Para una adecuada lectura de este documento deben tenerse en cuenta dos advertencias:

1. Este post se limita de forma exclusiva a la auditoría del cumplimiento de las medidas de seguridad establecida en los artículos 96 y 110, por lo que no se contempla en la realización de este proceso aspecto alguno que no esté relacionado con la valoración del funcionamiento de las medidas de seguridad descritas en el Título VIII del R.D. 1720/2007.
2. Este post no pretende establecer los criterios o técnicas a emplear. Simplemente describe la importancia y necesidad del proceso de auditoría, su finalidad y qué es entendido pudieran ser buenas prácticas en la realización de estas actividades.

¿Qué es una auditoría de sistemas de información?

La auditoría de sistemas de información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias. Las actividades, procesos, tareas requieren de una revisión periódica para evaluar su funcionamiento y realizar los ajustes que sean necesarios. Las medidas de seguridad establecidas por el R.D. 1720/2007 establecen y determinan una serie de actividades periódicas que la organización debe realizar para garantizar la adecuada protección de la información de carácter personal que es procesada. Estos mecanismos de protección definidos por los procedimientos obligatorios deben estar documentados y forman parte del contenido del Documento de seguridad establecido por el Art. 88 del R.D. 1720/2007.

Para entender este extremo emplearemos un símil ilustrativo. El mantenimiento y la revisión de todo vehículo requiere, una vez se alcanza ciertos años de funcionamiento, de una revisión periódica cada dos años realizada por la Inspección Técnica de Vehículos (ITV). Estos organismos de revisión realizan una serie de chequeos, comprobaciones y pruebas sobre diferentes elementos del coche con el objetivo de garantizar que está en las mínimas condiciones necesarias para seguir en circulación.  Este ejemplo sirve perfectamente para ilustrar la misión del proceso de auditoría ya que el proceso de revisión realizado en la ITV es una revisión sobre el funcionamiento del vehículo que tiene por objetivo establecer si el coche es apto, no apto o apto con deficiencias a subsanar como resultado de la información obtenida durante la batería de pruebas realizadas. Esta actividad de revisión es una auditoría formalizada y normalizada que comprueba de forma exhaustiva todos los elementos básicos del vehículo y determina el grado de confianza que el dueño del vehículo puede otorgar al mismo en relación a su seguridad y correcto funcionamiento.

De igual forma, la auditoría de sistemas de información es un proceso metódico de revisión que pretende conocer la eficacia y fiabilidad de los controles o mecanismos de seguridad instalados para evitar o reducir los riesgos que pudieran afectar al buen funcionamiento de los sistemas de información o alterar su seguridad.

¿Por qué es necesaria la auditoría de las medidas de seguridad del R.D. 1720/2007?

El R.D. 1720/2007 introduce en los artículos 97 y 100 da necesidad de auditar el “TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL” del R.D. 1720/2007. Esta obligación queda establecida para los ficheros de datos de carácter personal que tienen que garantizar el cumplimiento de las medidas de nivel medio o alto. Conviene recordar que las medidas de seguridad establecidas por el Título VIII del Reglamento determinan los MINIMOS a garantizar. Ello quiere decir que la auditoría perfectamente puede ser planteada para ser realizada sobre ficheros de nivel básico si la Organización considera adecuado la ejecución de este proceso interno de revisión. Además, es necesario destacar que la auditoría aparece como una de las medidas de seguridad más del citado Titulo VIII. ¿Por qué es la auditoría una medida de seguridad? La respuesta es sencilla dado que este proceso de inspección y revisión permite detectar deficiencias antes de que éstas se produzcan. También la auditoría puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo de ajuste que detecta el deterioro en la efectividad o rendimiento de las medidas de seguridad y asegura que el nivel de protección deseado se sigue garantizando.

¿Qué finalidad debe perseguir una buena auditoría de las medidas de seguridad del R.D. 1720/2007?

Tal como hemos comentado hasta este punto, la misión el proceso de auditoría es la búsqueda de todas aquellas deficiencias que pudieran suponer un problema real o potencial antes de que este se produzca. Por tanto, la auditoría es en sí misma una medida de seguridad de carácter preventivo que intenta evitar los daños antes de que éstos sucedan. También el proceso de revisión puede servir para introducir mejoras o indicar aquellos puntos que aun garantizando el cumplimiento de las medidas empieza a disminuir en su eficacia.

Una buena auditoría debe suponer una revisión profunda y exhaustiva del funcionamiento de las medidas de seguridad que protegen los tratamientos de datos de carácter personal. Cuando mayor sea el trabajo de campo empleado en la revisión, más confianza podrá depositar la Organización en el correcto funcionamiento de las cosas, confirmado éste punto por los resultados obtenidos de la propia auditoría.

El auditor tiene como misión principal emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.

El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información de carácter personal que es tratada, almacenada o transmitida por la Organización.