Buenas prácticas en auditorías de seguridad de la información

30/11/2018

Auditoría de seguridad de la información y marcos de autoevaluación para operadores de servicios esenciales y proveedores de servicios digitales

ENISA publica hoy un informe con buenas prácticas de auditoría y autoevaluación de seguridad para las autoridades nacionales competentes (NCA), proveedores de servicios digitales (DSP) y operadores de servicios esenciales (OES).

El informe presenta los pasos de un proceso de auditoría de seguridad de la información para OES, así como un marco de autoevaluación / gestión para DSP, como un medio para evaluar la seguridad y / o el cumplimiento de los requisitos de seguridad establecidos por la Directiva NIS. El resultado clave del estudio es un conjunto de buenas prácticas para auditorías y / o autoevaluaciones alineadas con los requisitos de seguridad de NISD.

Uno de los objetivos clave de la Directiva NIS es introducir medidas de seguridad adecuadas para OES, así como para DSP, en un esfuerzo por lograr una línea de base, un nivel común de seguridad de la información en redes y sistemas de información.

NCA evaluará el cumplimiento de OES con sus obligaciones derivadas del artículo 14 de la Directiva NIS. Para el DSP, no hay ningún requisito para una evaluación de cumplimiento; sin embargo, los estados miembros deben asegurarse de tomar las medidas de seguridad apropiadas. Las auditorías de seguridad de la información y los ejercicios de autoevaluación / gestión son los dos facilitadores principales para lograr estos objetivos.

Más específicamente, el informe:

• propone pasos para facilitar el proceso de auditoria. Los mismos pasos son útiles para la autoevaluación;
• propone una lista indicativa de preguntas para NCA, que, junto con la evidencia relevante, podría facilitar las evaluaciones de cumplimiento de la OES de la Directiva NIS;
• propone una lista indicativa de preguntas que, junto con la evidencia relevante, podrían facilitar los ejercicios de autoevaluación de DSP en relación con los requisitos de seguridad del Artículo 16 (1) de la Directiva NIS;
• presenta acciones posteriores a la auditoría para el NCA, con vistas a obtener beneficios y / o conocimientos, luego de un ejercicio de auditoría de seguridad de la información; y
• analiza los principales marcos de auditoría y autoevaluación / gestión, proporcionando un mapeo de esos marcos por dominio de aplicabilidad, es decir, en entornos de negocios DSP, OES o ambos.

ENISA considera este informe como parte integral de su trabajo hacia una mejor colaboración entre los Estados miembros en materia de seguridad cibernética. En este sentido, el informe crea conciencia de los desafíos más importantes que enfrentarán las partes interesadas en el espectro de los requisitos de la Directiva NIS.

Fuente: Enisa

Otras noticias relacionadas

• Nuevo reglamento sobre protección de datos
• Constituida asociación sobre ciberseguridad europea
• Actuaciones de la AEPD en 2017
• Implicaciones del Reglamento General de Protección de Datos
• Seguridad de la información en Hospitales
• Medir la eficacia de un sistema de seguridad informática
• Seguridad en los pagos móviles
• La dirección IP es un 'dato personal'
• certificación seguridad en entornos TIC emergentes
• Nuevas Normas ISO para el desarrollo de banca electrónica.
• UNE 178301 sobre Datos Abiertos (Open Data).
• Informe ENISA sobre ciberseguridad en la UE: 2016
• RGPD -Facilita Herramienta sobre protección de datos
• PROYECTO LEY ORGÁNICA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
• ISO IEC 29151 busca frenar el robo de datos personales:
• ENISA: Visión general de los laboratorios de certificación de TIC
• Implementación de los servicios de confianza bajo el Reglamento eIDAS
• ENISA: tecnologías emergentes y desafíos de seguridad
• ISO / IEC 27000 - para la seguridad de la información ha sido revisada
• Protección de Datos: Guías publicadas por la AEPD
• El Reglamento de Protección de Datos avala la investigación biomédica
• ISO: nuevo Standard para la protección de datos digital.
• Sistema electrónico: comunicar Delegados Protección datos
• AEPD publica el registro de actividades de tratamiento
• Modificación por Vía de Urgencia régimen sancionador de LOPD 15/1999
• Reducir lriesgos de seguridad de información ISO/IEC 27005
• Nueva Versión ISO/IEC 20000-1:2018
• Nueva herramienta de evaluación de estrategias de ciberseguridad
• Esquema Nacional de Seguridad Aplicable a AAPP
• Aprobado el Proyecto Ley Orgánica de Protección de Datos
• Ya se ha aprobado la Ley Orgánica de Protección de Datos
• Organizaciones ciberseguridad UE acuerdan Hoja ruta 2019
• Certificación de la seguridad cibernética de la UE
• Buenas prácticas en auditorías de seguridad de la información
• En vigor la Nueva LOPD 3/2018 adaptada al Reglamento