| La realización de la Auditoría será también obligatoria en el caso de cambios en los sistemas de información que pueden afectar a las medidas ya implantadas, iniciando en ese caso el cómputo de dos años.
Dicha auditoría, que puede ser realizada de forma interna o externa, deberá finalizar en la emisión de un Informe, dictaminando la adecuación de las medidas y controles implantados a la Ley y su desarrollo reglamentario, y en su caso identificando las deficiencias y proponiendo las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el Responsable de Seguridad, que elevará las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas y en todo caso, el informe quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las Comunidades Autónomas.
Es recomendable que el Responsable de Seguridad preparare un Programa de Auditoría de Seguridad, donde se especifique expresamente:
• Los ficheros previamente inscritos en el RGPD
• Las fechas propuestas para la realización de las auditorías.
• Los auditores internos designados o en su caso, la empresa externa Auditora.
• Los documentos necesarios para su revisión.
• Departamento y persona de contacto a entrevistar.
Una vez terminado el programa de la Auditoria, el Responsable de Seguridad, deberá remitir una copia a la Dirección de la empresa, con objeto de ponerlo en su conocimiento y obtener su aprobación.
El equipo auditor, con la colaboración del Responsable de Seguridad, así como otros responsables involucrados, revisará la documentación necesaria para llevar a cabo la auditoría.
Entre otros documentos se revisarán los siguientes:
• Documento de Seguridad vigente
• Histórico de notificaciones, con las respectivas copias de las altas, modificaciones y cancelaciones de ficheros ante el RGPD.
• Mapa de sistemas de la empresa
• Relación de aplicaciones utilizadas en el sistema informático de la empresa
• Organigrama con indicación de los departamentos de la empresa y sus responsables
• Auditorías anteriores
• Informes de controles periódicos de verificación efectuados
Tras la revisión de la documentación aplicable, los auditores prepararán una lista de comprobación en la que relacionen los aspectos a verificar durante la auditoría.
La Auditoría se llevará a cabo durante las fechas previstas en el calendario de trabajo propuesto, y las verificaciones a efectuar durante la misma serán en general.
Una vez finalizada la Auditoría, los auditores se reunirán con el / los responsables con el objeto de exponer las desviaciones detectadas y proponer las medidas correctoras para su resolución. Finalmente se emitirá un informe por parte del Auditor.
El auditor, firmará el informe emitido y lo remitirá a la Dirección de la Empresa, así como al Responsable de Seguridad, el cual procederá a distribuirlo entre las áreas implicadas de la empresa para su revisión y análisis, archivando el original del mismo para realizar el seguimiento de las incidencias derivadas.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com |
Article Details
