Foro de PreparaTIC29

84. De acuerdo con lo establecido en el RD 3/2010 de 8 de enero por el que se regula el Esquema Nacional de Seguridad,
a) todos los sistemas de información serán objeto de una auditoría regular ordinaria con carácter anual.
b) los sistemas de información de categoría básica no precisan ser auditados.
c) la auditoría de los sistemas de categoría media puede ser sustituida por una autoevaluación realizada por el mismo personal que administra el sistema.
d) no es necesario que los informes de autoevaluación sean conocidos por el responsable de seguridad competente. Basta con que los conozca el

como se ha comentado en el tema de preguntas impugnables. No se puede decir que los básicos no necesiten ser auditados porque sea autoevaluación cuando se dice muy claramente en la ley:

Artículo 34 Auditoría de la seguridad

1. Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

En la respuesta B se dice que no deben ser auditados de forma genérica con lo que no estoy de acuerdo tal y como lo expresa la ley. Creo que debería ser impugnable, ya que no hay ninguna correcta.

El ENS dice (copio y pego):
Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría.

Así que creo que en esta pregunta no hay duda, es correcta.

Pero eso es discutible.
Al igual que dice eso, también dice lo siguiente (copio y pego): Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Dado que en el mismo RD se dice una cosa y la contraria, me parece interpretable y creo que tendría que anularse.

amoria escribió:Pero eso es discutible.
Al igual que dice eso, también dice lo siguiente (copio y pego): Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Dado que en el mismo RD se dice una cosa y la contraria, me parece interpretable y creo que tendría que anularse.

Bueno el RD no dice una cosa y la contraria, sino que dice una cosa y luego añade un caso particular sobre eso que ha dicho, es como decir "no se puede pasar si un semáforo está en rojo", algo indiscutible pero si luego añades "si un agente de policía indica que puede pasar en ese caso si puede", entonces hay un caso particular en el que no se sigue la regla general, pero no es una contradicción. Creo que este ejemplo lo explica bien.

Estoy de acuerdo tanto con livia2 como con Phoenix, es un caso especial que no sigue la regla general.

Creo que primero se dice el caso general y luego se particulariza...

Yo creo que esta no sería impugnable. Según el ENS:

Artículo 34. Auditoría de la seguridad.

1. Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. ESTO ES LO GENERAL

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

ESTO ES: si el sistema dejara de tener nivel básico, se le tendría que realizar inmediatamente una auditoría en toda regla.

2. Esta auditoría se realizará en función de la categoría del sistema, determinada según lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III. AQUÍ ESTÁ LO ESPECÍFICO, porque el anexo III dice:

ANEXO III
Auditoría de la seguridad

2. Niveles de auditoría
...
1. Auditoría a sistemas de categoría BÁSICA.

a) Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información, o en quien éste delegue.

El resultado de la autoevaluación debe estar documentado, indicando si cada medida de seguridad está implantada y sujeta a revisión regular y las evidencias que sustentan la valoración anterior.

Por ello creo que no hay contradicción sino la interpretación de: En general, todos los sistemas deben pasar por la auditoría cada 2 años. EXCEPTO los básicos que no necesitan tal auditoría sino sólo autoevaluación cada los mismos 2 años.

Estoy de acuerdo con vosotros de que la regla general es que todos los sistemas deben ser auditados, y se expresa la particular (que más bien lo véis como excepción) de que los básicos no tienen auditoria, bastará con Autoevaluación. Lo cual se puede considerar como que sería suficiente con auditoría interna (por lo menos a mis ojos, tal vez es que tengo el concepto no lo tengo claro)

El concepto que yo tengo de auditoría interna es revisión sistemática y detallada de un sistema de información , y que puede ser llevada por profesionales dentro de la empresa. Por lo que no termino de verlo inconexo con autoevaluación.

Para el problema es el que se ve en otros cuestionarios, la frase "los sistemas de información de categoría básica no precisan ser auditados." no es autoexplicativa y está sacada de contexto , dando lugar a toda esta confusión. Añadiendo la palabra ordinaria o tal y como viene en la ley Bastará con autoevaluación no dejaría lugar a interpretaciones.

El CCN publicó la guía 808 Verificación del cumplimiento del ENS, que es una especie de guía para llevar una auditoría de los sistemas de nivel medio y alto (viene en la introducción), con lo cual es otro argumento...