El auditor de seguridad informática comprueba que las medidas de seguridad y control de los sistemas informáticos se adecuan a la normativa que se ha desarrollado para la protección de los datos; identifica las deficiencias, y propone medidas correctoras o complementarias.
De las diferentes tareas que desarrolla el auditor de seguridad informática y protección de datos personales, se pueden distinguir dos principales: la verificación del sistema de protección de datos, a través de los procedimientos utilizados para manipularlas, y la verificación de la seguridad de los sistemas lógicos (software) y físicos (hardware, equipos, local).
Es de saber que la seguridad en los centros de informática son de vital importancia para la organización. y el buen uso de los equipos de información donde se debe puntualizar cada detalle par su buen rendimiento u seguridad de la organización.
Teniendo en cuanta y verificando lo legal y lo laboral.
- Verifica el cumplimiento de la legislación aplicable al ámbito informático, en lo referente a protección de datos personales, de correo electrónico, de los proveedores de servicios de certificación.
- Verifica que se han realizado y se aplican correctamente los procedimientos que requiere el sistema de protección de datos que solicita la normativa.
- Comprueba que se han notificado los ficheros que se tengan a la Agencia de Protección de Datos.
- Verifica la asignación del nivel de seguridad del sistema de información en relación con los datos que almacena.
- Comprueba que se ha elaborado e implantado el documento de seguridad. La normativa establece que las normas de seguridad (como, por ejemplo, las peticiones de acceso, rectificación o cancelación de datos) deben estar dentro de este documento.
- Verifica que se obtiene el consentimiento de la persona que cede los datos. Se ha de informar y pedir permiso a las personas que ceden los datos a la empresa.
- Comprueba que se hace la comunicación de los datos a terceros. Se regula cómo se pueden ceder los datos que se tienen a terceras personas (físicas o jurídicas).
- Verifica que se hace el mantenimiento del registro de incidencias producidas con el sistema de información de la empresa. Por ejemplo, controla si una persona pide que se la borre de la base de datos, si solicita consultar sus datos o los quiere modificar.
- Verifica la seguridad de los datos. El auditor comprueba que el sistema de información que ha organizado la empresa garantiza la seguridad e integridad de los datos y, en particular, verifica que no se puedan alterar, perder, tratar o realizar accesos no autorizados a ellos. Para llevar a cabo esta tarea:
- Analiza el tipo de sistema que se utiliza red, servidores, ordenadores personales, .
- Comprueba la seguridad de las conexiones remotas al sistema. Si se hace por una red de comunicaciones, el acceso de los datos debe garantizar un nivel equivalente a los accesos en modo local.
- Comprueba que las medidas de seguridad asociadas a cada nivel de seguridad de los ficheros son las adecuadas y cumplen las funciones previstas, como por ejemplo:
- El procedimiento de asignación de contraseñas al personal autorizado a trabajar con el sistema.
- El control de accesos a los datos de las personas de la organización en función de lo que se ha definido en el documento de seguridad.
- La gestión de los soportes informáticos como cintas, discos, CD, cintas DAT, con los que se guarda la información a mano.
- El sistema de copias de seguridad y recuperación de datos. Se ha de garantizar la recuperación de los datos en caso de que haya alguna incidencia con el sistema de información.
- El sistema de registros que se requiere está en función de nivel de seguridad.
- Contrasta la situación de la empresa auditada con la jurisprudencia de las sanciones aplicadas por las Agencias de Protección de Datos.
No hay comentarios:
Publicar un comentario