Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 35

La ciberseguridad, el auditor externo y los OCEX
33
Auditoría Pública nº 70
(2017), pp. 27 - 38
accesible únicamente a personal autorizado a
acceder a dicha información.
• La
disponibilidad
se
trata de la capacidad
de un servicio, un sistema o una infor-
mación, a ser accesible y utilizable por los
usuarios o procesos autorizados cuando
éstos lo requieran.
• La
integridad
es la propiedad de la informa-
ción, por la que se garantiza la exactitud de los
datos transportados o almacenados, asegu-
rando que no se ha producido su alteración,
pérdida o destrucción, ya sea de forma acci-
dental o intencionada, por errores de software
o hardware o por condiciones medioambien-
tales.
El artículo 1.2 del ENS establece que será aplicado
por las administraciones públicas para asegurar el ac-
ceso, integridad, disponibilidad, autenticidad, confi-
dencialidad, trazabilidad y conservación de los datos,
informaciones y servicios utilizados en medios electró-
nicos que gestionen en el ejercicio de sus competencias.
Es decir, debe garantizar que los medios o soportes en
que se almacenen documentos cuenten con medidas de
seguridad que garanticen las características señaladas.
Vemos que además de las cuatro características funda-
mentales de la seguridad el ENS contempla alguna ca-
racterística adicional.
Puesto que los OCEX trabajan en las fiscalizaciones,
cada vez más, con evidencia electrónica, dichas carac-
terísticas son esenciales para que la información y los
datos en formato digital obtenidos por los auditores de
los sistemas de información del ente auditado puedan
constituir evidencia de calidad, es decir que sea perti-
nente y fiable.
Por esta razón los auditores externos deben revisar a
fondo y verificar que los controles internos diseñados e
implantados en los sistemas de información por la en-
tidad funcionan eficazmente y garantizan que la infor-
mación y los datos utilizados como fuente de evidencia
electrónica tienen las características exigidas.
Así, en el ámbito de actuación de los OCEX, el
apartado 37 de la GPF-OCEX 1500 establece y de-
fine los criterios, propiedades o características que
permitirán valorar la fiabilidad de la información y
garantizar la misma como evidencia electrónica de
auditoría en entornos informatizados. Son las si-
guientes:
Autenticación
10
: Se refiere a la posibilidad de confir-
mar, de forma indubitada, la identidad de la persona
o entidad que creó, originó o de la que procede la
información.
Autorización: Se refiere al hecho de que la información
electrónica ha sido creada, procesada, grabada, co-
rregida, enviada, archivada, ingresada y destruida
solo por personas autorizadas y responsables.
Confidencialidad: La información únicamente será
conocida por las personas o entidades autorizadas
(quienes la originan y a quienes va dirigida).
Disponibilidad: La información ha de estar disponible
para las personas o entidades autorizadas, evitándose
las pérdidas de datos.
Integridad: Es la garantía de que los datos o informa-
ción de origen han sido validados y estos no han sido
alterados al ser creados, procesados, transmitidos y
almacenados en los sistemas informáticos.
No repudio
11
: Imposibilidad de que una persona o en-
tidad que haya originado, transmitido o recibido
información pueda negar haber participado en ese
origen o intercambio de datos.
Trazabilidad: Indica las acciones o procesos que se lle-
van a cabo en el sistema, así como quién y cuándo
las realiza.
Esta exigencia de la GPF-OCEX 1500 está respaldada
por lo previsto en los artículos 17 de la Ley 39/2015 y 46
de la Ley 40/2015 que establecen que los documentos
administrativos se almacenarán por medios electróni-
cos y deberán conservarse en un formato que permita
garantizar su autenticidad, integridad, conservación,
disponibilidad y accesibilidad.
Vemos que las propiedades que el auditor público
debe exigir a la evidencia electrónica son básicamente
coincidentes con las características de la información
que el ENS pretende garantizar.
Por tanto, una entidad que acredite el cumplimiento
con el ENS mediante las auditorías de seguridad previs-
tas en su artículo 34 proporcionará a los auditores de
los OCEX una seguridad más elevada que la que pro-
porcione una entidad que no acredite su conformidad
con el ENS.
En estos últimos casos los auditores deberán realizar
procedimientos adicionales para obtener un determina-
do nivel de seguridad respecto de la evidencia digital
que soporte los informes de fiscalización (cualquiera
que sea el tipo de fiscalización realizada: financiera, de
legalidad u operativa). Esta seguridad se obtendrá me-
diante la revisión de los controles generales de tecno-
logías de la información CGTI que se comentan más
adelante.
10
O autenticidad.
11
Según INCIBE
no repudio
es sinónimo de
autenticidad
. De una forma coloquial podría decirse que son las dos caras de una misma moneda.
1...,25,26,27,28,29,30,31,32,33,34 36,37,38,39,40,41,42,43,44,45,...170
Powered by FlippingBook