miércoles, 7 de mayo de 2014

Informe final de Auditoria

7 de Mayo de 2014

Ingeniera
Prisilla Ruiz
Centro de información institucional.
Estimado señor:

Por este medio se les transmite el presente informe de auditoría “Auditoria Reglamentaria De Los Datos De Carácter Personal”, realizado por la auditora Ciamary Cabrera, plantea un estudio profesional de los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada, con el fin de brindar una asesoría y recomendación a las posibles soluciones que garanticen un óptimo resultado.

 Cabe resaltar que los procesos y el ambiente de control de SI y sus deficiencias son responsabilidad de la administración.         

 Nuestra responsabilidad es la de expresar una “opinión” respecto de la seguridad de los Datos de Carácter Personal de la empresa y sobre la eficiencia de sus controles aplicados.

 El análisis y el informe presentado por nuestro grupo de trabajo es acorde a los principios indicados en Cobit, normas ISO y respecto a las leyes vigentes.


Cordialmente:

Ingeniera Ciamary Cabrera Matías

INDICE


1.     INTRODUCCIÓN.. 1
1.1.      Origen del Estudio. 2
1.2.      Objetivo General. 2
1.3.      Alcance y Naturaleza. 2

2.     ANTECEDENTES. 2

3.     RESULTADOS. 3

3.1.      Importancia de la auditoria reglamentaria de los datos de carácter personal. 3
3.2.      Niveles de seguridad. 3

3.3.      desarrollo reglamentario de la lortad. 13

4.     CONCLUSIONES. 16

5.     RECOMENDACIONES. 17

Auditoria Interna

AUDITORÍA REGLAMENTARIA DE LOS DATOS DE CARÁCTER PERSONAL.



1-      INTRODUCCIÓN

El presente estudio corresponde con una evaluación arbitraria de la estructura organizativa del Departamento de Tecnología de Información, que en esta oportunidad comprendió el Área de Datos De Carácter Personal.

Con el propósito de observar lo estipulado en la Ley Orgánica de Protección de Datos de Carácter Personal (LORTAD) procedemos a transcribir los siguientes artículos de dicha normativa:

 

Articulo 9 Informa sobre datos de carácter personal.

 

1)  “El responsable del fichero, y en su caso, el encargado del tratamiento deberán adoptar las medidas del índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico natural. 2) No se restringirán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos sistemas y programas. 3) Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

 

1.1  Origen del Estudio

Esta evaluación forma parte del Plan Anual de Trabajo de la Sección de Auditoría de Tecnología de Información para el 2014.

 

1.2  Objetivo General

Tener un panorama actualizado de la seguridad de los datos, politicas y transferencias.

1.3  Alcance y Naturaleza
Nuestra auditoria, comprende el presente periodo 2014 y se ha realizado especialmente al Departamento de Información Institucional de acuerdo a las normas y demás disposiciones aplicable al efecto. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria y se complementa con los objetivos de ésta.

2. ANTECEDENTES

 

El presente Informe se elabora tras la realización de una Auditoría de los Datos de Carácter Personal a titularidad del departamento.

El mismo constituye lo que en el artículo 110 de la actual normativa en materia de protección de datos personales se denomina Auditoria Interna indicada para revisar el cumplimiento del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal que viene a derogar al anterior Real Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contuviesen datos de carácter personal los procedimientos y las instrucciones vigentes en materia de seguridad de datos.

 

3. RESULTADOS

3.1 Importancia de la auditoria reglamentaria de los datos de carácter personal.

La Protección de Datos de Carácter Personal es una materia que ha tomado importancia en los últimos años, fundamentalmente a raíz de la aprobación de la LO 15/1999 de Protección de Datos de Carácter Personal, convirtiéndose en una obligación a cumplir por las empresas si no quieren estar expuestas a duras sanciones por la Agencia Española de Protección de Datos.
Muchas veces las trampas surgen en el camino, por el propio devenir del La Ley Orgánica de Protección de Datos, en adelante LOPD, ha adquirido una gran importancia debido a que equipara y convierte el derecho a la protección de los datos personales en un derecho fundamental de las personas.
El derecho fundamental al que hacemos referencia tiene una estrecha relación con el derecho a la intimidad y al honor, encuadrándose todos ellos dentro del art. 18 de la Constitución. Este “nuevo” derecho fundamental adopta la denominación de libertad informativa o autodeterminación informática, protegiendo el “control que a cada una de las personas le corresponde sobre la información que les concierne personalmente, sea intima o no, para preservar el libre desarrollo de la personalidad”.
3.2 Niveles de seguridad
Los niveles de seguridad recogen una serie de medidas cuya aplicación se exige de forma acumulativa, es decir, los ficheros de nivel medio deberán reunir además de las medidas de nivel básico las calificaciones como de nivel medio y los ficheros de nivel alto deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto, por lo que podríamos representarlos como una serie de círculos concéntricos.
3.3 Desarrollo reglamentario de la LORTAD
La primera Ley de protección de Datos de Carácter Personal y actualmente derogada Ley Orgánica 5/1992 de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, más conocida como LORTAD, fue objeto, con más o menos acierto y en un plazo bastante extenso, de desarrollo reglamentario.

4. CONCLUSIONES
Para finalizar el presente informe de auditoría de las medidas de seguridad adoptadas en las instalaciones y sistemas de información del departamento, a continuación se presentan las conclusiones al mismo, para un rápido conocimiento de la situación en que se encuentra dicho departamento.

La situación actual del mismo con relación al nivel de cumplimiento de la legislación vigente en materia de seguridad de los datos de carácter personal respecto de sus instalaciones y tratamiento, es FAVORABLE PERO CON LAS SALVEDADES de que sean corregidas todas y cada una de las deficiencias detectadas y expuestas en el apartado anterior y que deben adoptarse para acabar de adecuarse al Reglamento de Seguridad. En todo caso, el resultado favorable del presente informe quedará condicionado y sometido a la correcta implementación de las medidas correctoras.

Se pone de manifiesto ante el departamento auditado que ésta se encuentra sujeta al régimen sancionador establecido en la LOPD, así como que las infracciones en materia de seguridad y en concreto, mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad establecidas en el Reglamento de Seguridad.

Asimismo, se deben adoptar las medidas correctoras adecuadas y,  ambos informes, esto es, el que se elabore con las mismas y el presente documento, deben estar a disposición, en su caso, de la Agencia  de Protección de Datos.

5. RECOMENDACIONES
Según la auditoría realizada para 7 de mayo de 2014 se recomienda tener en cuenta las siguientes pautas:
·         Establecer explícitamente y por escrito las funciones y actividades que debe desarrollar la unidad a cargo de la seguridad informática, de conformidad con los estándares vigentes que rigen la materia.

·         El departamento debe restringir de una forma más explícita el acceso a personas no autorizadas al departamento.
·         Consumar un estudio tendiente a determinar el perfil que debe cumplir el personal que se ubique en la unidad a cargo de la seguridad informática del Departamento de Tecnología de Información.
·         Debe maximizar la seguridad de los datos y realizar un backup o copia de seguridad de la información diariamente.




 




Publicado por en No hay comentarios:

Web quest de la clase diseño gráfico

http://phpwebquest.org/newphp/webquest/soporte_tablon_w.php?id_actividad=82175&id_pagina=1
Publicado por en No hay comentarios:

viernes, 2 de mayo de 2014

CUESTIONARIO 6

Cuestionario de Repaso
Capítulo VI
1-     ¿Cuáles son los principios recogido en la LOPD?
ü  Artículo 4. Calidad de datos.
ü  Articulo 5 Derechos de información recogida de datos.
ü  Articulo 6 Consentimientos.
ü  Articulo 7 Datos especialmente protegidos.
ü  Artículos 8 datos de salud.
ü  Articulo 9 seguridades de datos.
ü  Articulo 10  Deber de secreto.
ü  Articulo 11 comunicaciones de los datos.
ü  Articulo 12 Acceso a los datos por cuenta de tercero.



2-     ¿Cuáles son los derechos que pueden ejercitar los interesados según la LOPD?
Deberían ser interesado previamente de modo expreso, preciso e inequívoco de:
·         La existencia de un fichero o tratamiento de datos de carácter personal, finalidad de la recogida de estos y destinatario de la información.
·         El carácter obligatorio o facultativo de las respuestas de la preguntas que les sean planteados.
·         Las consecuencias de la obtención de los datos de la negativa a suministrarlo.
·         La posibilidad de ejercitar los derechos de acceso, rectificación cancelación y oposición.
·         La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

3-     ¿Qué tipo de derecho reconocen a un autor?
Los tipos de derechos que reconocen al autor son dos clases:
Morales y patrimoniales.

4-     ¿Cuál es la duración de los derechos de autor cuando se trata de una persona física y a partir de qué fecha se computan?
La duración es la persona natural: toda la vida del autor y setenta años después de su muerte o declaración de fallecimiento.
Persona jurídica: setenta años.

5-     ¿Que se puede considerar delito tecnológico?
La denominación que algunos autores no admiten.

6-     ¿Cuál es la diferencia entre contratación informática y contratación electrónica?
·         La concentración de la informática es aquella que presenta dos facetas:
En la primera es en la que la tecnología de información se presenta como objeto del derecho. Y en la segunda se dice que la tecnología de información son medio de gracia.
·         La contratación electrónica es aquella que se caracteriza solamente por el medio a través del cual una o varias persona consienten en obligarse, respecto de otra u otras, a dar algunas cosa o prestar algún servicio.




7-     ¿Qué clase de firma electrónica reconoce el artículo 3 de la LFE?

Reconoce la firma electrónica como la firma avanzada en un certificado reconocido y generada mediante un dispositivo seguro de la creación de la firma.

8-     ¿En qué supuesto puede el prestador enviar comunicaciones comerciales u ofertas promocionales según la LSSI?
En el supuesto celebrado en el lugar en que este establecido el prestador de servicio.

9-     ¿Cuál es la única ley vigente sobre la utilización de videocámara y cuál es su objeto?
Es la ley orgánica 4/1997, 4 de Agosto. Su objeto es grabación de imágenes y sonido de lugares públicos, abierto o cerrados. 

10- ¿Qué empresa españolas deben cumplir con la ley Sarbanes-Oxley?
La empresa norteamericana.




Publicado por en No hay comentarios:

CUESTIONARIO 5

Capítulo V
El departamento de auditoria de los SI: organizaciones y funciones

1-       Identifique tres aspectos importantes para evaluar y decidir acerca de las ubicaciones geográficas de un departamento de auditoria de SI dentro de su organización.
v  Establecimiento de la misión y responsabilidades del departamento de auditoria de los SI.
v  Definición de la organización del departamento de auditoria de los SI.
v  Elaboración de los planes de trabajo del departamento de la auditoria de los SI.
2-       Identifique competencias y habilidades que deben tener los auditores de SI
Un auditor de SI debe tener las siguientes habilidades.
Revisar la existencia y suficiencia de los controles de los recursos de información que soportan los procesos de negocio.

Validar que los recursos de información apoyan los objetivos de negocio y cumplen los requerimientos establecidos.

Analizar el nuevo riesgo derivados de las nuevas tecnologías y de los nuevos negocios.

Formar y divulgar respectos de los riesgos amenazas que se derivan de una inadecuada utilización de los recursos de información.
3-       Cuál cree el auditor que debe de ser la ubicación en el organigrama de su organización del departamento de auditoria de SI

La ubicación de la función de la auditoria de los SI dentro de la organización debe de estar englobada con la función de la auditoria interna de dicha organización. En el cronograma la auditoria de SI está en el tercer lugar y abarca análisis de riego, planificación, evaluación, recomendación y seguimiento.

4-       Exponga al menos tres procedimientos que debe contener la metodología de un departamento de auditoria de SI.
Son administración de la actividad de auditoria.
Trabajo de auditoria.
Objetivos del Informe.
Objetivo General.
5-      Defina una estrategia para establecer el universo de TI de su organización
Se podría decir que un total de la integración de los SI en los procesos operativo de las organizaciones. Esta estrategia provoca que determinar dónde terminar el proceso puramente operativo y donde comienza el proceso informático sea totalmente imposible.


6-     ¿Cuál cree que es el aspecto más relevante para determinar la dimensión de un apartamento de auditoria de SI en su organización?
La sensibilidad de los órganos de gobiernos y dirección de organización  que tiene el control interno

7-      Exponga dos aspecto relevante de la definición de control interno
Es la valoración de riesgo y las actividades de control que pueden ser tanto política como de procedimiento.

8-      ¿De qué órgano depende la función de auditoria de SI?
La función de la auditoria depende del gobierno.

9-      ¿Que son los recurso de información? Nómbrelo
Los recursos de información de una organización son los siguientes.
v  Datos
v  Software de aplicaciones
v  Tecnología
v  Instalaciones
v  Personas

10-  Exponga los pasos en los que se descompone la planificación de auditoria de SI.
La planificación se descompone en dos pasos
A corto plazo y a largo plazo.



Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)