Una Inversión en Protección de Activos

Transcripción

1 DERECHO A LA INTIMIDAD Le ayudamos a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas SEGURIDAD DE LA INFORMACION Auditoria Bienal LOPD Una Inversión en Protección de Activos J2M Consultores Informáticos, S.L.L.

2 INTRODUCCION Al amparo del derecho a la privacidad recogido en el artículo 18 de la constitución española, surge la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD 15/1999) que sustituye y amplía la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de Datos), dictada con el objeto de garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, su honor e intimidad personal y familiar. La diferencia fundamental con respecto a la LORTAD es que la LOPD es aplicable tanto a los ficheros automatizados como a los no automatizados, mientras que la antigua LORTAD sólo era aplicable a los ficheros automatizados. La LOPD genera además una relación de medidas técnicas concretas, que se recogen en el Reglamento de Desarrollo de la LOPD, de obligado cumplimiento para todas aquellas empresas que posean ficheros de datos de carácter personal, lo que hace que sea aplicable prácticamente a la totalidad de las mismas. El Reglamento obliga a dichas empresas a establecer unas medidas organizativas y técnicas concretas encaminadas a garantizar el correcto tratamiento de los datos. En concreto, el Artículo 96. Auditoria, de dicho Reglamento especifica lo siguiente: A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente Título. Con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoria inicia el cómputo de dos años señalado en el párrafo anterior. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. Los informes de auditoria serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas. 2

3 OBJETIVOS Y ALCANCE Los objetivos del presente proyecto son los siguientes: Comprobar la adecuación de las medidas, los procedimientos y controles de seguridad establecidos por el cliente, al Reglamento de Desarrollo e instrucciones vigentes en materia de seguridad de datos, y así disponer del documento de obligado mantenimiento en los artículos 96 y 110 del RD: INFORME DE AUDITORIA BIENAL Comprobar la adecuación de las medidas, implantadas por el cliente, a las obligaciones formales descritas en la L.O.P.D., para establecer los riesgos de infracción que pueden presentarse. Alcance Principal La auditoría se realizará exclusivamente en el centro principal de operaciones, siendo el mismo el reflejo de las prácticas establecidas en los demás centros de la organización. Del mismo modo, la documentación estudiada será limitada a los documentos genéricos utilizados en toda la organización. Como medida adicional, se realizarán visitas a otro centro para corroborar los aspectos mas importantes, y cubrir aspectos específicos de ciertos departamentos. Redacción de cláusulas para formularios, circulares y contratos J2M Consultores proporcionará a su cliente las cláusulas para sus formularios de recogida de datos, circulares y contratos con terceros acorde con las disposiciones de la LOPD cada vez que éste lo solicite y para todos los casos que se puedan presentar. 2M ofrece a sus cliente una gama completa de servicios que permiten cubrir todos los aspectos fundamentales de la Protección de Datos en todas las empresas. FASES DE LA AUDITORIA J2M Consultores 3

4 METODOLOGIA DE TRABAJO Alcance Nuestra experiencia indica que el lanzamiento de un proyecto de este tipo y tamaño determina la calidad futura de los resultados del mismo y, por tanto, consideramos de gran importancia un análisis de expectativas que cubran los objetivos estratégicos y que identifiquen los indicadores de éxito, así como los responsables de estas evaluaciones, ya que éstos actúan, en último caso, como directores del seguimiento de las tareas de este estudio. Definición de interlocutores El objetivo es implicar a los principales protagonistas y afectados por el proyecto en los objetivos y requerimientos del mismo. Buscar su complicidad e incorporar sus sugerencias y criterios de intervención. La primera actividad a realizar es una reunión de presentación del proyecto a los coordinadores, en la que se presentarán todas aquellas cuestiones relativas al Plan de Trabajo, calendario, planificación, participantes, interlocutores, reuniones, Planning de entrevistas El objetivo es planificar las diferentes actividades y estimar el tiempo necesario para realizarlas, teniendo en cuenta la disponibilidad de las personas que pertenecen al cliente. A - Auditoria Legal: La auditoria Bienal de protección de datos es una actividad que implica la revisión de las medidas de seguridad establecidas en la organización, lo cual queda cubierto por la auditoría RD. En paralelo queda la necesidad de realizar una auditoria LOPD para comprobar el cumplimiento de las obligaciones formales para el tratamiento en materia de protección de datos, lo cual implica que el resto de cuestiones legales del responsable y del encargado del tratamiento sean analizados en la auditoría LOPD. Las medidas a analizar serán: Tratamiento que se realizan en la organización de los ficheros de carácter personal Correcta declaración de inscripción y/o modificación de los tratamientos ante el RGPD Comunicaciones dirigidas a los afectados para garantizar el cumplimiento de la Ley respecto al tratamiento de sus datos. Contratos íntegros suscritos para la externalización de tratamiento, adquisición y venta de información Procedimientos establecidos para garantizar los derechos de acceso, Rectificación, cancelación y oposición de datos. 4

5 B Auditoria Técnica: Verificación del cumplimiento en los sistemas de información y instalaciones de tratamiento de datos. Adecuación de los PROCEDIMIENTOS de notificación, gestión y respuesta ante incidencia; de realización de copia de seguridad y recuperación de datos; de las medidas de seguridad aplicables a los ficheros y tratamientos NO automatizados; de identificación para el acceso de los usuarios; de asignación, distribución y almacenamiento de contraseñas. Adecuación de los CONTROLES de acceso de los usuarios a los datos y recursos que precisan para el desarrollo de sus funciones; periódicos para verificar el cumplimiento de los dispuesto en el documento de seguridad; de la existencia y cumplimiento de las medidas definidas en el documento de seguridad; dictamen del informe de Auditoría para comprobar la existencia de los controles de cumplimiento del reglamento; de acceso físico a los locales donde se encuentren ubicados los sistemas de información; del responsable de seguridad sobre los mecanismos que permiten el registro lógico de acceso a datos nivel ALTO. Adecuación de las MEDIDAS GENERALES Acceso a través de redes de comunicaciones Ejecución de tratamiento de datos personales fuera de los locales de la ubicación del fichero Ficheros Temporales,. NIVEL BASICO Documento de seguridad Funciones del personal Obligaciones del personal Deber de secreto Identificación y autenticación Registro de incidencia Gestión de soportes Copia de respaldo y recuperación Autorización del responsable del tratamiento NIVEL MEDIO Nombramiento de un responsable de seguridad Realización de la auditoria Bienal Adopción de las medidas correctoras Pruebas con datos reales Autorización del responsable del tratamiento Refuerzo de los requerimiento de seguridad para los ficheros de Nivel Medio NIVEL ALTO Distribución de soportes Registro de accesos Telecomunicaciones J2M Consultores Informáticos, S.L.L. 5

6 C - Métodos utilizados Realización de entrevistas Las entrevistas se realizarán a las siguientes personas involucradas mediante formularios previamente adaptados: Responsable de Seguridad Responsable del tratamiento de la información Administrador/es del sistema Usuarios Revisión de las medidas Contraste in-situ de las entrevistas obtenidas en las manifestaciones de los entrevistados. Documentos para Análisis Además de las entrevistas, es imprescindible que sean entregados al auditor todos aquellos documentos en que constan datos susceptibles de ser empleados por éste, para comprobar tanto las manifestaciones realizadas por las personas durante las entrevistas, como los hechos y observaciones de lo que el propio auditor tiene conocimiento. El método de trabajo que se lleva a cabo durante la fase de análisis sigue la normativa internacional ISO 17799, que surge como la norma técnica de seguridad de la información reconocida a nivel mundial y que toda organización puede aplicar independientemente de su tamaño o sector. 6

7 Los resultados que se obtendrán serán los siguientes: Entrega del Informe de Auditoria, según exigencias legales, dependiendo del nivel de seguridad de los datos, y adaptado a las necesidades de la empresa. Adecuación de las medidas y controles al RD Identificación de las deficiencias Propuesta de medidas correctoras Riesgos y Sanciones Entrega del Informe Legal Complementario, en el que se expone los incumplimientos, y los riesgos de infracción que puede presentarse en materia de protección de datos al margen de las medidas de seguridad Documentación revisada Legislación utilizada Análisis Legal Conclusiones Propuesta de contenidos recomendados J2M Consultores Informáticos, S.L.L. 7

8 CERTIFICADO Y SELLO Junto con el Servicio de Mantenimiento Anual, y siempre y cuando la empresa cumpla con todos los requisitos del Reglamento, J2M Consultores emitirá el correspondiente Certificado de cumplimiento. El Certificado de cumplimiento de la LOPD, permite asegurar a sus clientes que su empresa se adapta a los requisitos de la Ley en todos los aspectos (Legales, Organizativos y Técnicos), y da un valor añadido de importancia. J2M Consultores Informáticos, S.L.L. 8

9 El equipo de trabajo del que se compone J2M Consultores, tiene una experiencia consolidada en este tipo de proyectos, prueba de ello son los proyectos realizados en diversos sectores, como por ejemplo: Telecomunicaciones Salud Automoción Marketing directo Gran consumo Nuevas tecnologías Riesgos Laborales Administración pública Seguros y broker de seguros SEGURIDAD DE LA INFORMACION: Adaptaciones y Asesoramiento Mantenimiento Anual Auditoria Bienal Certificaciones J2M Consultores Informáticos S.L.L Telf: Cataluña - Madrid - Levante - Galicia E_Mail: Info@j2mconsultores.com 9