firma-e@firma-e.com   968 93 18 12 Blog

¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (2ª parte)

  • Inicio
  • Blog
  • ¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (2ª parte)
¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (2ª parte)

¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (2ª parte)
Por: 28/06/2013 Categoría: Ciberseguridad/GRC

Metodología de trabajo:

El proceso de auditoría supone la realización de ciertas actividades que deben realizarse de forma metodológica y que permiten diseñar y organizar el trabajo de campo a realizar en la Organización de forma que sean alcanzados los objetivos planteados al realizar la auditoría. Podemos distinguir tres fases bien diferenciadas.

1. Pre auditoría:

Esta es la fase inicial del trabajo y permite al auditor conocer el entorno, contexto y sistemas de información que van a ser revisados durante la auditoría. En esta fase, la Organización y el auditor deben establecer cuál será el alcance a auditar, los ficheros de datos de carácter personal incluidos en la revisión, los niveles de seguridad de dichos ficheros, las dependencias de la Organización que deberán ser visitadas y la duración de la auditoría a contratar. Este último extremo condiciona la ejecución de la auditoría y según el volumen de trabajo que haya que realizar en la auditoría insitu, puede requerir la ampliación del equipo auditor de forma que se garantice la revisión de todos los puntos a contemplar en el tiempo previsto.

En esta fase, el auditor debe preparar sus papeles de trabajo, documentos que le ayudarán en la ejecución in situ de la auditoría y que contienen información propia sobre qué cuestiones hay que revisar, qué tipo de pruebas debe contemplar en las comprobaciones técnicas pertinentes y qué preguntas debe realizar tanto al personal de la Organización como al responsable de seguridad. Estos papeles de trabajo del auditor actúan de registro, para no olvidar revisar ningún proceso o actividad importante y se preparan de antemano las preguntas o lista de comprobaciones que se quieren realizar. Dado que el R.D. 1720/2007 no es modificado de forma frecuente, lo habitual es que la empresa auditora tenga prediseñados unos papeles de trabajo base que debe adaptar a la Organización a auditar una vez.

Para ello, suele ser habitual agrupar la revisión de los artículos del R.D. 1720/2007 en programas que aglutinan bajo un nombre todos aquellos artículos del R.D. que determinan una misma medida de seguridad que según el nivel deben satisfacer más o menos requisitos.

Es habitual que para el diseño de esta documentación, el auditor solicite a la empresa auditada el Documento de Seguridad de los ficheros incluidos en el alcance, dado que en él se encuentra una descripción del tipo de ficheros, de los sistemas de información y de las medidas de seguridad que la Organización debe estar aplicando en la protección de los datos de carácter personal. El auditor parte de esta información inicial para el diseño de las pruebas técnicas que permitan verificar el nivel de cumplimiento de lo escrito en el documento de seguridad. También permite adecuar y configurar el equipo auditor si por el carácter de las pruebas a realizar o de los sistemas incluidos sea necesario contar con personal técnico de apoyo al auditor que permita la ejecución con éxito de las pruebas de auditoría contempladas o la recogida de información de forma directa en la Organización auditada.

Con toda esta información ya procesada, el auditor puede diseñar el programa detallado de auditoría y enviar a la Organización cual será la planificación prevista durante los días que dure la auditoría in situ. Ello también permite a la Organización conocer cuál será el trabajo de campo que se realizará y planificar o adecuar los horarios y la disponibilidad del personal que será entrevistado o que deberá atender al auditor durante los días de auditoría.

2. Auditoría in situ o ejecución de la auditoría:

Esta es la fase crucial de todo el proceso dado que es donde el auditor recoge las evidencias de auditoría, esto es, aquella información que será empleada posteriormente para argumentar y demostrar el cumplimiento o no cumplimiento de las medidas de seguridad. El auditor, como se ha dicho ya, debe proporcionar una opinión profesional, independiente y objetiva del funcionamiento de las medidas de seguridad. Por tanto, toda afirmación que incluya en su informe debe basarse en datos, hechos u observaciones como explícitamente establece el punto 2 del Artículo 96. Auditoría.

“2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.”

Por tanto, en esta fase el auditor debe ir recopilando toda aquella información que ha establecido previamente en la fase de pre auditoría como necesaria y que sirva para contrastar o comprobar el correcto funcionamiento de las medidas de seguridad. De esta forma, el auditor también deja rastro de su propio trabajo y permite posteriormente a la Organización evaluar la exhaustividad y profundidad del trabajo de campo realizado por el propio auditor. Este mecanismo de transparencia del proceso de auditoría es otro de los pilares en los que se cimienta la confianza que se puede depositar sobre la auditoría realizada.

Según la complejidad del entorno, el tiempo disponible para el proceso de auditoría y el tamaño del equipo auditor, es posible que la ejecución de ciertas pruebas no puedan revisar de forma completa y exhaustiva todos los registros de ejecución o rastros de funcionamiento de las medidas de seguridad. En estos casos, es preciso recurrir al muestreo de auditoría que permite la selección de ciertas muestras y extrapolar las conclusiones observadas en ellas para el resto de elementos de la población. El muestreo introduce cierto margen de error en la realización de conclusiones pero permite adecuar la revisión al tiempo disponible para el proceso de auditoría. En todo caso, este margen de error puede ser previamente definido lo que condicionará los tamaños de las muestras a examinar.

Una vez finalizada esta fase, el auditor debe contar con todas aquellas evidencias de auditoría que ha obtenido de la realización de pruebas técnicas, entrevistas, inspección visual de las instalaciones y dependencias así como de la revisión de todos aquellos documentos que hayan sido solicitados a lo largo de la ejecución de la auditoría.

3. Realización del informe de auditoría:

El resultado final del proceso de auditoría debe quedar plasmado en el informe de auditoría que incluye la conclusión del auditor respecto del funcionamiento de las medidas de seguridad y constata los hechos, datos u observaciones en los que se basa dicha conclusión. Llegado este punto, el auditor debe examinar y valorar las evidencias obtenidas y seleccionar aquellas que considera relevantes en la demostración del cumplimiento o no cumplimiento del funcionamiento de las medidas de seguridad. El informe debe proporcionar al auditado una imagen fiel y real de cuál es la situación de las medidas de seguridad revisadas y si suponen o no un incumplimiento del citado Reglamento.

Etiquetas:

NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.