El Esquema Nacional de Seguridad (ENS), establecido por el Real Decreto 311/2022, define las medidas de seguridad que deben adoptarse en la Administración Electrónica española para proteger la información y los sistemas de información. Entre estas medidas se encuentra el borrado seguro de los datos, que es el proceso de eliminar la información de forma que no pueda ser recuperada por ningún medio.
El borrado seguro es especialmente importante para los datos clasificados como confidenciales o de alto impacto, ya que su pérdida o divulgación no autorizada podría tener graves consecuencias para la organización. La auditoría del borrado seguro y certificado es una herramienta fundamental para garantizar la seguridad de la información en las organizaciones que están sujetas al ENS. La auditoría permite verificar que el proceso de borrado de datos se está realizando de forma eficaz y que se ajusta a los requisitos del ENS
La auditoría del borrado seguro y certificado tiene como objetivo verificar que el proceso de borrado de datos se ajusta a los requisitos del ENS y que se está realizando de forma eficaz.
Los objetivos específicos de la auditoría son:
La auditoría se realizará de acuerdo con la siguiente metodología:
Al final de la auditoría, se elaborará un informe que incluirá las siguientes conclusiones:
Las recomendaciones que se pueden incluir en el informe de auditoría son las siguientes:
La auditoría del borrado seguro y certificado ofrece los siguientes beneficios:
La Auditoría de Certificación del ENS es aportar la confianza de que el sistema de información ha sido auditado por un tercero independiente, imparcial y capacitado. De otra parte, la finalidad de la auditoría interna realizada por miembros de la propia organización, o bien realizada por auditores externos en modalidad de prestación de servicios, es la mejora del sistema, ya que se busca confirmar la eficacia del sistema de gestión u obtener información que permita alcanzarla.
Pese a que el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad no prescribe explícitamente la realización obligatoria de auditorías internas, denominadas en algunos casos auditorías de primera parte, el artículo 27 de dicho cuerpo legal exige la aplicación de los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información; exigencia que, trayendo causa del objeto del ENS, expresado en su artículo 1, se concreta igualmente en la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información, cuando se hace referencia al grado de confianza en las revisiones de la Dirección y en las auditorías internas del auditado.
Síguenos en nuestras Redes Sociales