TECNOLOGÍA
Compártelo
La auditoría de seguridad según la LOPD

La auditoría de seguridad según la LOPD

Los artículos 96 y 110 del RLOPD establecen la obligación que tienen tanto los ficheros automatizados como los no automatizados o manuales, a los que haya que aplicar las medidas de nivel medio o alto, de realizar auditorías de seguridad cada dos años para verificar el cumplimiento de las medidas de seguridad en los sistemas de información y las instalaciones de tratamiento y almacenamiento de datos que den soporte o alberguen los ficheros de estos niveles de seguridad, sean automatizados o manuales.

Asimismo, y con carácter extraordinario, deberá efectuarse una auditoría siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

El informe de auditoría

La auditoría consiste en la revisión y análisis de cada una de las medidas de seguridad aplicadas a los ficheros de nivel medio y alto, que deberá quedar plasmada en un informe en el que se deberá identificar:

  1. El grado de cumplimiento por cada una de las medidas.
  2. Las deficiencias y omisiones detectadas.
  3. Las medidas correctoras o complementarias necesarias.
  4. Los datos, hechos y observaciones que evidencien los análisis y conclusiones alcanzados.
  5. Las recomendaciones propuestas por el auditor.

Además, deberá comprender la revisión de:

  1. Normas, estándares, políticas de seguridad y criterios.
  2. Procedimientos existentes.
  3. Mecanismos y sistemas de control.
  4. Sistemas de seguridad: cifrado de datos, almacenamiento de las contraseñas, etc.
  5. Dispositivos de seguridad en puertas, armarios, archivadores, etc.

Personas que deberán realizarla

La normativa sobre protección de datos no determina quién debe ser el encargado de realizar las auditorías, por lo que el responsable del fichero podrá elegir entre:

  1. Ser realizada por el personal de la propia organización: para ello, será necesario que disponga de personal con los conocimientos necesarios.
  2. Encargarla a empresas especializadas: dicho encargado deberá cumplir con lo establecido en la normativa sobre protección de datos relacionada con las prestaciones de servicios.

Aspectos a la hora de realizar una auditoría

El equipo auditor tendrá que considerar, a la hora de realizar una auditoría de seguridad, los siguientes aspectos:

  1. Los sistemas de información que tratan los ficheros.
  2. Los locales y sus propietarios.

Procedimiento para realizar una auditoría

El responsable de fichero, o la persona designada para ello, deberá coordinar la realización de la misma y asignar los medios y recursos necesarios para llevarla a cabo.

Además, deberá facilitar al equipo auditor la siguiente información:

  1. La estructura de la organización y responsables de la misma.
  2. La existencia o no del encargado del tratamiento.
  3. El documento de seguridad.
  4. La relación de las personas autorizadas.
  5. La relativa a los sistemas de información.
  6. Toda la información necesaria para el cumplimiento de esta medida.

¿Qué debe analizar una auditoría?

La auditoría podrá abarcar uno o varios ficheros, correspondientes a uno o a varios sistemas de información.

  1. De forma general, se analizará lo siguiente:
    1. La relación existente entre los ficheros y los sistemas de información.
    2. El modo de procesamiento de cada sistema.
  2. De forma particular, el equipo auditor analizará:
    1. Las funciones y obligaciones del personal.
    2. La relación de las personas autorizadas.
    3. Los procedimientos de control de accesos y contraseñas.
    4. Los mecanismos implantados para lograr los controles de accesos.

Informe de auditoria

Una vez terminada la auditoría, el equipo auditor emitirá un informe de auditoría en el que deberá valorar el cumplimiento de cada uno de puntos auditables según la normativa sobre protección de datos.

Si la auditoría abarca varios ficheros, el informe deberá indicar, para cada fichero, el cumplimiento de cada una de las medidas de seguridad, independientemente de que algunas hayan sido valoradas conjuntamente.

Los informes de las auditorías deberán ser analizados por el responsable de seguridad competente, advirtiendo al responsable del fichero de las conclusiones para que pueda iniciar las medidas necesarias para corregir las debilidades encontradas.

Plazo de conservación de los informes

El artículo 96.3 del RLOPD establece que los informes de auditoría quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

El problema surge a la hora de conocer el plazo durante el cual deberá conservarse dicho informe. La AEPD en su Informe jurídico 0191/2010 resuelve esta cuestión de la siguiente manera: “(…) el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado. En todo caso, y a fin de evitar la posible comisión de una infracción en caso de haberse llevado a cabo una nueva auditoría y no haberse ultimado las conclusiones de la misma, se considera que sería conveniente que en todo caso se encontrase a disposición de la Agencia el último informe de auditoría que se hubiese emitido, no siendo preciso mantener a su disposición los anteriores a aquél”.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior ¿Qué es la calidad de servicio?
Artículo Siguiente ¿Cómo orientar el proyecto final con el proyecto S...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 28 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Los mejores métodos de gestión de ventas
El proceso de selección de los mejores métodos para la gestión de las ventas se realiza de acuerdo con las características concretas de cada empresa. ...
Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS