Translate this

oct 272010
 

Bueno, por fin terminamos el informe de auditoría LOPD (tranquilos que no os librareis de mi, todavía nos queda el informe de auditoría sobre Medidas de Seguridad).

Los informes de auditoría están llenos de tablas, ilustraciones, medidas correctoras,…. En fin, un poco engorroso y un responsable de fichero, al fin y al cabo lo que quiere saber es que tiene que hacer para corregir cualquier incumplimiento de la ley y evitarse problemas.

Un informe que se precie deberá incluir un RESUMEN DE MEDIDAS CORRECTORAS, de manera que de un solo vistazo los responsables oportunos tengan la oportunidad de hacerse una idea aproximada de a que deberán enfrentarse para poner su organización en orden.

Pues bien, ahí va el RESUMEN DE MEDIDAS CORRECTORAS para nuestro supuesto practico:

 

Resumen de Medidas Correctoras

Resumen de Medidas Correctoras

HISTORICO DE LA SERIE
Auditoria LOPD (I) 
Auditoría LOPD (II). Pertinencia
Auditoría LOPD (III): Objeto y Alcance de la Auditoría 
Auditoria LOPD (IV): Identificación de Ficheros y Tratamientos 
Auditoría LOPD (V). Información y Consentimiento 
Auditoría Lopd (VI): Derechos ARCO
Auditoría LOPD (VII). Derechos ARCO
Auditoria LOPD (VIII). Relaciones con Terceros
Auditoría LOPD (IX). Seguridad 

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(
http://www.isaca.org/)
CCN: Centro Criptológico Nacional (
https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN- STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.

  3 Responses to “Auditoría LOPD (y X). Resumen de Medidas”

  1. Hola, necesito adaptar mi empresa a la LOPD y no tengo claro si debo contratar a una empresa con acreditación oficial o algo así, ¿conoces esta consultoría http://www.piconyasociados.es/? Agradecería si me puedes dar algún tipo de referencia…

    Un saludo

  2. Hola Paco,

    No conozco la empresa que comentas, y por tanto no puedo darte una opinión sobre como trabajan. Hay muchas empresas que se dedican a hacer adaptaciones a la LOPD. Lo que si es importante es que no se limiten a entregarte un Documento de Seguridad y te declaren los ficheros en la agencia.

    El proceso de auditoría conlleva entrevistas, evidencias, análisis de esas evidencias, elaboración de informes con las deficiencias, las propuestas con las medidas que debe adoptar la empresa para corregirlas. Tambien puede incluir un plan de seguridad, es decir, la elaboración de una estrategia para corregir las deficiencias detectadas durante al auditoría.

    Cuidado porque hay empresas que se limitan a entregarte un documento de seguridad y a declararte los ficheros, y te hacen creer que con eso cumples la ley.

    El documento de seguridad hay que aplicarlo, no basta con tenerlo y para eso tienes que entender los procedimientos que incluye.

    También hay algunas empresas que te cuentan que te lo hacen “gratis” a través de la fundación tripartita. Estas empresas son un fraude.

    Te presento a la Asociación Profesional Española de Privacidad (APEP) http://www.apep.es/

    Es una asociación sin ánimo de lucro cuya misión es fomentar la profesionalidad del sector de la privacidad. Tienen un código ético al que se acogen sus asociados y tienen bien claro como debe de hacerse una auditoría en protección de datos y como no debe de hacerse (ver: http://www.apep.es/apep-alerta-contra-estafas-en-el-asesoramiento-en-materia-de-lopd/ y ver tambien : http://www.apep.es/claves-para-identificar-un-proyecto-adecuado-de-consultora-para-implementar-la-lopd-de-forma-integral/ )

    La APEP

  3. La APEP publica la lista de sus asociados. Son profesionales que siguen el código ético establicido sobre el proceso de auditoría.

    http://www.apep.es/lista-de-asociados/

    Seguro que te sirve de orientación.

    Me consta que es una asociación seria y comprometida con los ciudadanos y con las empresas que desean adaptarse a la LOPD.

    Espero que esta información te sirva de ayuda.

    Un saludo

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>