UNE 71505 Perito Informatico

La parte de la norma UNE 71505/2013 en su apartado 2, adopta un enfoque por procesos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Evidencias Electrónicas.

  • En primer lugar, se deben asegurar la autenticación y la integridad, que garantizarán que la información no ha sido alterada. Se podría decir que una evidencia electrónica auténtica es aquella que es lo que afirma ser y que ha sido creada, almacenada y/o enviada en el momento en que se afirma, por la persona que afirma haberla creado, almacenado y/o enviado. A su vez, la integridad se refiere a la no alteración de la evidencia informática, que es necesario proteger contra modificaciones no autorizadas. Esto es lo que el perito informático denomina cadena de custodia.
  • Seguidamente, deben asegurarse la disponibilidad y la totalidad. La disponibilidad consiste en la cualidad que permite que una evidencia informática pueda ser localizada, recuperada, presentada e interpretada; mientras que la totalidad referencia la representación completa de la información que contiene la evidencia. Asegurando estas dos cualidades, se garantizará el acceso y la utilización a la evidencia electrónica en los tiempos necesarios.
  • Finalmente, para asegurar la confiabilidad de una evidencia, deberán cumplirse también los atributos de cumplimiento y gestión, que garantizarán que la evidencia que se ha obtenido se ciñe a lo esperado después de haberse gestionado y habiéndose utilizado los métodos que se planificaron con anterioridad.

Para alcanzar la confiabilidad se deberá disponer de un SGEE cuyas generalidades ya fueron expuestas en la primera parte de esta norma. La gestión de las evidencias informáticas de una organización incluye:

  • Establecimiento de políticas, estrategias, controles y procedimientos
  • Asignación de responsabilidades y competencias
  • Integración de la gestión de las evidencias informáticas en los sistemas y en los procesos que dan soporte a la organización

La gestión de las evidencias proporciona una serie de beneficios, debido a que el SGEE puede servir de ayuda en actividades posteriores o en una futura toma de decisiones.

Por otra parte, en esta norma se sigue el ciclo de mejora continua PHVA (Planificar, Hacer, Verificar y Actuar), como se describe a continuación:

  • Planificar (establecimiento del SGEE): establecer la política del SGEE, los objetivos, los procesos y procedimientos correspondientes  a  la  gestión  de  riesgos  y  a  la  mejora  de la confiabilidad de las evidencias informáticas, al objeto de proporcionar unos resultados de acuerdo a los objetivos y políticas globales de la organización
  • Hacer (implantación y puesta en marcha del SGEE): implantar y poner en marcha la política, controles, procesos y procedimientos del SGEE
  • Verificar (control y revisión del SGEE): evaluar y, cuando aplique, medir el comportamiento de los procesos de acuerdo a la política del SGEE, a los objetivos y a la experiencia práctica, así como informar de los resultados a la dirección para su revisión
  • Actuar (mantenimiento y mejora del SGEE): tomar medidas correctivas y preventivas, basadas en los resultados de la auditoría interna del SGEE y de la revisión por la dirección, o de otra información importante, para conseguir la mejora continua del SGEE

Se adopta un enfoque por procesos para el SGEE y esto requerirá que las organizaciones comprendan los requisitos y la necesidad de establecer una política y unos objetivos para gestionar correctamente las evidencias informáticas, diseñando e implantando controles adecuados para la gestión de los riesgos globales del negocio en relación con las evidencias. Las organizaciones también deberán controlar y revisar la eficacia del SGEE adoptado y tratar mejorarlo continuamente.

El proceso de planificación consta de varias fases:

  • Definición del alcance y análisis de riesgos: el alcance del SGEE podrá ser global sobre la organización o bien sobre una parte de ésta. Una vez determinado el alcance, éste deberá contener los elementos sobre los que se requiere evidencia y aquéllas que forman parte del SGEE. Para dicho alcance, se deberá efectuar un análisis de riesgos orientado a la seguridad de la información y considerando los aspectos legales y operacionales relativos a las evidencias.
  • Identificación de recursos y planificación de procesos: una vez se hayan definido los objetivos, se deberá proceder con la identificación de los recursos, tanto humanos, como de infraestructura y financieros, para la gestión del sistema, junto a los roles y responsabilidades. Asimismo, se planificarán los procesos necesarios para implantar el SGEE, que se corresponderán con los objetivos obtenidos a partir del análisis de riesgos previo. A la hora de la implantación, se deben asignar claramente las funciones y responsabilidades a cada integrante del SGEE. Estas responsabilidades deberían asignarse asegurando una correcta separación de funciones.

La documentación de todos los procesos de gestión de seguridad de las evidencias informáticas es de vital importancia. Deberá incluir detalladamente, todas las actividades de la  organización y las evidencias informáticas que le corresponden, especificando los periodos de conservación y qué acciones se tomarán para su eliminación, así como las instrucciones necesarias para transferir las evidencias a otros medios de almacenamiento sin perder la integridad o la confidencialidad de las mismas.

Debemos, además, de tener en cuenta, que el SGEE es tan solo una parte del sistema de gestión de la organización, existiendo otro tipo de sistemas. Es por ello, que será necesaria una correcta integración entre todos, con el fin de mejorar la eficiencia y la eficacia del sistema global de la organización.