Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 34

Figura 2 ENS: Sistemas y comunicaciones del Sector Público
32
Noviembre nº 70 - 2017
Es importante destacar que en el artículo 34 del ENS
se establece que todas las entidades públicas están obli-
gadas a cumplir con el ENS y someter sus sistemas de
información a una
auditoría
regular ordinaria, al me-
nos cada dos años, que verifique el cumplimiento de sus
requerimientos.
El objetivo final de esta auditoría de seguridad, reali-
zada por expertos, es sustentar la confianza que merece
el sistema auditado sobre el nivel de seguridad implan-
tado, tanto internamente como frente a terceros, que
pudieran estar relacionados; es decir, calibrar la capa-
cidad del sistema para garantizar la integridad, disponi-
bilidad, autenticidad, confidencialidad y trazabilidad de
los servicios prestados y la información tratada, almace-
nada o transmitida
9
.
Para aplicar el ENS el CCN ha elaborado y publicado
una serie de documentos guía que constituyen unos ma-
teriales esenciales, casi diría que inseparables del ENS,
para todo aquel que quiera profundizar en estas cues-
tiones.
Lamentablemente, hoy en día el grado de cumpli-
miento del ENS por parte de las entidades públicas
es, en general, bastante bajo y pocas entidades pueden
acreditar que hayan realizado la citada auditoría de se-
guridad.
Por su gran importancia, los OCEX deber
ían
verificar en todas las fiscalizaciones el cumplimiento de
la legalidad en relación con el ENS y, si no se acredita, se
deberá reflejar en el informe como un incumplimiento
grave o muy significativo.
Otra norma clave es la Directiva NIS, ya mencionada,
que establece que los estados miembros adoptarán
y publicarán, a más tardar el 9 de mayo de 2018, las
disposiciones legales, reglamentarias y administrativas
necesarias para dar cumplimiento a lamisma. Actualmente
España está en proceso de transponer esta directiva.
También interesa citar por su importante efecto
sobre aspectos de la confidencialidad de la información,
la aprobación por el Parlamento Europeo el 27 de abril
de 2016 del nuevo Reglamento General de Protección
de Datos de la UE, de plena aplicación para el sector
público. Este RGPD será aplicable a partir del 25 de
mayo de 2018, fecha a partir de la cual las políticas de
seguridad de la información y los controles internos
deberán contemplar sus requerimientos.
3. PROPIEDADES O CARACTERÍSTICAS DE LA IN-
FORMACIÓN DIGITAL
La información y los datos que circulan, almacenan o
se procesan en un sistema de información, deben tener
una serie de características que los controles de segu-
ridad deben garantizar, tal como requiere la Directiva
de Ciberseguridad a nivel europeo o el ENS en España.
Estas
características
son:
• La
autenticidad
es la propiedad o caracterís-
tica consistente en que una entidad es quien
dice ser o bien que garantiza la fuente de la que
proceden los datos.
• La
confidencialidad
es la propiedad de la in-
formación, por la que se garantiza que está
AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS
9
Apartado 10 de la Guía de auditoría CCN-STIC-802.
1...,24,25,26,27,28,29,30,31,32,33 35,36,37,38,39,40,41,42,43,44,...170
Powered by FlippingBook