//
you're reading...
Guía sobre protección de datos, Resoluciones

¿Cuál es el contenido que debe tener un informe de auditoría LOPD?


El informe de auditoría debe, desde un punto de vista general, dictaminar sobre la adecuación de las medidas y controles de seguridad existentes a lo contenido en el RLOPD. Por tanto, deberá identificar las deficiencias que sean observadas, proponer medidas correctoras e incluir recomendaciones por parte del equipo auditor. Igualmente, resulta adecuado y conveniente que se recojan datos, hechos y observaciones en los que se basen los dictámenes alcanzados.

Para poder llevar a cabo la misma, ¿qué deberá tener en cuenta el Responsable de Seguridad de la entidad a auditar?. Lo siguiente:

1.- Relación de ficheros inscritos en el RGPD (Registro General de Protección de Datos).

2.- Fechas propuestas para la realización de la auditoría.

3.- Auditores internos asignados o entidad auditora externa.

4.- Documentos necesarios para el control y auditoría; departamentos a auditar y personas a entrevistar.

¿Qué documentos deberán ser revisados y, por tanto, tendrán que estar disponibles?.

* El documento de seguridad.

* Notificaciones al RGPD.

* Estructura de los sistemas informáticos y de información de la entidad, lo que incluirá los sistemas de archivo y traslado de soportes no automatizados.

* Aplicaciones informáticas utilizadas en la gestión de los ficheros a auditar.

* Organigrama de la entidad y sus responsables.

* Informes de auditoría anteriores.

* Informes de controles periódicos de verificación de resultados.

Así, desde un punto de vista amplio, el contenido del informe de auditoría, será el siguiente:

1.- Antecedentes. Identificación de la entidad auditada y auditora.

2.- Objeto y contenido de la auditoría. Normativa que la justifica. Informes de auditorías anteriores.

3.- Alcance de la auditoría. Ficheros, tratamientos y centro de trabajos auditados.

4.- Limitaciones en la ejecución de la auditoría. En el caso de que las hubiera.

5.- Ejecución del trabajo del auditor. Entrevistas realizadas; Inspección visual; Documentación analizada; Chechlist de comprobación y verificación.

6.- Entrega y difusión del informe de auditoría. A quienes se les hará entrega del mismo (Responsable de Seguridad; Dirección, etc.)

7.- Valoración de las medidas y controles de seguridad. Análisis por niveles de seguridad. Análisis del cumplimiento de las medidas de seguridad: identificación de deficiencias+medidas correctoras+recomendaciones del auditor.

8.- Conclusiones.

Por tanto, es evidente, que esta labor a realizar por el auditor interno o la entidad auditora externa, requiere la presencia física del auditor o equipo de auditores en las instalaciones, dependencias y centros de trabajo afectos a la obligación  de la auditoría. Este hecho lo destacamos, a pesar de su obviedad, porque en el día a día nos encontramos con algunas entidades que afirman haber sido “auditadas” a distancia, en algunos casos, mediante el envío de un simple cuestionario o checklist que el auditado a cumplimentado a su buen entender o de manera interesada, lo que sin lugar a dudas, producirá como resultado, un informe de auditoría que incumple gravemente con el espíritu que el legislador ha estipulado al implantar esta norma de seguridad en las entidades con ficheros de nivel medio y/o alto de seguridad.

About these ads

Comentarios

2 comentarios en “¿Cuál es el contenido que debe tener un informe de auditoría LOPD?

  1. Hola, estoy interesada en contratar una consultoría que adapte mi empresa a la LOPD, he estado informándome y una de las que más me convence es http://www.piconyasociados.es/ ¿la conocéis? ¿me podéis dar alguna referencia al respecto? Gracias

    Publicado por Rosa | 14/05/2012, 17:47

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Estadística del blog

  • 48,004 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos biométricos datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 GT29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de consentimiento privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android tratamiento de datos biométricos usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
%d personas les gusta esto: