Fases de la auditoría
| Páginas | 81-112 |
Page 81
Una vez el auditor dispone formalmente del encargo de realizar una Auditoría de verificación del cumplimiento del Título VIII del RDLOPD conforme lo establecido en el artículo 96 y 110 del citado Reglamento, pueden iniciarse las actuaciones que componen los trabajos de Auditoría en la organización del responsable o en su caso del encargado del tratamiento, en función obviamente de cuál de los dos ha efectuado el encargo de la Auditoría.
Para todo ello, a juzgar por nuestra experiencia es muy importante no solo que el auditor haya preparado exhaustivamente cada un de las actuaciones a realizar, sino también que dentro de la organización a auditar, todo el personal que puede ser sometido a una entrevista con el auditor, esté predispuesto a colaborar con el mismo, de cara a no obstaculizar ni ralentizar las labores y trabajos de Auditoría.
Por otro lado también es importante que el auditor, a partir de las informaciones previas que obtuvo de la organización que realiza el encargo de la Auditoría, haya realizado una estimación del tiempo que va a invertir en realizar cada fase de la Auditoría así como el informe sobre la misma, puesto que, de esta mane-ra también el responsable o en su caso, el encargado del tratamiento pueden establecer un calendario interno de sus actuaciones de cara a proyectar la duración de las entrevistas así como los trabajos del responsable de seguridad y otras actuaciones. En cualquier caso, siempre es recomendable que el calendario sea consensuado con la organización auditada de cara a prever que el auditor pueda ejecutar cada una de las fases en las fechas pactadas. Por ejemplo, el auditor propondrá una estimación de horas y fechas para la realización de las entrevistas y la entidad auditada comprobará que en estas fechas previstas las personas presumiblemente a entrevistar no van a estar ausentes de la organización.
Estas cuestiones todavía deben planificarse con mayor detalle cuando la entidad auditada tiene distribuidas sus oficinas en lugares geográficamente distintos y por tanto el auditor debe llevar a cabo desplazamientos para la realización de los trabajos de Auditoría.
Igualmente cabe señalar la importancia de la difusión, información y sensibilización sobre la seguri-
Page 82
dad, tanto hacia los usuarios finales de la información como a la alta dirección de las organizaciones24.
Como ya hemos puesto anteriormente de manifiesto, es obvio que la seguridad de la información no es un problema puramente técnico que sólo incumbe a los departamentos de seguridad o sistemas de información, sino que por el contrario, se trata de una cues-tión que afecta a la organización en su conjunto con matices incluso culturales respecto de las costumbres del sector o de la propia entidad.
Por lo tanto, toda política de seguridad que aspire a ser eficaz debe contar tanto con el compromiso y el apoyo activo de la dirección como con un conocimiento y comprensión suficientes por todo el personal que participa en alguna etapa de la recogida, almacenamiento, acceso y uso de la información o datos de carácter personal.
En este sentido, a lo largo de nuestra experiencia hemos podido observar que en ocasiones es más complejo que la propia dirección de la empresa entienda las obligaciones que tiene la organización en materia de seguridad de datos y la necesidad de cambiar algunas de las medidas o costumbres, que los propios usuarios, quienes por norma general, no pueden cumplir con la legislación vigente en la materia, por la falta de medios y/o asignación de recursos tanto económicos como humanos, para la adquisición de dichos medios.
Por ello, la dirección tanto del responsable de tratamiento como del encargado del mismo deben tener en cuenta que, por norma general, la primera
Auditoría que se realice en la organización seguramente resultará más costosa y cara –si contamos no solo con los honorarios del auditor sino con la relación de medidas a implementar posteriormente– que las siguientes, puesto que además, las Auditorías que con posterioridad se efectúen podrán utilizar como base los trabajos previamente realizados en las anteriores.
Para poder realizar una Auditoría correctamente es fundamental la colaboración de la dirección de la organización por varios motivos:
? Comprensión y apoyo del proyecto de Auditoría, desde las jerarquías más altas de la organización.
? Dotación de recursos económicos y humanos.
? Exposición y razonamiento del proyecto de Auditoría por parte de la dirección al resto de la organización implicada en el mismo.
? Formación de un equipo interno que vaya a liderar y responsabilizarse de la buena marcha del proyecto de Auditoría.
? Análisis y aprobación del trabajo realizado –momento que coincidirá con el final de la Auditoría realizada– e inicio de los trabajos inter-nos de examen del informe de Auditoría de verificación del cumplimiento del Título VIII del RDLOPD por el responsable de seguridad.
Page 83
La legislación vigente sobre la materia (LOPD y RDLOPD) nada establecen expresamente en relación con las diversas fases por las que atraviesa una Auditoría de seguridad de datos, criterio a nuestro juicio en parte con cierta lógica puesto que, a priori, son aplicables los criterios que rigen o separan las fases de cualquier otro tipo de Auditoría. Por ello los autores consideramos útil seguir el esquema que dirigiría cualquier Auditoría, describiendo obviamente aquellas particularidades de la Auditoría de seguridad de datos personales que pueden establecer un criterio diferenciador de otros tipos de Auditorías.
Por ello a continuación vamos a intentar reflejar cuál –desde nuestra experiencia– debe ser un orden lógico a seguir para la realización de una Auditoría de medidas de seguridad, no sin antes expresar que, cada una de estas fases debe estar bien preparada tanto por el auditor como por la entidad auditada (bien se trate del responsable, o en su caso del encargado del tratamiento).
Así, en el caso en que la Auditoría se contrate a un tercero externo a la organización (ya se trate de una persona física o jurídica), tras la suscripción de los correspondientes contratos de servicio y acceso a datos, podrán iniciarse los trabajos de Auditoría que en nuestra opinión seguirán el siguiente orden:
? Identificación de los interlocutores. ? Elaboración del calendario de actuaciones. ? Recogida de información.
? Análisis de la información. ? Aclaraciones.
? Informe provisional.
? Estudio y opiniones sobre el informe provisional. ? Informe definitivo.
Al inicio de la relación, tanto el auditor como la entidad auditada deberán crear un comité o equipo de trabajo y designar interlocutores.
El comité de trabajo, tendrá fundamentalmente por objeto (a) por una parte, mantener una comunicación permanente y fluida con el auditor para el desarrollo de los trabajos que se realicen y (b) y de otra, asumir y responsabilizarse internamente de que el trabajo de Auditoría será realizado por el auditor sin trabas y con la colaboración de todo el personal que vaya a estar involucrado.
Además serán los interlocutores de este comité por ambas partes, los que llevarán a cabo las comunicaciones necesarias durante el desarrollo de la relación entre las mismas, por lo que, dentro de la organización auditada, será necesario que estos interlocutores tengan la capacidad necesaria y habilitación suficiente.
En cuanto al resto de interlocutores, serán todas aquellas personas pertenecientes a la organización de la entidad auditada que, previamente identificadas, van a participar en las entrevistas que el auditor tenga que realizar en cada departamento respecto del tratamiento o tratamientos a auditar y por tanto, seguramente deberán ser designadas no una, sino varias personas y/o usuarios.
Otra cuestión que debería tener en cuenta la entidad auditada en el momento de contratar la Auditoría, es
Page 84
la de exigir que cualquiera de los colaboradores del auditor, ya intervengan en la fase de recogida de información ya en la de elaboración del informe, tengan una reconocida experiencia, no tratándose de personal en prácticas sin experiencia o becarios, dada la importancia del tema.
CASO PRÁCTICO
El responsable de seguridad de la entidad auditada debería formar parte del comité de trabajo, y una persona perteneciente al departamento donde se ejecutan los tratamientos objeto de la Auditoría, por ejemplo, RRHH. Igualmente es conveniente que forme parte del comité un responsable de la asesoría jurídica de la entidad.
Tanto por cuenta del auditor, como de los interlocutores de la entidad auditada, también debería preverse la colaboración de personas que durante el plazo en que se ha pactado la realización de la Auditoría no vayan a:
? Ser sustituidas por motivos de organización.
? Sufrir bajas laborales por maternidad u otras causas conocidas de antemano.
? Sufrir movilidad funcional, traslados, ascensos o cambio de puesto.
? Cualesquiera otras causas que las partes puedan prever y que impidan la correcta colaboración, tanto de un lado como del otro en el proyecto de Auditoría por requerir su sustitución por otros terceros.
Pero si en cualquiera de los casos, tanto respecto de los interlocutores del comité como del resto, final-mente se causara alguna baja –prevista o por fuerza mayor– ambas...
Para continuar leyendo
Solicita tu prueba