Compártelo
La auditoría de seguridad según la LOPD
TECNOLOGÍA

La auditoría de seguridad según la LOPD

Los artículos 96 y 110 del RLOPD establecen la obligación que tienen tanto los ficheros automatizados como los no automatizados o manuales, a los que haya que aplicar las medidas de nivel medio o alto, de realizar auditorías de seguridad cada dos años para verificar el cumplimiento de las medidas de seguridad en los sistemas de información y las instalaciones de tratamiento y almacenamiento de datos que den soporte o alberguen los ficheros de estos niveles de seguridad, sean automatizados o manuales.

Asimismo, y con carácter extraordinario, deberá efectuarse una auditoría siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

El informe de auditoría

La auditoría consiste en la revisión y análisis de cada una de las medidas de seguridad aplicadas a los ficheros de nivel medio y alto, que deberá quedar plasmada en un informe en el que se deberá identificar:

  1. El grado de cumplimiento por cada una de las medidas.
  2. Las deficiencias y omisiones detectadas.
  3. Las medidas correctoras o complementarias necesarias.
  4. Los datos, hechos y observaciones que evidencien los análisis y conclusiones alcanzados.
  5. Las recomendaciones propuestas por el auditor.

Además, deberá comprender la revisión de:

  1. Normas, estándares, políticas de seguridad y criterios.
  2. Procedimientos existentes.
  3. Mecanismos y sistemas de control.
  4. Sistemas de seguridad: cifrado de datos, almacenamiento de las contraseñas, etc.
  5. Dispositivos de seguridad en puertas, armarios, archivadores, etc.

Personas que deberán realizarla

La normativa sobre protección de datos no determina quién debe ser el encargado de realizar las auditorías, por lo que el responsable del fichero podrá elegir entre:

  1. Ser realizada por el personal de la propia organización: para ello, será necesario que disponga de personal con los conocimientos necesarios.
  2. Encargarla a empresas especializadas: dicho encargado deberá cumplir con lo establecido en la normativa sobre protección de datos relacionada con las prestaciones de servicios.

Aspectos a la hora de realizar una auditoría

El equipo auditor tendrá que considerar, a la hora de realizar una auditoría de seguridad, los siguientes aspectos:

  1. Los sistemas de información que tratan los ficheros.
  2. Los locales y sus propietarios.

Procedimiento para realizar una auditoría

El responsable de fichero, o la persona designada para ello, deberá coordinar la realización de la misma y asignar los medios y recursos necesarios para llevarla a cabo.

Además, deberá facilitar al equipo auditor la siguiente información:

  1. La estructura de la organización y responsables de la misma.
  2. La existencia o no del encargado del tratamiento.
  3. El documento de seguridad.
  4. La relación de las personas autorizadas.
  5. La relativa a los sistemas de información.
  6. Toda la información necesaria para el cumplimiento de esta medida.

¿Qué debe analizar una auditoría?

La auditoría podrá abarcar uno o varios ficheros, correspondientes a uno o a varios sistemas de información.

  1. De forma general, se analizará lo siguiente:
    1. La relación existente entre los ficheros y los sistemas de información.
    2. El modo de procesamiento de cada sistema.
  2. De forma particular, el equipo auditor analizará:
    1. Las funciones y obligaciones del personal.
    2. La relación de las personas autorizadas.
    3. Los procedimientos de control de accesos y contraseñas.
    4. Los mecanismos implantados para lograr los controles de accesos.

Informe de auditoria

Una vez terminada la auditoría, el equipo auditor emitirá un informe de auditoría en el que deberá valorar el cumplimiento de cada uno de puntos auditables según la normativa sobre protección de datos.

Si la auditoría abarca varios ficheros, el informe deberá indicar, para cada fichero, el cumplimiento de cada una de las medidas de seguridad, independientemente de que algunas hayan sido valoradas conjuntamente.

Los informes de las auditorías deberán ser analizados por el responsable de seguridad competente, advirtiendo al responsable del fichero de las conclusiones para que pueda iniciar las medidas necesarias para corregir las debilidades encontradas.

Plazo de conservación de los informes

El artículo 96.3 del RLOPD establece que los informes de auditoría quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

El problema surge a la hora de conocer el plazo durante el cual deberá conservarse dicho informe. La AEPD en su Informe jurídico 0191/2010 resuelve esta cuestión de la siguiente manera: “(…) el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado. En todo caso, y a fin de evitar la posible comisión de una infracción en caso de haberse llevado a cabo una nueva auditoría y no haberse ultimado las conclusiones de la misma, se considera que sería conveniente que en todo caso se encontrase a disposición de la Agencia el último informe de auditoría que se hubiese emitido, no siendo preciso mantener a su disposición los anteriores a aquél”.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Máster en
Ciberseguridad

TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
12 meses
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 28 Marzo 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial

Noticias más populares

Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...

EMPRESAS

En el mundo empresarial, ser transparente significa que una empresa comparte abiertamente información real, útil, y comprensible con sus diferentes au...
En el complejo mundo empresarial contemporáneo, la gestión efectiva de recursos humanos es fundamental para el éxito de cualquier organización. En est...
Las políticas públicas son un aspecto fundamental en la gestión de cualquier sociedad moderna. Son el conjunto de acciones y decisiones que lleva a ca...
En un mundo cada vez más interconectado, la cooperación internacional y la diplomacia juegan roles fundamentales en la construcción de relaciones entr...

MARKETING

En la era digital en la que vivimos, el mundo audiovisual desempeña un papel crucial en nuestra vida cotidiana. Desde películas y programas de televis...
La organización de eventos es el proceso de hacer realidad cualquier tipo de reunión, que puede ir desde pequeñas fiestas hasta grandes conferencias ¿...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial