Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

miércoles, 26 de marzo de 2014

ISACA, Barcelona, la firma electrónica y una guía de auditoría. Y 3.

Los sistemas que incorporan firma electrónica o firma digital, también deben ser correctamente auditados. La "Guía para la Auditoría de Sistemas que hayan implantado y usen la firma electrónica", desarrollada en el seno del capítulo de Barcelona de ISACA, te da unas primeras claves de cómo afrontar estas auditorías.

Hace aproximadamente ocho meses empecé esta entrada en partes, a raíz de la sesión "La Signatura Electrònica" organizada por ISACA Barcelona.

Esta tercera y última parte estaba pendiente de la publicación de la citada guía que, con más buena voluntad que recursos, han desarrollado sus autores.

Para empezar querría agradecer a los autores, Mercè MestreGemma Deler y Xavier Rubiralta la gentileza de permitirme revisar la guía antes de su publicación y enviar algunas sugerencias que muy amablemente han considerado.

En las anteriores entradas presentaba la jornada y hablaba de los tipos de certificados que más sentido tienen en el mercado según mi punto de vista y de otras tendencias de mercado y del panorama futuro de la firma electrónica.

Por qué ISACA

ISACA es una asociación independiente, sin fines de lucro, global que se involucra en el desarrollo, la adopción y el uso de los conocimientos y prácticas de la industria de sistemas de información, globalmente aceptadas.

ISACA se por personas que reconocieron la necesidad de una fuente centralizada de información y orientación en el creciente campo de los controles de auditoría para los sistemas informáticos. Hoy, ISACA cuenta con más de 110 mil socios en todo el mundo.

Sinceramente, no se me ocurre un canal mejor para difundir esta guía.

Enfoque y estructura de la guía

En todo momento la guía trata de ser accesible a profesionales de la auditoría de sistemas de información sin conocimientos específicos de firma electrónica, lo que es un gran reto.
Se estructura en las siguientes secciones, muy bien escogidas bajo mi punto de vista, aunque poco desarrolladas en general:
  • Política y Procedimientos
  • Plataforma / Infraestructura técnica
  • Aprovisionamiento y distribución de credenciales
  • Mantenimiento de credenciales
  • Creación de firma
  • Validación de firma
  • Custodia
  • Preservación
Esta estructura no deja sin cobertura ninguno de los temas relevantes en materia de firma electrónica y su contenido esboza los puntos a considerar en cada caso, en formato de lista de comprobación (checklist) sin entrar en demasiados detalles legislativos, normativos o de especificaciones técnicas.

Pros y cons

Pero esta sencillez no es fortuita, sino buscada por los propios autores, con el fin de tratar de acercar la firma electrónica a los profesionales de la auditoría de sistemas de información.
Desde mi punto de vista, con los años que llevo dedicados a la firma electrónica, son objetivos irreconciliables, pretender que alguien no experto en firma electrónica pueda auditar sistemas que la incorporen.

Y quizá ésa sea la mayor pega que puedo verle a la guía. Al tratar de mantenerse al margen de los entresijos de la firma electrónica, peca de exceso de sencillez.

Sin embargo, esta guía podría ser el punto de partida para introducir a auditores de sistemas de información en el mundo de la firma electrónica y por eso me parece una gran iniciativa su desarrollo y publicación.

Además, no sería conveniente publicar una guía detallada con normas y estándares en la coyuntura actual, en la que el nuevo REGLAMENTO #eIDAS está a punto de ser aprobado tanto por el Parlamento Europeo como, posteriormente por el Consejo de Ministros de la Unión Europea (ya se llegó un acuerdo político hace unas semanas -EN-) y por la miríada de borradores de especificaciones técnicas actual.

Opciones de futuro

Como he comentado antes, dada la coyuntura actual, yo dejaría reposar esta versión inicial de la guía, la circularía lo máximo posible, recogería sugerencias de diferentes perfiles y esperaría que se fuese desarrollando el REGLAMENTO eIDAS.

Llegados a ese punto, la completaría con referencias a los estándares y normas pertinentes en cada punto tratado (su enfoque como checklist me parece genial) o incluso a secciones concretas de la norma y, en una segunda derivada, trataría de ampliar para que diera cobertura a mercados más allá del europeo.

Te recomiendo encarecidamente que la descargues, la leas y aportes tu punto de vista, por ejemplo, a través de este mismo blog. Me comprometo a hacer llegar los comentarios a los autores.

¿Qué cambiarías tú de la guía?


--
Si este artículo te ha parecido interesante, por favor, compártelo.