciadoras, en paralelo con con-
ceptos como ciberespacio, ciberamenazas, ciberriesgos,
ciberfraude, ciberresiliencia, etc.
Para finalizar, me quedaré con la definición dada
por la Directiva de Ciberseguridad o Directiva NIS
de la
seguridad de las redes y sistemas de información
(es decir la ciberseguridad): la
capacidad de las redes
y sistemas de información de resistir, con un nivel de-
terminado de fiabilidad, toda acción que comprometa
la
disponibilidad
,
autenticidad
,
integridad
o
confi-
dencialidad
de los datos almacenados, transmitidos o
tratados, o los servicios correspondientes ofrecidos por
tales redes y sistemas de información o accesibles a tra-
vés de ellos
.
Esta definición contempla las cuatro características
fundamentales de los activos de información que debe
salvaguardar la ciberseguridad y la seguridad de la in-
formación: la confidencialidad, la autenticidad, la inte-
gridad y la disponibilidad.
Centrándonos en el ámbito de actuación de los
OCEX, e independientemente del alcance concreto que
se quiera dar al concepto de ciberseguridad, las polí-
ticas de ciberseguridad de las organizaciones públicas
deben estar, como ya he señalado, totalmente alineadas
e integradas con sus políticas de seguridad de la infor-
mación.
Por su trascendencia e impacto potencial,
el auditor público debe incluir en su metodología
ordinaria de trabajo la revisión de los controles de
seguridad de la información, incluyendo la ciberse-
guridad.
2. NORMATIVA LEGAL SOBRE SEGURIDAD DE LA
INFORMACIÓN Y CIBERSEGURIDAD
Aunque son numerosas las normas legales con inci-
dencia en temas de ciberseguridad
7
, destacaré tres de
ellas.
La primera es el Esquema Nacional de Seguridad
(ENS), regulado en el Real Decreto 3/2010, de 8 de ene-
ro y actualizado por el Real Decreto 951/2015, de 23 de
octubre. Es el elemento normativo que pretende garan-
tizar la adecuada protección de la información tratada y
los servicios electrónicos prestados por las entidades del
sector público.
Su finalidad es la creación de las condiciones nece-
sarias de confianza en el uso de los medios electrónicos
a través de medidas para garantizar la seguridad de los
sistemas, los datos, las comunicaciones, y los servicios
electrónicos, de forma que los sistemas de información
presten sus servicios y custodien la información de
acuerdo con sus especificaciones funcionales, sin inte-
rrupciones o modificaciones fuera de control, y sin que
la información pueda llegar al conocimiento de perso-
nas no autorizadas.
El ámbito de aplicación objetivo o material del ENS
puede representarse mediante el esquema de la figu-
ra 2
8
, en el que se muestran las características de los
sistemas de información que se deben garantizar, los
elementos de los sistemas de información y los activos
a proteger.
La ciberseguridad, el auditor externo y los OCEX
31
Auditoría Pública nº 70
(2017), pp. 27 - 38
6
Basada en las definiciones del ISACA Glossary.
7
Para una visión completa de las normas relacionadas puede consultarse el Código de Derecho de la Ciberseguridad editado por el BOE y compilado por INCIBE.
8
Guía de seguridad (CCN-STIC-830) - Ámbito de aplicación del ENS.
1...,23,24,25,26,27,28,29,30,31,32 34,35,36,37,38,39,40,41,42,43,...170
Powered by FlippingBook