Your Federal Quarterly Tax Payments are due April 15th Get Help Now >>

Auditoria Bienal LOPD_1H by murplelake80

VIEWS: 15 PAGES: 8

									DERECHO A LA INTIMIDAD

Le ayudamos a garantizar y
proteger las libertades públicas
y los derechos fundamentales
de las personas físicas




SEGURIDAD DE LA INFORMACION




         Auditoria Bienal LOPD




Una Inversión en
           Protección de Activos

                             J2M Consultores Informáticos, S.L.L.
AUDITORIA BIENAL LOPD
INTRODUCCION

Al amparo del derecho a la privacidad recogido en el artículo 18 de la constitución española, surge la
   Ley Orgánica de Protección de Datos de Carácter Personal (LOPD – 15/1999) que sustituye
   y amplía la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de Datos),
   dictada con el objeto de garantizar y proteger, en lo que concierne al tratamiento de los datos per-
   sonales, las libertades públicas y los derechos fundamentales de las personas físicas y, especial-
   mente, su honor e intimidad personal y familiar.
La diferencia fundamental con respecto a la LORTAD es que la LOPD es aplicable tanto a los fiche-
   ros automatizados como a los no automatizados, mientras que la antigua LORTAD sólo era apli-
   cable a los ficheros automatizados.
La LOPD genera además una relación de medidas técnicas concretas, que se recogen en el Regla-
   mento de Desarrollo de la LOPD, de obligado cumplimiento para todas aquellas empresas que
   posean ficheros de datos de carácter personal, lo que hace que sea aplicable prácticamente a la
   totalidad de las mismas. El Reglamento obliga a dichas empresas a establecer unas medidas orga-
   nizativas y técnicas concretas encaminadas a garantizar el correcto tratamiento de los datos.

En concreto, el Artículo 96. Auditoria, de dicho Reglamento especifica lo siguiente:

“A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacena-
  miento de datos se someterán, al menos cada dos años, a una auditoria interna o externa que
  verifique el cumplimiento del presente Título.

  ⇒ Con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modi-
  ficaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas
  de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las
  mismas. Esta auditoria inicia el cómputo de dos años señalado en el párrafo anterior.

  ⇒ El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a
  la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correc-
  toras o complementarias necesarias.
  Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes al-
  canzados y las recomendaciones propuestas.

  ⇒ Los informes de auditoria serán analizados por el responsable de seguridad competente, que
  elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas
  correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos o, en su
  caso, de las autoridades de control de las Comunidades Autónomas.”




                                                                                                          2
AUDITORIA BIENAL LOPD

OBJETIVOS Y ALCANCE

          Los objetivos del presente proyecto son los siguientes:

          ⇒      Comprobar la adecuación de las medidas, los procedimientos y controles de se-
          guridad establecidos por el cliente, al Reglamento de Desarrollo e instrucciones vigen-
          tes en materia de seguridad de datos, y así disponer del documento de obligado mante-
          nimiento en los artículos 96 y 110 del RD:

                         INFORME DE AUDITORIA BIENAL

          ⇒      Comprobar la adecuación de las medidas, implantadas por el cliente, a las obli-
          gaciones formales descritas en la L.O.P.D., para establecer los riesgos de infracción
          que pueden presentarse.

          Alcance Principal

          ⇒      La auditoría se realizará exclusivamente en el centro principal de operaciones,
          siendo el mismo el reflejo de las prácticas establecidas en los demás centros de la orga-
          nización. Del mismo modo, la documentación estudiada será limitada a los documentos
          genéricos utilizados en toda la organización.

          ⇒      Como medida adicional, se realizarán visitas a otro centro para corroborar los
          aspectos mas importantes, y cubrir aspectos específicos de ciertos departamentos. Re-
          dacción de cláusulas para formularios, circulares y contratos

          J2M Consultores proporcionará a su cliente las cláusulas para sus formularios de reco-
          gida de datos, circulares y contratos con terceros acorde con las disposiciones de la
          LOPD cada vez que éste lo solicite y para todos los casos que se puedan presentar. 2M
          ofrece a sus cliente una gama completa de servicios que permiten cubrir todos los as-
          pectos fundamentales de la Protección de Datos en todas las empresas.

FASES DE LA AUDITORIA




                                                                         J2M Consultores
                                                                                                      3
AUDITORIA BIENAL LOPD
 METODOLOGIA DE TRABAJO
                        Alcance
                        Nuestra experiencia indica que el lanzamiento de un proyecto de este tipo
                        y tamaño determina la calidad futura de los resultados del mismo y, por
                        tanto, consideramos de gran importancia un análisis de expectativas que
                        cubran los objetivos estratégicos y que identifiquen los indicadores de
                        éxito, así como los responsables de estas evaluaciones, ya que éstos act-
                        úan, en último caso, como directores del seguimiento de las tareas de este
                        estudio.
 Definición de interlocutores
 El objetivo es implicar a los principales protagonistas y afectados por el proyecto en los objeti-
 vos y requerimientos del mismo. Buscar su complicidad e incorporar sus sugerencias y criterios
 de intervención.
 La primera actividad a realizar es una reunión de presentación del proyecto a los coordinadores,
 en la que se presentarán todas aquellas cuestiones relativas al Plan de Trabajo, calendario, plani-
 ficación, participantes, interlocutores, reuniones,…
 Planning de entrevistas
 El objetivo es planificar las diferentes actividades y estimar el tiempo necesario para realizarlas,
 teniendo en cuenta la disponibilidad de las personas que pertenecen al cliente.


                        A - Auditoria Legal:

                        La auditoria Bienal de protección de datos es una actividad que implica la
                        revisión de las medidas de seguridad establecidas en la organización, lo
                        cual queda cubierto por la auditoría RD. En paralelo queda la necesidad
                        de realizar una auditoria LOPD para comprobar el cumplimiento de las
                        obligaciones formales para el tratamiento en materia de protección de da-
                        tos, lo cual implica que el resto de cuestiones legales del responsable y
                        del encargado del tratamiento sean analizados en la auditoría LOPD. Las
                        medidas a analizar serán:
 ⇒                     ⇒
       Tratamiento que se realizan en la organización de los ficheros de carácter personal
 ⇒     Correcta declaración de inscripción y/o modificación de los tratamientos ante el RGPD
 ⇒     Comunicaciones dirigidas a los afectados para garantizar el cumplimiento de la Ley respec-
       to al tratamiento de sus datos.
 ⇒     Contratos íntegros suscritos para la externalización de tratamiento, adquisición y venta de
       información
 ⇒     Procedimientos establecidos para garantizar los derechos de acceso, Rectificación, cancela-
       ción y oposición de datos.
                                                                                                        4
AUDITORIA BIENAL LOPD
B – Auditoria Técnica:

  Verificación del cumplimiento en los sistemas de información y instalaciones de tratamiento de datos.

     Adecuación de los PROCEDIMIENTOS
⇒     de notificación, gestión y respuesta ante incidencia;
⇒      de realización de copia de seguridad y recuperación de datos;
⇒      de las medidas de seguridad aplicables a los ficheros y tratamientos NO automatizados;
⇒      de identificación para el acceso de los usuarios;
⇒      de asignación, distribución y almacenamiento de contraseñas.

     Adecuación de los CONTROLES
⇒     de acceso de los usuarios a los datos y recursos que precisan para el desarrollo de sus funciones;
⇒      periódicos para verificar el cumplimiento de los dispuesto en el documento de seguridad;
⇒      de la existencia y cumplimiento de las medidas definidas en el documento de seguridad;
⇒      dictamen del informe de Auditoría para comprobar la existencia de los controles de cumplimiento
       del reglamento;
⇒      de acceso físico a los locales donde se encuentren ubicados los sistemas de información;
⇒     del responsable de seguridad sobre los mecanismos que permiten el registro lógico de acceso a da-
      tos nivel ALTO.

      Adecuación de las MEDIDAS

⇒ GENERALES
Acceso a través de redes de comunicaciones
Ejecución de tratamiento de datos persona-     ⇒ NIVEL MEDIO
les fuera de los locales de la ubicación del   Nombramiento de un responsable de seguridad
fichero                                        Realización de la auditoria Bienal
Ficheros Temporales, …….                       Adopción de las medidas correctoras
⇒ NIVEL BASICO                                 Pruebas con datos reales
Documento de seguridad                         Autorización del responsable del tratamiento
Funciones del personal                         Refuerzo de los requerimiento de seguridad para los fiche-
Obligaciones del personal                      ros de Nivel Medio
Deber de secreto                               ⇒ NIVEL ALTO
Identificación y autenticación                 Distribución de soportes
Registro de incidencia                         Registro de accesos
Gestión de soportes                            Telecomunicaciones
Copia de respaldo y recuperación
Autorización del responsable del tratamiento
                                                 J2M Consultores Informáticos, S.L.L.
                                                                                                           5
AUDITORIA BIENAL LOPD
         C - Métodos utilizados

         Realización de entrevistas
         Las entrevistas se realizarán a las siguientes personas involucradas mediante
         formularios previamente adaptados:
                 Responsable de Seguridad
                 Responsable del tratamiento de la información
                 Administrador/es del sistema
                 Usuarios
         Revisión de las medidas
         Contraste in-situ de las entrevistas obtenidas en las manifestaciones de los en-
         trevistados.
         Documentos para Análisis
         Además de las entrevistas, es imprescindible que sean entregados al auditor to-
         dos aquellos documentos en que constan datos susceptibles de ser empleados
         por éste, para comprobar tanto las manifestaciones realizadas por las personas
         durante las entrevistas, como los hechos y observaciones de lo que el propio
         auditor tiene conocimiento.
                El método de trabajo que se lleva a cabo durante la fase de análisis sigue
                la normativa internacional ISO 17799, que surge como la norma técnica
                de seguridad de la información reconocida a nivel mundial y que toda
                organización puede aplicar independientemente de su tamaño o sector.




                                                                                             6
AUDITORIA BIENAL LOPD

          Los resultados que se obtendrán serán los siguientes:

          Entrega del Informe de Auditoria , según exigencias legales, dependiendo del
          nivel de seguridad de los datos, y adaptado a las necesidades de la empresa.
          ⇒    Adecuación de las medidas y controles al RD
          ⇒    Identificación de las deficiencias
          ⇒    Propuesta de medidas correctoras
          ⇒    Riesgos y Sanciones

          Entrega del Informe Legal Complementario, en el que se expone los incum-
          plimientos, y los riesgos de infracción que puede presentarse en materia de pro-
          tección de datos al margen de las medidas de seguridad
          ⇒    Documentación revisada
          ⇒    Legislación utilizada
          ⇒    Análisis Legal
          ⇒    Conclusiones
          ⇒    Propuesta de contenidos recomendados




                                J2M Consultores Informáticos, S.L.L.
                                                                                             7
AUDITORIA BIENAL LOPD

El equipo de trabajo del que se compone J2M Consultores, tiene una experiencia consolidada en
este tipo de proyectos, prueba de ello son los proyectos realizados en diversos sectores, como por
ejemplo:

               Telecomunicaciones
               Salud
               Automoción
               Marketing directo
               Gran consumo
               Nuevas tecnologías
               Riesgos Laborales
               Administración pública
               Seguros y broker de seguros
               …




                                      SEGURIDAD DE LA INFORMACION:
                                      DERECHO A LA INTIMIDAD
                                      INFORMATICA FORENSE
                                      GESTIÓN DE LA SEGURIDAD



 www.J2MConsultores.com

 J2M Consultores Informáticos S.L.L                  Telf: 605 91 53 17
 Cataluña - Madrid - Levante - Galicia                     651 18 32 06
 E_Mail: Info@j2mconsultores.com

                                                                                                     8

								
To top