Cómo crear un programa eficaz de retención de evidencia de NERC
Disponer de un programa de retención de evidencia para sus datos es clave para mantener el cumplimiento de NERC. La retención de evidencia es una parte necesaria del proceso de auditoría, ya que sirve como un registro de cumplimiento que demuestra que se han alcanzado los requisitos de NERC durante el período de tiempo completo desde la última auditoría.
Una retención adecuada de la evidencia de NERC es esencial para las entidades registradas que se someterán a auditorías, y es particularmente importante para las entidades de Impacto medio e Impacto alto.
Los requisitos de NERC para la retención de evidencia son los siguientes:
La entidad responsable conservará los datos o la evidencia para demostrar el cumplimiento según se indica a continuación, a menos que su CEA le indique que conserve la evidencia específica durante un período de tiempo más largo como parte de una investigación:
- Cada entidad responsable conservará la evidencia de cada requisito de esta norma durante tres años calendarios.
- Si se determina que una entidad responsable no cumple, deberá conservar la información relacionada con el incumplimiento hasta que se haya completado y aprobado la mitigación o durante el tiempo especificado anteriormente, lo que sea más prolongado.
- CEA mantendrá los últimos registros de auditoría y todos los registros de auditoría subsiguientes solicitados y presentados.
Aspectos a considerar
Como puede observar, no hay una guía sobre dónde, cómo o incluso en qué formato retener los archivos/la evidencia. Las pautas ambiguas pueden hacer que algunas entidades subestimen el valor de disponer de un programa de retención de evidencia apropiado. Ahora bien, sin un programa, pregúntese:
- ¿Estaría preparado en caso de que su evidencia fuera alterada o destruida, robada o extraviada?
- ¿Dispone de un proceso para recuperar su evidencia?
- ¿Qué ocurre si alguien accede a su evidencia con la intención de modificarla? ¿Hay controles de acceso?
La solución
Se recomienda encarecidamente el uso de un marco general reconocido y aceptado para la retención de evidencia. De este modo, si un auditor cuestiona el proceso de retención de evidencia, la Entidad responsable puede proporcionar al auditor un conjunto válido de normas y pautas utilizadas, evitando así que surjan nuevos problemas en el proceso de auditoría.
Las normas NIST 800-171 para la protección de la evidencia en sistemas no federales es uno de estos programas aceptados. La norma especifica temas como el control de acceso, el conocimiento y la formación, la gestión de la configuración y mucho más.
Ser proactivo en el establecimiento de un programa de retención de evidencia de NERC eficaz y eficiente le garantizará disponer de un programa robusto y adecuado para auditorías que proteja su evidencia.
¿Le interesa conocer más acerca de la ciberseguridad? Descargue nuestro eBook, Pruebas sobre el terreno en un mundo cibernético inseguro.