Compártelo
La auditoría de seguridad según la LOPD
TECNOLOGÍA

La auditoría de seguridad según la LOPD

Los artículos 96 y 110 del RLOPD establecen la obligación que tienen tanto los ficheros automatizados como los no automatizados o manuales, a los que haya que aplicar las medidas de nivel medio o alto, de realizar auditorías de seguridad cada dos años para verificar el cumplimiento de las medidas de seguridad en los sistemas de información y las instalaciones de tratamiento y almacenamiento de datos que den soporte o alberguen los ficheros de estos niveles de seguridad, sean automatizados o manuales.

Asimismo, y con carácter extraordinario, deberá efectuarse una auditoría siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

El informe de auditoría

La auditoría consiste en la revisión y análisis de cada una de las medidas de seguridad aplicadas a los ficheros de nivel medio y alto, que deberá quedar plasmada en un informe en el que se deberá identificar:

  1. El grado de cumplimiento por cada una de las medidas.
  2. Las deficiencias y omisiones detectadas.
  3. Las medidas correctoras o complementarias necesarias.
  4. Los datos, hechos y observaciones que evidencien los análisis y conclusiones alcanzados.
  5. Las recomendaciones propuestas por el auditor.

Además, deberá comprender la revisión de:

  1. Normas, estándares, políticas de seguridad y criterios.
  2. Procedimientos existentes.
  3. Mecanismos y sistemas de control.
  4. Sistemas de seguridad: cifrado de datos, almacenamiento de las contraseñas, etc.
  5. Dispositivos de seguridad en puertas, armarios, archivadores, etc.

Personas que deberán realizarla

La normativa sobre protección de datos no determina quién debe ser el encargado de realizar las auditorías, por lo que el responsable del fichero podrá elegir entre:

  1. Ser realizada por el personal de la propia organización: para ello, será necesario que disponga de personal con los conocimientos necesarios.
  2. Encargarla a empresas especializadas: dicho encargado deberá cumplir con lo establecido en la normativa sobre protección de datos relacionada con las prestaciones de servicios.

Aspectos a la hora de realizar una auditoría

El equipo auditor tendrá que considerar, a la hora de realizar una auditoría de seguridad, los siguientes aspectos:

  1. Los sistemas de información que tratan los ficheros.
  2. Los locales y sus propietarios.

Procedimiento para realizar una auditoría

El responsable de fichero, o la persona designada para ello, deberá coordinar la realización de la misma y asignar los medios y recursos necesarios para llevarla a cabo.

Además, deberá facilitar al equipo auditor la siguiente información:

  1. La estructura de la organización y responsables de la misma.
  2. La existencia o no del encargado del tratamiento.
  3. El documento de seguridad.
  4. La relación de las personas autorizadas.
  5. La relativa a los sistemas de información.
  6. Toda la información necesaria para el cumplimiento de esta medida.

¿Qué debe analizar una auditoría?

La auditoría podrá abarcar uno o varios ficheros, correspondientes a uno o a varios sistemas de información.

  1. De forma general, se analizará lo siguiente:
    1. La relación existente entre los ficheros y los sistemas de información.
    2. El modo de procesamiento de cada sistema.
  2. De forma particular, el equipo auditor analizará:
    1. Las funciones y obligaciones del personal.
    2. La relación de las personas autorizadas.
    3. Los procedimientos de control de accesos y contraseñas.
    4. Los mecanismos implantados para lograr los controles de accesos.

Informe de auditoria

Una vez terminada la auditoría, el equipo auditor emitirá un informe de auditoría en el que deberá valorar el cumplimiento de cada uno de puntos auditables según la normativa sobre protección de datos.

Si la auditoría abarca varios ficheros, el informe deberá indicar, para cada fichero, el cumplimiento de cada una de las medidas de seguridad, independientemente de que algunas hayan sido valoradas conjuntamente.

Los informes de las auditorías deberán ser analizados por el responsable de seguridad competente, advirtiendo al responsable del fichero de las conclusiones para que pueda iniciar las medidas necesarias para corregir las debilidades encontradas.

Plazo de conservación de los informes

El artículo 96.3 del RLOPD establece que los informes de auditoría quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

El problema surge a la hora de conocer el plazo durante el cual deberá conservarse dicho informe. La AEPD en su Informe jurídico 0191/2010 resuelve esta cuestión de la siguiente manera: “(…) el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado. En todo caso, y a fin de evitar la posible comisión de una infracción en caso de haberse llevado a cabo una nueva auditoría y no haberse ultimado las conclusiones de la misma, se considera que sería conveniente que en todo caso se encontrase a disposición de la Agencia el último informe de auditoría que se hubiese emitido, no siendo preciso mantener a su disposición los anteriores a aquél”.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Maestría en
Videojuegos para e-Sports

TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
16 meses - 75 créditos
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas mensuales sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Sábado, 12 Octubre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...

EMPRESAS

Si estás pensando en estudiar criminología, lo más probable es que te preguntes: "¿Y después, dónde puedo trabajar?". Es normal que tengas esa duda, p...
CEUPE - European Business School ha sido reconocido en el TOP 20 de los mejores centros formativos para estudiar un MBA online en España en 2024, segú...
El MBA sigue estando ahí, como una de las credenciales más valoradas en el mundo empresarial, pero seguro que te has preguntado más de una vez si real...
El cumplimiento normativo es básicamente un conjunto de reglas que cualquier negocio debe seguir, y no, no es solo para las grandes multinacionales. C...

MARKETING

En el ámbito del marketing, muchas veces cometemos el error de enfocarnos puramente en lo técnico. Pero hay un conjunto de destrezas que no podemos ol...
En el competitivo mundo empresarial, comprender los límites del mercado es esencial para poder diseñar estrategias efectivas y maximizar las oportunid...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python