Las Administraciones Públicas prestan servicios a los ciudadanos empresas y profesionales mediante Tecnologías de la Información. Por ello, es de vital importancia proteger la información que se deriva de las relaciones con el Sector Público.

La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos fue el origen de la e-Administración. Se reconoció así el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos. Concretamente, las Administraciones deben asegurar la disponibilidad, acceso, integridad, autenticidad, confidencialidad y conservación de los datos.

Como consecuencia de la relación electrónica con la Administración, se genera la necesidad de aplicar de forma segura las TIC. El Esquema Nacional de Seguridad (ENS) determina la norma de referencia para la seguridad de la información en el ámbito público.(auditoría de Sistema de Información bajo el ENS)

Así, el ENS establece los principios y requisitos mínimos de una política de seguridad para la protección de la información en la utilización de medios electrónicos. El art. 2 de de la Ley 11/2007 determina su ámbito de aplicación:

  • A las Administraciones Públicas. Entendiendo por tales: la Administración General del Estado, las Administraciones de las CCAA, las EELL;
  • Entidades de derecho público vinculadas o dependientes de las Administraciones Públicas;
  • A los ciudadanos en sus relaciones con las Administraciones Públicas; y
  • A las relaciones entre las distintas Administraciones Públicas.

Los principios básicos que desarrolla el ENS son los siguientes:

  • Seguridad Integral. La seguridad es una actividad integral que no permite conductas y actuaciones circunstanciales.
  • Gestión de Riesgos. La identificación de peligros y estimación de riesgos, así como su gestión, deberán estar actualizados.
  • Prevención, detección y recuperación. Se han de contemplar medidas para evitar, impedir y rehabilitar incidentes de seguridad.
  • Líneas de Defensa. Se han de establecer medidas de índole organizativa, física y lógica. Existen diferentes capas de seguridad para que cuando una falle se pueda restablecer el servicio, ganar tiempo o minimizar el impacto.
  • Reevaluación periódica. Las medidas de seguridad de se han de reevaluar y actualizar de forma periódica, ajustándose a la evolución de riesgos.
  • Función diferenciada. Existen diferentes Responsables dentro de la prestación del servicio: de Información, de Servicio y de Seguridad.

Todos los órganos superiores de las Administraciones públicas deberán tener una política de seguridad, que articule la gestión continuada de la seguridad. Esta política deberá llevarse a cabo de acuerdo con los requisitos mínimos de seguridad establecidos por el art. 11 del ENS.

Asimismo, el ENS obliga a que los Sistemas de Información sean objeto de una auditoría regular cada 2 años. La seguridad es un proceso continuo, por ello, se debe analizar si las medidas implementadas siguen siendo efectivas o deben modificarse.

¿Cómo llevar a cabo la Auditoría de Sistema de Información bajo el ENS?

Desde Key Auditors ofrecemos servicios de auditoría interna para la verificación de las exigencias del ENS. Comprobamos todos los requisitos necesarios para determinar si un Sistema de Información cumple con las prerrogativas de la norma.

El objetivo detectar el grado de cumplimiento, identificando las deficiencias y posibles mejoras a implementar en materia de seguridad de la información.

Por ello, en Key Auditors realizamos servicios de auditoría interna, los cuáles suponen un importante valor añadido. Con ellos, se permite lograr un mayor control de los procesos y actividades, mitigando la probabilidad de sucesos y acciones indeseadas.