Informe final de Auditoria

7 de Mayo de 2014

Ingeniera

Prisilla Ruiz

Centro de información institucional.

Estimado señor:

Por este medio se les transmite el presente informe de auditoría “Auditoria Reglamentaria De Los Datos De Carácter Personal”, realizado por la auditora Ciamary Cabrera, plantea un estudio profesional de los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada, con el fin de brindar una asesoría y recomendación a las posibles soluciones que garanticen un óptimo resultado.

 Cabe resaltar que los procesos y el ambiente de control de SI y sus deficiencias son responsabilidad de la administración.         

 Nuestra responsabilidad es la de expresar una “opinión” respecto de la seguridad de los Datos de Carácter Personal de la empresa y sobre la eficiencia de sus controles aplicados.

 El análisis y el informe presentado por nuestro grupo de trabajo es acorde a los principios indicados en Cobit, normas ISO y respecto a las leyes vigentes.

Cordialmente:

Ingeniera Ciamary Cabrera Matías

INDICE

1.     INTRODUCCIÓN.. 1

1.1.      Origen del Estudio. 2

1.2.      Objetivo General. 2

1.3.      Alcance y Naturaleza. 2

2.     ANTECEDENTES. 2

3.     RESULTADOS. 3

3.1.      Importancia de la auditoria reglamentaria de los datos de carácter personal. 3

3.2.      Niveles de seguridad. 3

3.3.      desarrollo reglamentario de la lortad. 13

4.     CONCLUSIONES. 16

5.     RECOMENDACIONES. 17

Auditoria Interna

AUDITORÍA REGLAMENTARIA DE LOS DATOS DE CARÁCTER PERSONAL.

1-      INTRODUCCIÓN

El presente estudio corresponde con una evaluación arbitraria de la estructura organizativa del Departamento de Tecnología de Información, que en esta oportunidad comprendió el Área de Datos De Carácter Personal.

Con el propósito de observar lo estipulado en la Ley Orgánica de Protección de Datos de Carácter Personal (LORTAD) procedemos a transcribir los siguientes artículos de dicha normativa:

 

Articulo 9 Informa sobre datos de carácter personal.

 

1)  “El responsable del fichero, y en su caso, el encargado del tratamiento deberán adoptar las medidas del índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico natural. 2) No se restringirán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos sistemas y programas. 3) Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

 

1.1  Origen del Estudio

Esta evaluación forma parte del Plan Anual de Trabajo de la Sección de Auditoría de Tecnología de Información para el 2014.

 

1.2  Objetivo General

Tener un panorama actualizado de la seguridad de los datos, politicas y transferencias.

1.3  Alcance y Naturaleza

Nuestra auditoria, comprende el presente periodo 2014 y se ha realizado especialmente al Departamento de Información Institucional de acuerdo a las normas y demás disposiciones aplicable al efecto. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria y se complementa con los objetivos de ésta.

2. ANTECEDENTES

 

El presente Informe se elabora tras la realización de una Auditoría de los Datos de Carácter Personal a titularidad del departamento.

El mismo constituye lo que en el artículo 110 de la actual normativa en materia de protección de datos personales se denomina Auditoria Interna indicada para revisar el cumplimiento del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal que viene a derogar al anterior Real Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contuviesen datos de carácter personal los procedimientos y las instrucciones vigentes en materia de seguridad de datos.

 

3. RESULTADOS

3.1 Importancia de la auditoria reglamentaria de los datos de carácter personal.

La Protección de Datos de Carácter Personal es una materia que ha tomado importancia en los últimos años, fundamentalmente a raíz de la aprobación de la LO 15/1999 de Protección de Datos de Carácter Personal, convirtiéndose en una obligación a cumplir por las empresas si no quieren estar expuestas a duras sanciones por la Agencia Española de Protección de Datos.

Muchas veces las trampas surgen en el camino, por el propio devenir del La Ley Orgánica de Protección de Datos, en adelante LOPD, ha adquirido una gran importancia debido a que equipara y convierte el derecho a la protección de los datos personales en un derecho fundamental de las personas.

El derecho fundamental al que hacemos referencia tiene una estrecha relación con el derecho a la intimidad y al honor, encuadrándose todos ellos dentro del art. 18 de la Constitución. Este “nuevo” derecho fundamental adopta la denominación de libertad informativa o autodeterminación informática, protegiendo el “control que a cada una de las personas le corresponde sobre la información que les concierne personalmente, sea intima o no, para preservar el libre desarrollo de la personalidad”.

3.2 Niveles de seguridad

Los niveles de seguridad recogen una serie de medidas cuya aplicación se exige de forma acumulativa, es decir, los ficheros de nivel medio deberán reunir además de las medidas de nivel básico las calificaciones como de nivel medio y los ficheros de nivel alto deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto, por lo que podríamos representarlos como una serie de círculos concéntricos.

3.3 Desarrollo reglamentario de la LORTAD

La primera Ley de protección de Datos de Carácter Personal y actualmente derogada Ley Orgánica 5/1992 de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, más conocida como LORTAD, fue objeto, con más o menos acierto y en un plazo bastante extenso, de desarrollo reglamentario.

4. CONCLUSIONES

Para finalizar el presente informe de auditoría de las medidas de seguridad adoptadas en las instalaciones y sistemas de información del departamento, a continuación se presentan las conclusiones al mismo, para un rápido conocimiento de la situación en que se encuentra dicho departamento.

La situación actual del mismo con relación al nivel de cumplimiento de la legislación vigente en materia de seguridad de los datos de carácter personal respecto de sus instalaciones y tratamiento, es FAVORABLE PERO CON LAS SALVEDADES de que sean corregidas todas y cada una de las deficiencias detectadas y expuestas en el apartado anterior y que deben adoptarse para acabar de adecuarse al Reglamento de Seguridad. En todo caso, el resultado favorable del presente informe quedará condicionado y sometido a la correcta implementación de las medidas correctoras.

Se pone de manifiesto ante el departamento auditado que ésta se encuentra sujeta al régimen sancionador establecido en la LOPD, así como que las infracciones en materia de seguridad y en concreto, mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad establecidas en el Reglamento de Seguridad.

Asimismo, se deben adoptar las medidas correctoras adecuadas y,  ambos informes, esto es, el que se elabore con las mismas y el presente documento, deben estar a disposición, en su caso, de la Agencia  de Protección de Datos.

5. RECOMENDACIONES

Según la auditoría realizada para 7 de mayo de 2014 se recomienda tener en cuenta las siguientes pautas:

·         Establecer explícitamente y por escrito las funciones y actividades que debe desarrollar la unidad a cargo de la seguridad informática, de conformidad con los estándares vigentes que rigen la materia.

·         El departamento debe restringir de una forma más explícita el acceso a personas no autorizadas al departamento.

·         Consumar un estudio tendiente a determinar el perfil que debe cumplir el personal que se ubique en la unidad a cargo de la seguridad informática del Departamento de Tecnología de Información.

·         Debe maximizar la seguridad de los datos y realizar un backup o copia de seguridad de la información diariamente.