LA AUDITORÍA DE SEGURIDAD DEL ENS

(1)

P resenta ció n C o rp o ra tiva

LA AUDITORÍA DE SEGURIDAD DEL ENS

La auditoría de Seguridad en el Esquema

(2)

ció n C o rp o ra tiva

avan

TIC

Índice



Dónde se regula la auditoría del ENS



Qué es una auditoría



Cuál es la finalidad de la auditoría



Quién debe realizar la auditoría del ENS



Cuándo es obligatoria



Qué tipos de auditoría existen



Qué alcance debe tener



Aproximación práctica al desarrollo de

una auditoría del ENS

 Herramientas

 Equipo auditor  Fases

(3)

avan

TIC



Dónde se regula la auditoría prevista en el ENS

 En el art. 34 y el Anexo III del RD 3/2010 (ENS)



Qué es una auditoría

 Es la revisión y examen independientes de los registros y actividades del

sistema de información (Anexo IV ENS)

 Se entiende por “Sistemas de información”: el conjunto organizado de recursos para que

la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir (Anexo IV).



Cuál es la finalidad de la auditoría

 Verificar la idoneidad de los controles del sistema  Asegurar que se cumple la política de seguridad

 Asegurar que se cumplen los procedimientos operativos establecidos  Detectar las infracciones de la seguridad

 Recomendar modificaciones apropiadas de los controles, de la política y de

los procedimientos. (Anexo IV ENS)

(4)

avan

TIC



Quién debe auditar sus sistemas de información



Administración General del Estado



Administraciones de las Comunidades Autónomas



Entidades que integran la Administración Local



Entidades de derecho público vinculadas o dependientes de

cualquiera de las anteriores

 Se entiende por “Sistemas de información”:

– Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

(5)

avan

TIC



Cuándo es obligatorio realizar la auditoría del

ENS

 Para determinar la obligatoriedad o no de auditoría, el tipo de auditoría a

realizar, los plazos, etc es necesario saber previamente:

• Las dimensiones de seguridad del sistema de información

• La categoría del sistema de información(Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio. La categoría que se determine se aplicará a todos los sistemas empleados para la prestación de los servicios de la Administración electrónica y soporte del procedimiento administrativo general)

5

 Dimensiones:  [D] Disponibilidad  [A] Autenticidad  [I] Integridad  [C] Confidencialidad  [T] Trazabilidad  Categorías: BÁSICA MEDIA ALTA

Se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, con repercusión en la capacidad organizativa para:

• Alcanzar sus objetivos.

• Proteger los activos a su cargo.

• Cumplir sus obligaciones diarias de servicio.

• Respetar la legalidad vigente.

• Respetar los derechos de las personas.

Para determinar la categoría de un sistema:

• Primero, hay que identificar el nivel correspondiente a cada información y servicio, en función de las dimensiones de seguridad

• Segundo, hay que determinar la categoría del sistema.

Estas valoraciones las realiza el Responsable del

(6)

avan

TIC



Qué tipos de auditoría existen



1. Según el plazo y momento de realización….

• Auditoría Regular Ordinaria

– Cuándo se realiza: al menos cada 2 años (bienal)

– Objeto: verificar que los sistemas de información cumplen los requerimientos del Esquema Nacional de Seguridad.

• Auditoría Extraordinaria

– Cuándo se realiza: siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

– Objeto: determinar cómo afectarán las modificaciones a la seguridad y adoptar las medidas necesarias para que ésta se mantenga en las mismas condiciones.

– La auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años de la siguiente auditoría regular ordinaria.

(7)

avan

TIC



2. Según la categoría de los sistemas de información

auditados…..

7

 Sistemas de categoría BÁSICA O

INFERIOR

• No es obligatorio realizar auditoría

• Basta una autoevaluación:

• realizada por el mismo personal que administra el sistema de información, o en quien éste delegue

• el resultado debe estar documentado, indicando:

• si cada medida de seguridad está implantada y sujeta a revisión regular y

• las evidencias que sustentan la valoración anterior.

• los informes de autoevaluación serán

analizados por el responsable de seguridad competente, que elevará las

conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

 Sistemas de categoría MEDIA O ALTA

• Auditoría obligatoria

• Contenido del Informe de Auditoría:

• Alcance y objetivo de la auditoría

• Criterios metodológicos de auditoría utilizados

• Datos, hechos y observaciones en que se basen las conclusiones formuladas.

• Identificación de las deficiencias

• Dictamen sobre el grado de cumplimiento del ENS

• Sugerencia de posibles medidas correctoras o complementarias que sean necesarias

• Recomendaciones que se consideren oportunas.

• Destino del informe:

• Serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

• Quedan a disposición del responsable de la organización por si los solicitara

• Deber de custodia y puesta a disposición por tanto

• Puede solicitarlos el CCN-CERT para prestar a las Administraciones públicas servicios de soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad.

• Consecuencias que pueden derivarse del informe:

• En los sistemas de categoría ALTA, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.

(8)

avan

TIC



Qué alcance debe tener la auditoría

 El alcance debe determinarse antes de iniciar la auditoría y servirá de guía

y límite (art. 34.3 ENS).

• Qué sistema de información o parte del mismo, servicio, activo….será objeto de la auditoría

• De qué categoría de seguridad

• Qué dimensión/es se trata de verificar que es segura: confidencialidad, disponibilidad, ….varias, todas

 Caso particular: la Actuación Administrativa Automatizada prevista en el

artículo 39, de la Ley 11/2007, de 22 de junio:

• la auditoría profundizará en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la auditoría.

(9)

avan

TIC

DESARROLLO DE UNA

AUDITORÍA

Aproximación práctica

9

(10)

avan

TIC



Qué herramientas se pueden utilizar para realizar la

auditoría

 los criterios, métodos de trabajo y de conducta generalmente reconocidos

 Guías de seguridad de las tecnologías de la información y las comunicaciones

elaboradas por el Centro Criptológico Nacional:

• CCN-STIC 802 - Guía de Auditoría: Esta guía de auditoría se encuadra dentro de lo previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y de los requisitos del artículo 34 (Auditoría de la seguridad), y del Anexo III (Auditoría de la Seguridad) del Real Decreto 3/2010 de 8 de enero.

• CCN-STIC 808 - Guía de Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. [EN BORRADOR]: El objeto de esta guía es que sirva tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del Esquema Nacional de Seguridad para un sistema

 la normalización nacional e internacional aplicables a este tipo de auditorías de

sistemas de información

• UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)

• UNE-ISO/IEC 27002:2009 Tecnología de la Información. Técnicas de seguridad. Código de buenas prácticas para la gestión de la seguridad de la información

• UNE-ISO/IEC 20000 Tecnología de la información. Gestión del servicio. CTN: AEN/CTN 71/SC 7 - INGENIERIA DE SOFTWARE Y SISTEMAS DE INFORMACION ; CTN: AEN/CTN 71/SC 27 - TÉCNICAS DE SEGURIDAD

 Orientadas a obtener evidencias que permitan sustentar objetivamente el

cumplimiento de los puntos de control:

• Documentación de los procedimientos. • Registro de incidencias.

• Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

(11)

avan

TIC



…



Herramientas habituales del auditor para obtener

evidencias

• Estudio de Documentación: documentación de procedimientos, rastro documental

• Estudio de Registros: registro de incidencias, logs, registros de usuario, …

• Entrevistas (con actas): conocimiento y praxis de medidas que le afecten

• Cuestionarios

• Preguntas cruzadas y reformulación de preguntas • Listas de Comprobación

• Muestreo

• Visitas y Observación directa • Pruebas técnicas

(12)

avan

TIC

Herramienta: check-list, registros y

documentos

(13)

avan

TIC

Herramienta: check-list y muestreo

(14)

avan

TIC



Quién realizará la auditoría

 El equipo auditor

• Composición: Podrá estar compuesto por auditores internos y/o externos o una combinación de ambos.

• Independencia: debe ser independiente y nadie deberá haber participado previamente en el sistema auditado

• Capacidad: Compuesto por un equipo de profesionales (Jefe del equipo de auditoría, auditores y expertos) que garantice que se dispone de los conocimientos suficientes para asegurar la adecuada realización de la auditoría.

(15)

avan

TIC



Cómo se desarrolla una auditoría: fases

15

Actuaciones

previas Auditoría Informe de Auditoría

Esquema Nacional de Seguridad (y otras normas obligado cumplimiento)

(16)

avan

TIC

Desarrollo de una

auditoría

Actuaciones Previas  Planificación  Determinación del

alcance  Elección metodología

 Sistema/s de información a auditar, partes, todo…, activos, servicios

 Categoría de los sistemas de información (Básica, Media, Alta)  Dimensiones de seguridad a auditar (Confidencialidad, Integridad, Autenticidad, Disponibilidad, Trazabilidad)  Personal a entrevistar: conocimientos y praxis  Documentación a recopilar: procedimientos, políticas, registro de incidencias, documentación técnica, etc.  Criterios, métodos de trabajo y de conducta generalmente reconocidos  Normas nacionales o internacionales aplicables a este tipo de auditorías de sistemas de información: ISO/IEC 27001; UNE-ISO/IEC 27002; UNE-UNE-ISO/IEC 20000; …

SELECCIÓN DEL AUDITOR INDEPENDIENTE: Conocimientos adecuados y suficientes

(17)

avan

TIC

17 Desarrollo de una

auditoría

Esquema Nacional de Seguridad (y otras normas obligado cumplimiento) + Metodología elegida

Análisis de situación existente Examen crítico y valorativo

Recomendaciones  Recomendar modificaciones apropiadas: sugerencia de medidas correctoras o complementarias, y otras que se consideren oportunas. Medidas a adoptar Recogida de información  Controles existentes  Políticas de seguridad: definición de roles y funciones,…  Procedimientos operativos establecidos: de resolución de conflictos; designación de responsables; análisis de riesgos, con revisión y aprobación anual; recomendaciones de protección del anexo II ENS ; sistema de gestión de la seguridad de la información,…. Análisis crítico y dictamen  Detectar infracciones de seguridad. Identificar deficiencias y dictaminar sobre el grado de

cumplimiento del ENS

Datos, hechos y observaciones Cotejo de la Información Recogida con el ENS y normas aplicables Atendiendo a las características del sistema y a la norma Auditoría

(18)

avan

TIC

Informe de Auditoría  Consecuencias del informe  Destinatarios del informe  Responsable de Seguridad competente: lo analizará y emitirá sus propias conclusiones que

presentará al Responsable del Sistema.

 Responsable del Sistema competente: decidirá la adopción de las medidas oportunas

 Responsable de la organización: si lo solicitara.

 CCN-CERT: si lo solicita para prestar servicios de soporte y coordinación a las AAPP.

 En los sistemas de categoría ALTA: el Responsable del Sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.  Alcance y objetivo de la auditoría  Criterios metodológicos de auditoría utilizados  Datos, hechos y observaciones en que se basen las conclusiones formuladas.

 Identificación de las deficiencias

 Dictamen sobre el grado de cumplimiento del ENS

 Sugerencia de posibles medidas correctoras o complementarias que sean necesarias  Recomendaciones que se consideren oportunas.

 Contenido del informe

Deber de custodia y puesta a disposición de los autorizados a

Desarrollo de una

auditoría

(19)

avan

TIC

Puntos de control

19

(20)

avan

TIC

avan

TIC

Avanzando con la

avan

Sociedad de la

TIC

Información Avanzando con la Sociedad de la Información

Si desea información sobre los servicios y soluciones de AvanTIC visite nuestro sitio

www.avantic.net

C/ Rufino, nº 1, Planta Alta CP 38320 La Laguna (La Cuesta)

Tel. 902.36.63.24 / 922.64.10.51 [email protected]