Estamos en: 

1. Artículos y Textos Legales >
2. Artículos >
3. Cómo afrontar una Auditoría de Seguridad

El Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal establece, cuando existen ficheros de nivel medio o alto:

"Artículo 17. Auditoría.

1.- Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevara las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos."

Fases en la realización de la auditoría

La auditoría obligada por el Reglamento se compone de las siguientes fases:

• Conocimiento genérico de la empresa, su ámbito de negocio, los sistemas de información de que disponen, su estructura administrativa, sus relaciones con organismos oficiales, asociaciones, instituciones y otras empresas.
• Elaboración de un programa de trabajo en el que se detallen las actividades o tareas a auditar, teniendo para ello en cuenta, por un lado, los requisitos de revisión impuestos por el Reglamento en relación con la auditoría, y por el otro, el ámbito de negocio y sistemas de la empresa.
• Realización del trabajo de campo, esto es, la revisión práctica de las actividades incluidas en el plan de trabajo.
• Análisis de los puntos débiles y obtención de conclusiones y recomendaciones.
• Elaboración del informe.

Plan de trabajo

A partir del hecho de que la auditoría debe verificar el cumplimiento del Reglamento, el Plan de Trabajo deberá incluir específicamente la comprobación de todos los artículos de aquel que sean de aplicación a tenor del tipo de ficheros de que disponga la empresa (medio, alto).

A continuación se incluye un programa de trabajo genérico, de posible utilización para la realización de la auditoría de seguridad en cualquier empresa que disponga de los mencionados tipos de ficheros.

1.- REVISIÓN DEL DOCUMENTO DE SEGURIDAD

El objetivo de la revisión del Documento de Seguridad, del que toda empresa  con ficheros de datos personales debe disponer, es doble. Por un lado, el auditor debe de analizar que su contenido cumple con los requisitos establecidos en el Reglamento para el mismo. En segundo lugar, permite al auditor identificar los procedimientos y controles de seguridad definidos en la instalación, para posteriormente verificar su cumplimiento.

1.1.- Comprobar que el documento de seguridad incluye:

• Medidas, controles, procedimientos, normas y estándares de seguridad.
• Relación de las funciones y obligaciones del personal.
• Estructura de los ficheros con datos personales y descripción de los sistemas de información que los tratan.
• Procedimientos de notificación y gestión de incidencias.
• Procedimientos de realización de copias de seguridad y de recuperación de datos.
• Relación de personal autorizado a conceder, alterar o anular el acceso sobre datos y recursos.
• Identificación del responsable o responsables de seguridad.
• Relación de controles periódicos a realizar para verificar el cumplimiento del documento.
• Medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado.
• Relación de personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que tratan datos personales.
• Relación de personal autorizado a acceder a los soportes de datos.
• Período máximo de vida de las contraseñas.

1.2.- Revisión de las políticas relacionadas con el documento de seguridad:

• Difusión del documento entre empleados y colaboradores externos.
• Procedimientos para la revisión y actualización del documento.
• Procedimientos de comunicación a empleados y colaboradores externos de las actualizaciones del documento.

1.3.- Revisión del conocimiento práctico de las normas de seguridad por parte del personal, mediante la realización de entrevistas a una muestra de usuarios que incluya todos los estamentos y funciones.

1.4.- Revisión del grado de actualización del documento.

(Este punto se cumplimentará al final de la auditoría, una vez haya sido analizada la adecuación y efectividad de los controles en la práctica existentes y contrastada su aplicación con los controles incluidos en el documento).

2.- ANÁLISIS DE LOS SISTEMAS DE INFORMACION DE LA EMPRESA.

El objetivo de este apartado es determinar los sistemas de información que contienen datos personales, e identificar los ficheros de los distintos niveles en ellos existentes. La importancia de esta tarea reside en que el cumplimiento de determinadas y específicas medidas de seguridad sólo es exigido por el Reglamento para los ficheros de nivel Medio y Alto. La identificación de los sistemas que contienen estos ficheros puede, por un lado, permitir a la empresa restringir la aplicación de las medidas de seguridad de esos niveles exclusivamente a aquellos sistemas para los que es obligado, lo que a su vez, puede redundar en un abaratamiento de costes si la empresa es grande, sus sistemas de información tienen un alto grado de descentralización y la aplicación de las medidas supone la realización de una inversión.

En segundo lugar, este análisis de los sistemas de información permite al auditor centrar la revisión de algunos de los controles exclusivamente en aquellos sistemas y ficheros para los que, en función de su nivel, el Reglamento exige su aplicación.

Para la realización de este punto del Plan de Trabajo, el auditor deberá obtener un inventario de los ficheros y sistemas de información con datos personales existentes, que la empresa debe de haber realizado en un momento anterior, probablemente con ocasión de la elaboración del documento de seguridad. En el caso de que ello no fuera así, esto es, el mencionado inventario no existiera, este sería el primer punto en el informe de auditoría, dado que el Reglamento obliga a que el Documento de Seguridad incluya la estructura de los ficheros con datos de carácter personal.

2.1.- Determinar los campos (de los ficheros) que reflejan datos de nivel medio o alto.

2.2.- Detectar todos los ficheros que incluyen alguno de esos campos y además algún otro que permita identificar a la persona.

2.3.- Detectar todos los ficheros que incluyen algún dato identificativo de la persona.

2.4.- Con los ficheros así clasificados en niveles, verificar que la estructura de esos ficheros está incluida en el Documento de Seguridad

Como posteriormente se verá, está identificación de ficheros con el nivel de seguridad que les corresponde se utilizará, básicamente, para que el auditor pueda posteriormente determinar si se aplican sobre ellos las medidas de seguridad obligadas por el Reglamento en función de su nivel.

3.- IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROLES DE ACCESO

Para cada uno de los sistemas que contienen datos de carácter personal, el auditor debe revisar los controles y normas relacionados con la identificación y autenticación de usuarios, así como los derechos de acceso concedidos

3.1.- Comprobar que existe una relación de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos.

3.2.- Verificar que en la práctica los usuarios dados de alta en los sistemas y los tipos de accesos a ellos concedidos son coherentes con los establecidos en el Documento de Seguridad.

3.3.- Comprobar que los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran –o deben estar- documentadas en el Documento de Seguridad.

3.4.- Verificar que no hay dadas de alta en el sistema cuentas de usuario genéricas, es decir, utilizadas por más de una persona, no permitiendo por tanto la identificación de la persona física que las ha utilizado.

3.5.- Comprobar que en la práctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad.

3.6.- Verificar que el sistema de autenticación de usuarios guarda las contraseñas encriptadas.

3.7.- Comprobar que en el sistema están habilitadas para todas las cuentas de usuario las opciones que permiten establecer:

• un número máximo de intentos de conexión.
• un período máximo de vigencia para la contraseña, coincidente con el establecido en el Documento de Seguridad.

3.8.- Analizar los procedimientos de asignación y distribución de contraseñas.

4.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD

El Reglamento obliga a nombrar uno o más responsables de seguridad por la mera existencia de ficheros de nivel medio o alto. La auditoría deberá comprobar las funciones definidas para estos responsables, comprobar que son coherentes con las definidas en el Reglamento y evaluar el grado de cumplimiento de las mismas.

4.1.- Estudiar y analizar las funciones encomendadas a cada uno de los responsables de seguridad.

4.2.- Determinar si entre ellas se encuentran aquellas especificadas en el Reglamento para los ficheros de Nivel Alto:

• Control de los “mecanismos” asociados con el Registro de Accesos.
• Revisar, al menos una vez al mes, el Registro de Accesos de los ficheros de nivel alto que estén bajo su competencia y elaborar un informe.

4.3.- Revisar los procedimientos asociados con las funciones encomendadas.

4.4.-Analizar el grado de cumplimiento de las funciones encomendadas.

4.5.- Estudiar y analizar los controles definidos para su realización por parte de los responsables de seguridad y comprobar su operatividad y grado de adecuación.

5.- SOPORTES DE DATOS

En relación con los soportes de datos, la auditoría deber revisar varios aspectos relativos a:

• Identificación de los soportes
• Inventario de soportes
• Registro de entrada/salida de soportes

5.1.- Verificar que existe un inventario de los soportes existentes.

5.2.- Comprobar que dicho inventario incluye las copias de seguridad.

• Determinar si las copias de seguridad, o cualquier otro soporte, se almacenan fuera de la instalación.

5.3.- Analizar los procedimientos de actualización de dicho inventario.

5.4.- Analizar los procedimientos de etiquetado e identificación del contenido de los soportes.

5.5.- Verificar los accesos a los posibles almacenamientos de soportes y comprobar que exclusivamente pueden acceder a ellos las personas autorizadas en el Documento de Seguridad.

5.6.- Analizar los procedimientos en relación con la salida de soportes fuera de su almacenamiento habitual.

5.7.-Evaluar los estándares de distribución y envío de estos soportes.

5.8.-Obtener una relación de los ficheros que se envían fuera de la empresa, en la que se especifique el tipo de soporte, la forma de envío, el estamento que realiza el envío y el destinatario.

• Comprobar que todos los soportes incluidos en esa relación se encuentran también en el inventario de soportes del punto 5.1.

5.9.-Obtener una copia del Registro de Entrada y Salida de Soportes y comprobar que en él se incluyen:

• Los soportes incluidos en la relación del punto 5.8. (y viceversa)
• Los desplazamientos de soportes al almacenamiento exterior (si existiera)

5.10.-Verificar que el Registro de Entrada y Salida refleja la información requerida por el Reglamento:

• Tipo de soporte
• Fecha y hora
• Emisor/Receptor
• Nº de soportes
• Tipo de información contenida en el soporte.
• Forma de envío
• Persona física responsable de la recepción/entrega

5.11.- Analizar los procedimientos de actualización del Registro de Entrada y Salida  en relación con el movimiento de soportes.

5.12.- Analizar los controles para detectar la existencia de soportes recibidos/enviados que no se inscriben en el Registro de Entrada/Salida.

5.13.- Comprobar, en el caso de que el Inventario de Soportes y/o el Registro de Entrada/Salida estén informatizados, que se realizan copias de seguridad de ellos, al menos, una vez a la semana.

5.14.- Cotejar la relación de soportes enviados fuera de la empresa del punto 5.8.con la relación de ficheros de nivel alto obtenida en el Apartado 2.

• Verificar que todos los soportes que contiene ficheros con datos de nivel Alto van cifrados.

6.- PRUEBAS CON DATOS REALES

El auditor deberá determinar, en primer lugar,  cual es la política de la empresa en cuanto a la  realización de pruebas con datos reales, para a continuación analizar, en función de esa política, las normas y procedimientos definidos y verificar su cumplimiento.

6.1.- Determinar si la política de la instalación permite o no la realización de pruebas con datos reales.

Si se permite la realización de pruebas con datos reales:

6.2.- Verificar que los mismos controles y normas que están operativos para los ficheros en producción lo están también para los ficheros del entorno de pruebas.

6.3.- Analizar los procedimientos para el entorno de pruebas en relación con:

• Identificación y autenticación de usuarios
• Control de accesos
• Políticas de contraseñas y número máximo de intentos de conexión
• Inventario de Soportes
• Registro de entrada/salida de soportes
• Copias de seguridad
• Ficheros en soportes enviados fuera de las instalaciones y transmisiones cifrados (si ficheros de Nivel Alto)
• Registro de Incidencias
• Registro de Accesos

Si NO se permite la realización de pruebas con datos reales:

6.4.- Verificar la adecuación y operatividad del proceso de “enmascaramiento” de la identidad de las personas.

6.5.- Analizar los derechos de acceso de las personas que realizan tareas de desarrollo/mantenimiento de aplicaciones sobre los ficheros y bases de datos de producción.

6.6.- Comprobar, mediante muestreo, que los ficheros y bases de datos de pruebas no contienen datos reales de personas identificadas o identificables.

7.- COPIAS DE SEGURIDAD

7.1.- Analizar los procedimientos para la realización de las copias de seguridad.

7.2.- Verificar que los procedimientos aseguran que, de todos los ficheros con datos de carácter personal, se realiza copia al menos una vez cada semana.

7.3.- Comprobar que los procedimientos aseguran la realización de copias de todos aquellos ficheros que han experimentado algún cambio en su contenido.

7.4.- Analizar los controles existentes para la detección de incidencias en la realización de las pruebas.

7.5- Evaluar los controles sobre el acceso físico a las copias de seguridad.

7.6.- Verificar que sólo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes que contienen las copias de seguridad.

7.7.- Comprobar que las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados si estas copias se transportan fuera de las instalaciones.

7.8.- Verificar que las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las procesan.

8.- REGISTRO DE INCIDENCIAS

8.1.-Comprobar que está claramente especificado que tipos de sucesos se consideran incidencia de acuerdo con la definición que del término realiza el Reglamento.

8.2.-Comprobar que los usuarios conocen que tipo de situaciones deben reportar como incidencia.

8.3.-Analizar los procedimientos para la notificación de incidencias, ver que están operativos  y comprobar que son conocidos por todos los usuarios.

8.4.- Analizar los procedimientos para la resolución de incidencias y comprobar que están operativos.

8.5.- Evaluar si los procedimientos seguidos en la práctica se corresponden con aquellos definidos en el Documento de Seguridad.

8.6.- Verificar que la información guardada en el Registro de Incidencias cumple los requisitos establecidos por el Reglamento:

• Tipo de incidencia
• Fecha y hora en que se ha producido
• Persona que realiza la notificación
• Persona a la que se notifica la incidencia
• Efectos derivados de la incidencia
• Procedimientos de recuperación de datos
• Datos restaurados
• Datos grabados manualmente
• Persona que ejecutó el proceso

8.7.- Analizar los procedimientos de inscripción en  el Registro de Incidencias.

8.8.- Analizar los controles de detección de incidencias no inscritas en el Registro.

8.9.-Si el Registro de Incidencias está informatizado, comprobar que se realizan – y guardan- copias de seguridad de él.

9.- CONTROL DE ACCESO FÍSICO A LA SALA

9.1.- Comprobar la existencia, como parte del Documento de Seguridad, de una relación de usuarios con acceso autorizado a la sala.

9.2.- Verificar que la inclusión del personal en la relación anterior es coherente con las funciones que tienen encomendadas.

9.3.- Comprobar que la relación es “lógica” (¿personal de limpieza? ¿vigilantes de seguridad?).

9.4.- Analizar las políticas de la instalación en relación con los accesos ocasionales a la sala.

9.5.- Determinar que personas tienen llaves de acceso, tarjetas, etc. de acceso a la sala y cotejar con la relación del punto 9.1.

10.- REGISTRO DE ACCESOS

10.1.- Verificar que la información incluida en el Registro de Accesos cumple los requisitos del Reglamento:

• Identificación del usuario
• Fecha y hora del acceso
• Fichero accedido
• Tipo de acceso
• Indicación de si el acceso ha sido autorizado o denegado

Si ha sido autorizado:

• Información que identifique el registro accedido

10.2.- Comprobar que están activados los parámetros de activación del Registro para todos los ficheros de Nivel Alto.

10.3.- Analizar los procedimientos de descarga a cinta de este Registro de Accesos y el período de retención de este soporte.

10..4.- Analizar los procedimientos de realización de copias de seguridad del Registro de Accesos y el período de retención de las copias.

10.5.- Verificar la asignación de privilegios que permitan activar/desactivar el Registro de Accesos para uno o más ficheros.

10.6.- Comprobar que el Registro de Accesos se encuentra bajo el control directo del Responsable de Seguridad pertinente.

11.- TRANSMISIONES

11.1.- Analizar los sistemas utilizados para la transmisión de datos (FTP, Editran, E-mail…)

11.2.- Comprobar que todos los ficheros de nivel alto se cifran antes de su transmisión. Para ello, hacer uso de la relación de ficheros cedidos del punto 5.8., y de la relación de ficheros clasificados por niveles del punto 2.4.-.

11.3.- Analizar las normas y controles establecidos acerca de la transmisión por parte de usuarios de ficheros, cartas, e-mails, etc. con información de nivel Alto.