viernes, 23 de diciembre de 2011 0 comentarios

¿Cómo debiera ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD?

Antes de cerrar el año y pendiente del ya tradicional post de revisión del año 2011 y el de análisis de tendencias para el 2012, quiero referenciar el material que he publicado a través del blog de Inteco con reflexiones sobre cómo debiera ser la auditoría del Titulo VIII del R.D. 1720/2007.

Este año ha sido un año duro en el ámbito LOPD dado que la crisis siempre hace que aparezcan los oportunistas y los pícaros que tratan de lucrarse de la ignorancia o el desconocimiento de la gente. En este sentido, la Asociación Española de Profesionales de la Privacidad ha tenido que luchar contra las llamadas  "Empresas de coste cero" que venden servicios de consultoría camuflados bajo subvenciones de formación a través de la Fundación Tripartita.
Estas empresas han empezado con los servicios de adecuación/adaptación pero seguro que pronto extenderán sus garras hacia la auditoría obligatoria establecida por los artículos 96 y 110. Para luchar contra esta "lacra" la única arma es la información y la explicación de qué debieran ser considerados servicios correctos.

Con este objetivo he publicado los dos siguientes artículos que aparecen en el blog de Inteco:



A continuación anexo el texto integro de ambas partes para el que quiera realizar una lectura continuada del mismo.

Ante la reiterada preocupación del sector profesional de la privacidad sobre la ausencia de consenso respecto a cómo debe ser realizado el proceso de auditoría establecido por los artículos 96 y 110 del R.D. 1720/2007, creo adecuado explicar en este post en qué debe consistir el proceso de auditoría, cuál es su finalidad, qué resultados deben esperarse y cuáles son las mejores prácticas a la hora de planificar, desarrollar y realizar un informe de auditoría del Título VIII del R.D. 1720/2007 de desarrollo de la LOPD.
Para una adecuada lectura de este documento deben tenerse en cuenta dos advertencias:

  1. Este post se limita de forma exclusiva a la auditoría del cumplimiento de las medidas de seguridad establecida en los artículos 96 y 110, por lo que no se contempla en la realización de este proceso aspecto alguno que no esté relacionado con la valoración del funcionamiento de las medidas de seguridad descritas en el Título VIII del R.D. 1720/2007.
  2.  Este post no pretende establecer los criterios o técnicas a emplear. Simplemente describe la importancia y necesidad del proceso de auditoría, su finalidad y qué es entendido pudieran ser buenas prácticas en la realización de estas actividades.
¿Qué es una auditoría de sistemas de información? 
La auditoría de sistemas de información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias. Las actividades, procesos, tareas requieren de una revisión periódica para evaluar su funcionamiento y realizar los ajustes que sean necesarios. Las medidas de seguridad establecidas por el R.D. 1720/2007 establecen y determinan una serie de actividades periódicas que la organización debe realizar para garantizar la adecuada protección de la información de carácter personal que es procesada. Estos mecanismos de protección definidos por los procedimientos obligatorios deben estar documentados y forman parte del contenido del Documento de seguridad establecido por el Art. 88 del R.D. 1720/2007.Para entender este extremo emplearemos un símil ilustrativo. El mantenimiento y la revisión de todo vehículo requiere, una vez se alcanza ciertos años de funcionamiento, de una revisión periódica cada dos años realizada por la Inspección Técnica de Vehículos (ITV). Estos organismos de revisión realizan una serie de chequeos, comprobaciones y pruebas sobre diferentes elementos del coche con el objetivo de garantizar que está en las mínimas condiciones necesarias para seguir en circulación.  Este ejemplo sirve perfectamente para ilustrar la misión del proceso de auditoría ya que el proceso de revisión realizado en la ITV es una revisión sobre el funcionamiento del vehículo que tiene por objetivo establecer si el coche es apto, no apto o apto con deficiencias a subsanar como resultado de la información obtenida durante la batería de pruebas realizadas. Esta actividad de revisión es una auditoría formalizada y normalizada que comprueba de forma exhaustiva todos los elementos básicos del vehículo y determina el grado de confianza que el dueño del vehículo puede otorgar al mismo en relación a su seguridad y correcto funcionamiento.
De igual forma, la auditoría de sistemas de información es un proceso metódico de revisión que pretende conocer la eficacia y fiabilidad de los controles o mecanismos de seguridad instalados para evitar o reducir los riesgos que pudieran afectar al buen funcionamiento de los sistemas de información o alterar su seguridad.
¿Por qué es necesaria la auditoría de las medidas de seguridad del R.D. 1720/2007?
El R.D. 1720/2007 introduce en los artículos 97 y 100 da necesidad de auditar el “TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL” del R.D. 1720/2007. Esta obligación queda establecida para los ficheros de datos de carácter personal que tienen que garantizar el cumplimiento de las medidas de nivel medio o alto. Conviene recordar que las medidas de seguridad establecidas por el Título VIII del Reglamento determinan los MINIMOS a garantizar. Ello quiere decir que la auditoría perfectamente puede ser planteada para ser realizada sobre ficheros de nivel básico si la Organización considera adecuado la ejecución de este proceso interno de revisión. Además, es necesario destacar que la auditoría aparece como una de las medidas de seguridad más del citado Titulo VIII. ¿Por qué es la auditoría una medida de seguridad? La respuesta es sencilla dado que este proceso de inspección y revisión permite detectar deficiencias antes de que éstas se produzcan. También la auditoría puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo de ajuste que detecta el deterioro en la efectividad o rendimiento de las medidas de seguridad y asegura que el nivel de protección deseado se sigue garantizando.
¿Qué finalidad debe perseguir una buena auditoría de las medidas de seguridad del R.D. 1720/2007?
Tal como hemos comentado hasta este punto, la misión el proceso de auditoría es la búsqueda de todas aquellas deficiencias que pudieran suponer un problema real o potencial antes de que este se produzca. Por tanto, la auditoría es en sí misma una medida de seguridad de carácter preventivo que intenta evitar los daños antes de que éstos sucedan. También el proceso de revisión puede servir para introducir mejoras o indicar aquellos puntos que aun garantizando el cumplimiento de las medidas empieza a disminuir en su eficacia.Una buena auditoría debe suponer una revisión profunda y exhaustiva del funcionamiento de las medidas de seguridad que protegen los tratamientos de datos de carácter personal. Cuando mayor sea el trabajo de campo empleado en la revisión, más confianza podrá depositar la Organización en el correcto funcionamiento de las cosas, confirmado éste punto por los resultados obtenidos de la propia auditoría.El auditor tiene como misión principal emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.
El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información de carácter personal que es tratada, almacenada o transmitida por la Organización  
Metodología de trabajo
El proceso de auditoría supone la realización de ciertas actividades que deben realizarse de forma metodológica y que permiten diseñar y organizar el trabajo de campo a realizar en la Organización de forma que sean alcanzados los objetivos planteados al realizar la auditoría. Podemos distinguir tres fases bien diferenciadas:·     


  •     Pre auditoría.
Esta es la fase inicial del trabajo y permite al auditor conocer el entorno, contexto y sistemas de información que van a ser revisados durante la auditoría. En esta fase, la Organización y el auditor deben establecer cuál será el alcance a auditar, los ficheros de datos de carácter personal incluidos en la revisión, los niveles de seguridad de dichos ficheros, las dependencias de la Organización que deberán ser visitadas y la duración de la auditoría a contratar. Este último extremo condiciona la ejecución de la auditoría y según el volumen de trabajo que haya que realizar en la auditoría insitu, puede requerir la ampliación del equipo auditor de forma que se garantice la revisión de todos los puntos a contemplar en el tiempo previsto.En esta fase, el auditor debe preparar sus papeles de trabajo, documentos que le ayudarán en la ejecución in situ de la auditoría y que contienen información propia sobre qué cuestiones hay que revisar, qué tipo de pruebas debe contemplar en las comprobaciones técnicas pertinentes y qué preguntas debe realizar tanto al personal de la Organización como al responsable de seguridad. Estos papeles de trabajo del auditor actúan de registro, para no olvidar revisar ningún proceso o actividad importante y se preparan de antemano las preguntas o lista de comprobaciones que se quieren realizar. Dado que el R.D. 1720/2007 no es modificado de forma frecuente, lo habitual es que la empresa auditora tenga prediseñados unos papeles de trabajo base que debe adaptar a la Organización a auditar una vez    Para ello, suele ser habitual agrupar la revisión de los artículos del R.D. 1720/2007 en programas que aglutinan bajo un nombre todos aquellos artículos del R.D. que determinan una misma medida de seguridad que según el nivel deben satisfacer más o menos requisitos.Es habitual que para el diseño de esta documentación, el auditor solicite a la empresa auditada el Documento de Seguridad de los ficheros incluidos en el alcance, dado que en él se encuentra una descripción del tipo de ficheros, de los sistemas de información y de las medidas de seguridad que la Organización debe estar aplicando en la protección de los datos de carácter personal. El auditor parte de esta información inicial para el diseño de las pruebas técnicas que permitan verificar el nivel de cumplimiento de lo escrito en el documento de seguridad. También permite adecuar y configurar el equipo auditor si por el carácter de las pruebas a realizar o de los sistemas incluidos sea necesario contar con personal técnico de apoyo al auditor que permita la ejecución con éxito de las pruebas de auditoría contempladas o la recogida de información de forma directa en la Organización auditada.Con toda esta información ya procesada, el auditor puede diseñar el programa detallado de auditoría y enviar a la Organización cual será la planificación prevista durante los días que dure la auditoría in situ. Ello también permite a la Organización conocer cuál será el trabajo de campo que se realizará y planificar o adecuar los horarios y la disponibilidad del personal que será entrevistado o que deberá atender al auditor durante los días de auditoría.·        


  • Auditoría in situ o ejecución de la auditoría.
Esta es la fase crucial de todo el proceso dado que es donde el auditor recoge las evidencias de auditoría, esto es, aquella información que será empleada posteriormente para argumentar y demostrar el cumplimiento o no cumplimiento de las medidas de seguridad. El auditor, como se ha dicho ya, debe proporcionar una opinión profesional, independiente y objetiva del funcionamiento de las medidas de seguridad. Por tanto, toda afirmación que incluya en su informe debe basarse en datos, hechos u observaciones como explícitamente establece el punto 2 del Artículo 96. Auditoría.“2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.”Por tanto, en esta fase el auditor debe ir recopilando toda aquella información que ha establecido previamente en la fase de pre auditoría como necesaria y que sirva para contrastar o comprobar el correcto funcionamiento de las medidas de seguridad. De esta forma, el auditor también deja rastro de su propio trabajo y permite posteriormente a la Organización evaluar la exhaustividad y profundidad del trabajo de campo realizado por el propio auditor. Este mecanismo de transparencia del proceso de auditoría es otro de los pilares en los que se cimienta la confianza que se puede depositar sobre la auditoría realizada.Según la complejidad del entorno, el tiempo disponible para el proceso de auditoría y el tamaño del equipo auditor, es posible que la ejecución de ciertas pruebas no puedan revisar de forma completa y exhaustiva todos los registros de ejecución o rastros de funcionamiento de las medidas de seguridad. En estos casos, es preciso recurrir al muestreo de auditoría que permite la selección de ciertas muestras y extrapolar las conclusiones observadas en ellas para el resto de elementos de la población. El muestreo introduce cierto margen de error en la realización de conclusiones pero permite adecuar la revisión al tiempo disponible para el proceso de auditoría. En todo caso, este margen de error puede ser previamente definido lo que condicionará los tamaños de las muestras a examinar.
Una vez finalizada esta fase, el auditor debe contar con todas aquellas evidencias de auditoría que ha obtenido de la realización de pruebas técnicas, entrevistas, inspección visual de las instalaciones y dependencias así como de la revisión de todos aquellos documentos que hayan sido solicitados a lo largo de la ejecución de la auditoría.·     


  •     Realización del informe de auditoría.
El resultado final del proceso de auditoría debe quedar plasmado en el informe de auditoría que incluye la conclusión del auditor respecto del funcionamiento de las medidas de seguridad y constata los hechos, datos u observaciones en los que se basa dicha conclusión. Llegado este punto, el auditor debe examinar y valorar las evidencias obtenidas y seleccionar aquellas que considera relevantes en la demostración del cumplimiento o no cumplimiento del funcionamiento de las medidas de seguridad. El informe debe proporcionar al auditado una imagen fiel y real de cuál es la situación de las medidas de seguridad revisadas y si suponen o no un incumplimiento del citado Reglamento.
 
;