Introducción a las Medidas de Seguridad (XXII): Auditorías

 Protección de Datos  Add comments
dic 022011
 
Decisiones de vida by Victor Nuño

Decisiones de vida by Victor Nuño

Una auditoría de seguridad, especializada en el cumplimiento normativo (en el caso de España será la Ley Orgánica de Protección de Datos y su reglamento) tratará de determinar si se cumplen las medidas de seguridad establecidas en la ley, con especial atención sobre las medidas de seguridad que hemos estado viendo en este curso. La auditoría debe realizarse, según la ley

Al menos cada dos años,

o cada vez que se realicen modificaciones sustanciales en los sistemas de información que puedan tener repercusiones en la seguridad. La auditoria podrá ser interna o externa y tendrá como objetivo comprobar la adecuación, adaptación y eficacia de las medidas de seguridad implantadas en los sistemas de información.

El auditor comprobará y verificará aspectos como:

  • Los ficheros utilizados se han declarado adecuadamente
  • Que existen las políticas y procedimientos de seguridad y se cumplen respecto de:
    • Los encargados de tratamiento
    • prestación de servicios sin acceso a datos (vg: servicios de limpieza)
    • Delegación de Autorizaciones
    • Régimen de trabajo fuera de la ubicación del fichero (Vg: trabajo en casa, atención domiciliaria)
    • Políticas sobre ficheros temporales o copias de trabajo de documentos
    • Adecuación del Documento de Seguridad
    • Se han definido las Funciones y Obligaciones del Personal respecto de tratamiento de la información
    • La adecuación del Registro de Incidencias
    • La existencia de controles de accesos
    • La existencia de procedimientos para la gestión de soportes y documentos
    • La adecuación de los procedimientos de identificación y autenticación
    • La existencia y adecuación de los procedimientos de copias de respaldo y recuperación
    • La existencia y adecuación de los registros de accesos
    • Verificación de los mecanimos de acceso a datos a través de redes de comunicaciones
    • Auditorías anteriores
    • La existencia de criterios de archivo adecuados
    • La adecuación de los dispositivos de almacenamiento
    • Políticas y procedimientos para la custodia de soportes

El informe realizado deberá determinar sobre la adecuación de las medidas establecidas respecto de lo exigido en el reglamento e identificar las deficiencias detectadas proponiendo para ellas las medidas correctoras apropiadas.

Todas los cumplimientos o incumplimientos detectados deberán estar respaldados por las evidencias que lo justifican.

El informe de auditoría deberá ser analizado por el Responsable de Seguridad que se encargará de que el Responsable del fichero adopte las medidas adecuadas.

Por último añadir que el informe de auditoría no hay que enviarlo a la Agencia Española de Protección de Datos, pero si deberá quedar a su disposición.

  One Response to “Introducción a las Medidas de Seguridad (XXII): Auditorías”

  1. Paco says:
    20 diciembre, 2011 at 13:30

    http://derechosanitario-rdl.blogspot.com/2011/12/la-auditoria-bienal-de-la-lopd.html

    Responder

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>