Ir al contenido principal

Medidas de seguridad LOPD (II): La auditoría de cumplimiento

Imagen
De
Después del primer post de esta serie, "Medidas de seguridad LOPD (I): Funciones y obligaciones del personal", continúo con otra de las medidas de seguridad a la que en mi opinión no se le concede la importancia que se merece por parte de las organizaciones: la auditoría de cumplimiento.

¿Por qué digo esto?, porque, basado en mi experiencia, en la mayor parte de las organizaciones y si es que se lleva a cabo, sólo se realiza para cumplir formalmente con otro de lo requerimientos de la dichosa normativa de protección de datos de carácter personal, que, en su opinión, no aporta nada al negocio o actividad y que, por tanto, sólo supone un gasto totalmente innecesario.

En consecuencia:

1.- Se dedica el mínimo esfuerzo, bien se realice por personal interno y/o externo, en cuanto a: recursos, tiempo y coste, dando como resultado un informe que no contempla ni un ámbito ni un alcance adecuados para los trabajos de auditoría a abordar.

2.- El objetivo principal, aparte del cumplimiento formal ya indicado, consiste en "salir bien en la foto", porque sino a ver quién le cuenta al jefe que no cumplimos adecuadamente. Cosa que nunca he comprendido muy bien, ya que al jefe es al primero al que le suele importar entre poco o nada si existe un cumplimiento idóneo y efectivo de la normativa, es decir, al igual que al personal interno a quien encarga supervisar su realización, sólo le importa que salga barato y "parecer honrado", lo de serlo (detectar deficiencias y adoptar las  medidas correctoras y/o complementarias pertinentes) es una cuestión sin importancia.

Pues bien, tal y como indiqué en el citado primer post de esta serie:

"La seguridad no es es un producto, es un proceso".
- Bruce Schneier -


Y de ahí la importancia que yo creo que tiene la auditoría para la supervisión y mejora continua en esta materia (verificación del cumplimiento, detección y corrección de incidencias o fallos en el sistema de seguridad implantado, permanente actualización y adecuación en base a la evolución de la organización, de la tecnología y de las amenazas, y ante cambios en la normativa, etc.).

a) ¿Qué dice la normativa vigente en materia de protección de datos de carácter personal?:

La obligatoriedad de realizar auditorías de cumplimiento se recoge en el Reglamento de Desarrollo de la LOPD (RDLOPD) como una medida de seguridad de nivel medio en:

- El artículo 96, caso de ficheros y tratamiento automatizados.

- El artículo 110, caso de ficheros y tratamientos no automatizados.

En resumen:

1.- Debe realizarse tanto sobre ficheros y tratamientos automatizados como no automatizados a los que les sean de aplicación las medidas de seguridad a partir del nivel medio.

Para estos ficheros y tratamientos deben auditarse todas las medidas de seguridad que les sean de aplicación, es decir, al ser los niveles acumulativos, todas (básico, medio y alto) para los ficheros y tratamientos a los que sean de aplicación las medidas de nivel alto, y las de nivel básico y medio para los ficheros y tratamientos a los que no les sean de aplicación las de nivel alto.

2.- Puede ser interna o externa.

3.- Debe realizarse al menos cada dos años, salvo que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, momento en el que también es obligatorio realizar la auditoría.

4.- El objetivo debe consistir en la verificación del cumplimiento de lo dispuesto en el Título VIII del RDLOPD, "De las medidas de seguridad en el tratamiento de los datos de carácter personal".

5.- El informe debe: dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias, e incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

6.- El responsable de seguridad debe analizar el informe y elevar las conclusiones al responsable de fichero o tratamiento para que adopte las medidas correctoras o complementarias adecuadas, quedando el informe a disposición de la autoridad de control competente.

b) Recomendaciones para su efectiva implantación:

Como siempre y en base a mi experiencia, me permito dar una serie de pautas sobre la implementación de esta medida en las organizaciones.

También como siempre, hay que tener en cuenta que la implementación idónea de esta medida depende de diversos factores, tales como: el tamaño y complejidad de la organización; el volumen, variedad y tipo (sensibilidad) de los datos manejados por la misma; el grado de automatización de los procesos, etc., por lo que las pautas que se indican a continuación tienen un carácter meramente orientativo y están pensadas para organizaciones de tamaño medio o grande con una cierta complejidad de los tratamientos de datos de carácter personal efectuados (para el caso de autónomos, pymes y micropymes cuya problemática no sea compleja en esta materia y en cuyo objeto de negocio no se vean involucrados datos sensibles, la implantación de esta medida, cuando sea necesaria - sólo es exigible para ficheros y tratamientos a partir del nivel medio de seguridad,  y, por tanto, sólo si éstos existen -, será mucho más llevadera y, en estos casos, mi recomendación, aunque me dedique a esto y "tire piedras sobre mi propio tejado", consiste en realizar pequeñas auditorías internas con un coste mínimo (el de los recursos internos que se asignen).

Antes que nada, en base a ciertas definiciones que he leído por ahí, indicar la que entiendo más adecuada para una definición de auditoría y, por extensión, para una auditoría reglamentaria de la LOPD:

"Cualquier actividad tendente a verificar, de forma objetiva, calificada e independiente, que el objeto de análisis refleja fielmente la realidad que pretende recoger y/o cumple con las condiciones que tiene prescritas". 

b.1) De forma objetiva y calificada:

Evidentemente, los dictámenes alcanzados y las medidas correctoras y/o complementarias propuestas deben partir de la objetividad, basándose en la previa recopilación de evidencias reales, relevantes, suficientes y útiles sobre el entorno auditado, con lo que lo de la cualificación de las personas que intervengan también cae por su propio peso, teniendo en cuenta además que lo ideal para mí es que el equipo de auditoría tenga un carácter multidisciplinar.

b.2) De forma independiente:

Aunque las auditorías reglamentarias de la LOPD pueden ser internas o externas, es un principio básico (verdad de Perogrullo) que esta tarea debe recaer en personas ajenas al día a día del objeto auditado.

Por tanto, aunque en esta ocasión se me acusará de tener intereses comerciales (me dedico a ello), mi propuesta para organizaciones de tamaño medio o grande o con una cierta complejidad de los tratamientos de datos de carácter personal realizados consiste en que sea una auditoría externa.

b.3) Fases de la auditoría:

Las fases que propongo para la realización de una auditoría de este tipo, indicando los principales productos a obtener tras la realización de cada una de ellas, son las siguientes:


b.3.1) Organización e inicio:

Se trata de una fase previa con objeto de establecer el marco de ejecución de los trabajos de auditoría.

En esta fase se presentan los objetivos de la auditoría (que como ya he indicado son:  dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias) y, en función de la organización concreta y de su problemática en materia de protección de datos:

a) Determinar el ámbito de la auditoría.

Este ámbito debe contemplar necesariamente:

- Los ficheros y tratamientos a los que les sean de aplicación las medidas de seguridad a partir del nivel medio  y para los que la organización es responsable de fichero o tratamiento, y, si es el caso (se utilizan medios propios, etc.), para los que se actúe como encargado de tratamiento, ya sean éstos automatizados o no automatizados.

- Las medidas de seguridad aplicables a los ficheros y tratamientos indicados en el punto anterior.

- Los centros de tratamiento, locales, equipos, sistemas, programas, procedimientos, etc. con relación a dichos ficheros y tratamientos.

- El personal que acceda o pueda acceder a los datos de carácter personal.

Como ya se ha dicho, la auditoría sólo es obligatoria a partir del nivel medio de seguridad, pero yo suelo recomendar ampliar este ámbito a todos los ficheros y tratamientos existentes en la organización, es decir, con independencia del nivel de las medidas de seguridad que les sean de aplicación, ya que de esta forma se obtiene una "foto" global de la situación en esta materia.

b) Establecer el alcance de los trabajos de auditoría a realizar:

El alcance de la auditoría viene determinado por lo dispuesto en los artículos del Título VIII del RDLOPD.

No obstante, yo suelo recomendar también ampliar este alcance a otros aspectos de la normativa legal y reglamentaria, tales como verificar el cumplimiento de lo dispuesto sobre: notificación de ficheros y tratamientos e inscripción registral, calidad de los datos, legitimidad de los tratamientos y cesiones de datos realizados, deber de informar, consentimiento del interesado, ..., e incluso y si es el caso, videovigilancia y transferencias internacionales de datos.

Además, también suelo recomendar verificar otras medidas de seguridad y controles para evitar, o al menos mitigar, otros riegos, tales como: alarmas, sistemas contra incendios, sistemas de refrigeración, sistemas de alimentación ininterrumpida, redundancia de componentes críticos en los sistemas automatizados, etc.

Todo ello con el mismo objetivo que el indicado para la ampliación del ámbito de la auditoría, es decir, para obtener unos resultados lo más globales posibles sobre la situación de la protección de datos en la organización y aportar un mayor valor añadido a la auditoría.  

c) Detallar las tareas a ejecutar, los responsables de las mismas y las necesidades para llevarlas a cabo, los perfiles y personas intervinientes y su grado de participación, la planificación prevista y, en general, cualquier aspecto que se considere relevante de cara a obtener una base sólida para la ejecución, control y seguimiento de los trabajos de auditoría a abordar.

Como resultado de esta fase propongo obtener el documento "Plan de proyecto detallado", en el que recoger todos los aspectos indicados.

b.3.2) Planificación del trabajo y toma de datos:

Esta fase consiste en la realización de las siguientes actividades principales:

a) Elaboración del calendario de las entrevistas a mantener, indicando los interlocutores de cada una de ellas.

b) Elaboración de la documentación de soporte para la recogida de datos (guiones de entrevistas, check list,...).

c) Recopilación de la información y documentación base del proyecto (Documento/s de Seguridad, normativa interna asociada, catálogos, registros e inventarios, formularios de recogida de datos, páginas web, contratos con encargados de tratamiento, contratos de prestación de servicios sin acceso a datos de carácter personal, información sobre las infraestructuras y sistemas de información automatizados, informes de las auditorías anteriores,..., y, en general. cualquier información y documentación que deba ser analizada).

d) Estudio exhaustivo de toda la información y documentación recopilada.

e) Documentar la toma de datos efectuada, con objeto de contrastar los resultados obtenidos con los responsables de las áreas de la organización auditadas.

Como resultado de esta fase propongo obtener, al menos, los siguientes documentos: "Plan de entrevistas", guiones de entrevistas y check list de auditoría, "Inventario de documentación recopilada y objeto de análisis" e "Informe de la toma de datos".

b.3.3) Verificación cumplimiento:

En esta fase se llevan a cabo las siguientes actividades principales:

- Elaboración del calendario de visitas a realizar para realizar las verificaciones pertinentes y, si es necesario en base a los resultados obtenidos en la fase anterior, completar el check list de auditoría con las verificaciones que proceda.

- Realización de las verificaciones, mediciones y controles necesarios para completar los trabajos de auditoría, con objeto de recolectar las evidencias reales, relevantes, suficientes y útiles sobre el entorno auditado.

- Analizar la información obtenida y confrontar las evidencias con la información y documentación suministradas en las entrevistas.

Como resultado de esta fase propongo obtener la documentación de trabajo con las verificaciones, mediciones y controles efectuados, y su contraste con la información y documentación obtenida.

b.3.4) Informe final:

Finalmente, en esta fase se realizan las siguientes actividades principales:

- Identificar aspectos en los que se incumplen obligaciones, deficiencias y otros aspectos mejorables.

- Valorar el grado de adecuación de las medidas y controles establecidos por la organización en materia de protección de datos a la Ley y su desarrollo reglamentario.

- Obtener las conclusiones y las propuestas de medidas correctoras y/o complementarias pertinentes.

- Elaborar y presentar el informe de auditoría .

- Elaborar y presentar un informe ejecutivo para la Dirección con un resumen de los resultados más relevantes de la auditoría realizada.

Lógicamente los dos últimos informes citados constituyen los productos finales más importantes de esta fase y de la propia auditoría.



Hasta aquí este post, por no hacerlo excesivamente largo, aunque se podría profundizar mucho más (objetivos de control y controles a verificar, etc.), pero lo que es evidente es que nada de esto servirá para nada, excepto para acreditar el cumplimiento formal de otro de los requerimientos de la dichosa normativa que comentaba al principio y para tener un bonito informe de auditoría perfectamente inútil, sino existe el compromiso decidido por la parte de la organización y por ende de la propia Dirección para abordar un proyecto de implantación de las medidas y controles pertinentes para corregir las deficiencias detectadas.
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

De
Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de
103 comentarios
Leer más

Criptografía (XXIII): cifrado de Hill (I)

De
En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat
5 comentarios
Leer más

¿Qué significa el emblema de la profesión informática? (I)

De
Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im
Publicar un comentario
Leer más