Cerrar

es | val   

Esquema per a la realització d'una auditoria LOPD

La preparació del procés d'auditoria és fonamental per al seu èxit.

José Manuel Sanz

José Manuel Sanz

Publicado el domingo, 12 de febrero de 2017 a las 18:15

Mostrar ampliado

José Manuel Sanz

José Manuel Sanz

Com sempre dic i repetisc fins a la sacietat, el compliment de la normativa en matèria de privacitat en qualsevol estructura no és un tràmit simple que se solucione complimentant un formulari. Molt més senzill encara és la realització de les auditories de compliment, les qual han de valorar que la gestió de la informació i de les dades personals s'adeqüe als preceptes de la norma.

Com comentava la Agencia de Protección de Datos en su nota de hace unos meses, estes auditories de compliment no es poden dur a terme mai per mitjans remots (correu electrònic, telèfon, etc.), ja que perquè es realitzen correctament cal que el consultor tinga un coneixement complet de l’estructura. Sense un treball directe sobre l’estructura, una adequada anàlisi del seu organigrama funcional, la revisió de l’inventari de recursos i informació, etc. és totalment impossible realitzar un projecte de qualitat, i menys encara aconseguir l’objectiu desitjat: que el client tinga les ferramentes necessàries per a una adequada gestió de la informació i la capacitat de prendre decisions que poden afectar el futur de l'entitat.

Hui vull parlar-vos des d’un punt de vista més pràctic i mostrar-vos el meu treball. Amb esta entrada el que vull és mostrar la meua metodologia de treball en la realització de les auditories LOPD. Com és impossible mostrar tots els cassos possibles, cada entitat és diferent i, per tant, el projecte ha de ser diferent també en cada cas, així que intentaré generalitzar tant com puga. El desenvolupament d’un projecte d’auditoria LOPD tipus seria més o menys el següent:

1.- Presentació del pla d’auditoria. Després de l’aprovació del projecte d’auditoria per part del client, cal concretar dates i l’entorn on es durà a terme l’auditoria. Tot i que en la proposta de servicis han de quedar reflectides quines seran les àrees analitzades, és convenient que en el pla d'auditoria es tornen a esmentar per tal que no hi haja errors ni malentesos sobre l'abast de l'auditoria. Per això és convenient presentar un document on es detallen l’esmentat abast, la ubicació, el personal implicat, etc.

2.- Petició d’informació prèvia. En concretar-se les dates i altres detalls, es realitza una petició d’informació prèvia al començament de l’auditoria. La informació que se sol·licita pot variar d’una entitat a una altra, però fonamentalment és la mateixa:

    1. Organigrama funcional de l’entitat
    2. Informes d’auditories previs
    3. Document de Seguretat de l’entitat
    4. Altres documents amb polítiques de seguretat que puguen existir
    5. Llistat de proveïdors amb accés a dades
    6. Altra informació que es considere rellevant per a l’auditoria

3.- Anàlisi de la informació rebuda. En requerir-se i analitzar-se esta informació, es genera un informe de diagnòstic d’ella. En este informe s’avalua la idoneïtat o no, a priori, de la informació rebuda, i si alguna de la informació demandada no s'ha aprovat, es fa constar. Este informe de diagnòstic es reporta a la gerència de l’entitat perquè, amb el seu impuls, se solucionen les incidències registrades.

4.- Auditoria presencial. Amb la informació aportada ja analitzada, es passa a realitzar l’auditoria. L’auditoria, segons el meu criteri, ha de constar de dues fases diferenciades:

    1. Entrevistes personals. En esta fase s’analitza, juntament amb les persones seleccionades, el coneixement sobre els tractaments de dades que l’entitat gestiona i les seues responsabilitats. També s’analitzen aspectes relacionats amb la informació sobre la documentació prèvia recaptada.
    2. Anàlisi de l’entorn. En esta segona fase es verifica el que s’ha comentat amb el personal en les entrevistes i el recaptat en la documentació prèvia a base de proves físiques i observacions de primera mà de l’auditor. Estes proves es duran a terme tant pel que fa a entorns automatitzats com a la gestió de la documentació en paper.

5.- Anàlisi de la informació recaptada. Amb totes les notes recopilades de les entrevistes i l’anàlisi de primera mà de l’entorn, es procedeix a analitzar tota la informació recaptada. Esta anàlisi contrastarà la normativa de referència, la documentació i les polítiques de l’entitat amb la realitat trobada per l’auditor. És convenient que el marc normatiu de referència quede clarament determinat als informes que es generen perquè l’auditat puga tindre una imatge concreta i real de la situació i així poder prendre decisions adequades.

6.- Informe d’auditoria i pla d’acció. En terminar l’anàlisi, es genera l’informe d’auditoria i el pla d’acció. L’informe d’auditoria representarà la situació real contrastada amb el marc normatiu de referència. El pla d’acció proposarà les mesures correctores necessàries per tal de solucionar les incidències que s’estiguen produint en l’entitat. Estos documents es presentaran a la gerència de l’entitat perquè, amb el seu impuls, es prenguen les mesures correctores adequades.

7.- Altres labors de consultoria relacionades. En funció del tipus de projecte, l’auditoria pot portar inclosa o no un altre tipus de labors: actualització del document de seguretat, redacció de procediments no inclosos, revisió de polítiques de privacitat i seguretat de l’entitat, formació al personal, etc. Personalment incloc en el projecte estes labors relacionades, però pot passar que un client dispose de recursos propis suficients per dur a terme esta última part i solament desitge tindre un informe imparcial que servisca com a guia per a la presa de decisions.

 

Com sempre dic, no hi ha dues entitats iguals i, per tant, és impossible encaixar un model d'auditoria concret en dos clients diferents, tot i que en línies generals tot el comentat a l'entrada és el desenvolupament d’un pla d’auditoria genèric que pot servir com a guia per a diversos tipus d’entitats.

Cal recordar que amb la posada en marxa del nou Reglament General Europeu de Protecció de Dades, els projectes d’auditoria seran encara més exhaustius, ja que s’hi ha d’incloure una anàlisi de riscos.

Com podem veure, qui intenta fer alguna cosa pareguda a una auditoria LOPD per telèfon té un problema important: no coneix el seu client i, el que és més greu, no li està donant cap servici.

5
visitas hoy 3 · visitas total 2.859

Usuario: jomasanz

Empresa: José Manuel Sanz

Canal: CEEI Valencia

Fecha publicación: 12/02/2017 18:15

Url: http://ceeivalencia.emprenemjunts.es/?op=8&n=13447

Comentarios

Usuario sin logear

Envía tu comentario

Debes iniciar sesión - Hoy 18:52

Título:

Comentario:

 

Esta web utiliza cookies propias y de terceros para ofrecerte una mejor experiencia y servicio.
Al continuar con la navegación consideramos que aceptas su uso y nuestra política de cookies.

Aceptar