Auditoría de Cumplimiento Global de los Mecanismos de Protección de Datos

En la sociedad actual, la preocupación por la protección de datos personales es cada vez mayor.  Como resultado de las nuevas tecnologías y los medios de comunicación social, una cantidad cada vez mayor de datos personales se procesan en más partes en más lugares. Los países están respondiendo mediante la aplicación de actualización o nuevas leyes de protección de datos y actividades de aplicación cada vez mayor.

Sin embargo, tanto las actividades de contenido y la aplicación de estas regulaciones son muy diferentes, por lo tanto, asegurar el cumplimiento con las regulaciones locales es un desafío para una organización global que actúa en varios países.

La necesidad de auditar el cumplimiento global va en aumento por las siguientes razones:

• Una mayor atención de los reguladores de todo el mundo
• Recurrentes casos de alto perfil en los organismos internacionales
• La necesidad de evitar los riesgos financieros y de reputación derivados de los casos el cumplimiento de

Objetivos Determinar el cumplimiento de enfoque de la auditoría

A nivel mundial las empresas que actúen puede elegir entre los diferentes enfoques para satisfacer las leyes de protección de datos, independientemente del tipo de datos:

• Un enfoque se basa en asegurar el cumplimiento de protección de datos en función de cada país y, en ese sentido global-aunque no muy céntrico impulsada. Esto podría llevar, en este caso, las situaciones aceptables en el que vuelva a ocurrir incidentes en un país en otro debido a una causa similar. El énfasis de este enfoque consiste en comprobar si los requisitos o procedimientos son diseñados e implementados como es requerido por la ley local respectiva. Este enfoque principalmente a dar seguridad sobre el nivel de cumplimiento por cada país durante el periodo que fue auditado.
• Otro enfoque consiste en tener un programa de protección de datos de toda la organización para prevenir, detectar y responder a los errores sistemáticos en todos los países. Ejemplos de errores sistemáticos son fallas repetitivas que incluyen la organización de protección de datos en proyectos de TI,  el uso continuo de los datos personales más allá de la finalidad para la que se recogieron los datos y la tercerización de procesamiento de datos para proveedores de servicios sin revisar el nivel de los proveedores de protección de datos. Este enfoque le dará la garantía de la eficacia del programa en la prevención de incidentes de protección de datos.

Independientemente del método que se elija, es importante entender que ninguna organización puede prevenir por completo los incidentes de protección de datos que se produzcan ya que los individuos siempre se pueden cometer errores, como el envío accidental de un correo electrónico que contiene datos de carácter personal a la persona equivocada o la pérdida de una base de datos transporte (por ejemplo, un bus serie universal [USB] palo o cinta de copia de seguridad). La clave está en evaluar si una organización es eficaz en la reducción de vulnerabilidades sistemática a un nivel aceptable. El nivel de lo que es aceptable para una organización está directamente relacionada con su apetito de riesgo, que a su vez, se fija por la administración, se determinen como parte de una evaluación de riesgos. El nivel de riesgo, el apetito de riesgo y perfil de riesgo de una organización que influyen en la respuesta al riesgo.  En concreto para la protección de datos, el nivel de riesgo, el apetito por el riesgo y el perfil de riesgo se ven influidos por cuatro factores:

1.     Operaciones en un mercado regulado -Todas las operaciones de negocios deben cumplir con las regulaciones relevantes para su mercado, que van desde, por ejemplo, el registro de la empresa con las autoridades locales a obedecer las reglas de cálculo financieras comunicado. Además, algunos mercados (por ejemplo, financieros, cuidado de la salud) son mucho más regulado y están más cerca de ver por las autoridades de los demás. Las organizaciones que operan en mercados altamente regulados son generalmente más preocupados por la reducción de los riesgos de cumplimiento.

2.     Rigor de las leyes en algunos países - Algunas leyes son más estrictas de protección de datos o se aplican con mayor rigor que otros. En Alemania, por ejemplo, hay una estructura fuerte aplicación,  mientras que el riesgo de daños económicos en los EE.UU. como resultado de juicios civiles es relativamente alto. Conocer las posibles consecuencias de las violaciones de protección de datos es necesaria para evaluar el riesgo.

3.     Los datos personales como actividad principal -Si el almacenamiento de datos personales es un negocio de una empresa de base (por ejemplo, la celebración de un recurso humano [HR] de la aplicación), un incidente de protección de datos puede influir en las actitudes de los clientes y la confianza más que si una organización guarda los datos personales como un bien general para apoyar los procesos de negocio (por ejemplo, el mantenimiento de una base de datos del cliente).

4.     Cantidad de datos de carácter personal que se almacena -Los datos más personales que se almacenan los datos más se puede conocer su voluntad (por ejemplo, después de un corte o la pérdida de un soporte de datos). Se observó una correlación directa entre la multa impuesta por un régimen de aplicación y el número de registros personales que están expuestos se ha observado. 

Auditoría de cumplimiento con la Ley

Cuando una empresa ha elegido para garantizar el cumplimiento de protección de datos en función de cada país, el enfoque de la auditoría es verificar si la organización ha implementado los requisitos de las leyes de protección de datos según lo prescrito en los países en que opera in Protección de datos leyes en general, abordar los siguientes temas:

• Principios de calidad de datos, tales como limitación de la finalidad, proporcionalidad y de retención de datos
• Transparencia a los interesados ​​en la recogida y almacenamiento de datos personales
• Derechos sujetos a ser informados y hacer qué y dónde los datos personales se almacenan en una organización
• Rendición de cuentas de terceros que traten los datos personales en nombre de una organización
• Procedimientos de notificación de infracciones de protección de datos

Las actividades de auditoría y las preguntas pueden ser diseñados específicamente para verificar el cumplimiento de estos requisitos para determinar si una organización está siguiendo. Algunas leyes tienen necesidades específicas para los controles que deben estar en su lugar,  tales como la existencia de la clasificación de los datos y las políticas de protección de datos. Para el cumplimiento de las leyes de privacidad y reglamentos europeos, hay materiales disponibles que los auditores integrales ayudan a preparar una auditoría. 

Auditoría de la eficacia de un programa de protección de datos

El objetivo de una auditoría sobre la efectividad del programa de protección de datos para comprender la eficacia de una organización es en el manejo de errores sistemáticos en materia de protección de datos. Pero, ¿qué es un programa de protección de datos? El Instituto de Auditores Internos ha tomado nota de los siguientes aspectos de un programa de protección de datos: 

• Normas y procedimientos -La organización debe establecer normas y procedimientos de cumplimiento que pueden ser seguidas por sus empleados y otros agentes para reducir la posibilidad de una conducta criminal.
• Asignación de responsabilidad a personal de alto nivel -, la organización debe asignar la responsabilidad general de supervisar el cumplimiento de las normas y procedimientos a persona determinada (s) en el personal directivo de la organización.
• De fondo confiable del personal -La organización debe, como requisito de contratación, el debido cuidado de no delegar autoridad discrecional excesiva para las personas que la organización sabe, o debería saber a través del ejercicio de la debida diligencia, tienen una propensión a incurrir en actividades ilícitas.
• Comunicación de los procedimientos , la organización debe comunicar eficazmente sus normas y procedimientos a todos los empleados y otros agentes (por ejemplo, cursos de formación y prácticas).
• La vigilancia del cumplimiento y de auditoría , la organización debe tomar las medidas necesarias para lograr el cumplimiento de sus normas (por ejemplo, vigilancia y notificación).
• Consistente aplicación -La organización debe hacer cumplir las normas de forma coherente por medio de un sistema disciplinario en el que los que violan el código de la organización de la conducta, por ejemplo, las directrices de protección de datos, que se reprenda a manera adecuada en relación con el delito.
• Respuesta adecuada a un delito y la prevención de delitos similares -Después de un delito ha sido detectada, la organización debe tomar todas las medidas razonables para responder apropiadamente a la ofensiva y para prevenir los delitos similares, incluidas las modificaciones necesarias para su programa de prevención y detección de violaciónes la ley.

Evaluar la eficacia de estos elementos es la base de una auditoría en un programa de protección de datos. Aparte de estos elementos, los siguientes también deben ser considerados:

• Evaluación de riesgos , la organización debe hacer un análisis exhaustivo de los requisitos legales frente a los riesgos del negocio. Los resultados del análisis de riesgos se debe utilizar para priorizar los esfuerzos, se derivan los planes de acción y asignar recursos.
• Sola definición -La organización debe utilizar una definición generalmente aceptada y para toda la empresa de "datos personales". Esto es particularmente difícil y crucial en una organización global. Entre los países, hay diferencias culturales en lo que los datos son considerados como personales. Por ejemplo, la información sobre salarios, sexo, grado académico, la religión y el nombre de soltera de la madre tienen distintas sensibilidades de todo el mundo.
• Organización y responsabilidades -La organización debe definir quién es responsable de la administración, aplicación y eficacia, y que las partes interesadas están dentro de la organización.
• Metas a corto y mediano plazo y las tareas -La organización debe asegurar que las personas en la organización de protección de datos entender, realizar y alcanzar sus objetivos y tareas (por ejemplo, protección de datos controles aplicación, el control del grado de conocimiento de los interesados, la prevención de la potencial de incidentes de protección de datos).
• Conjunto básico de controles -La organización debe garantizar la eficacia de la protección de datos de controles a medida que se implementan (o el conjunto mínimo de controles técnicos y de organización como se menciona en las leyes o controles adecuados según lo determinado por la organización en su propia línea de base).

Un programa de protección de datos también debería ayudar a una organización mantener el cumplimiento. Una forma de auditoría de cumplimiento en el futuro es para comprobar si existen puertas de calidad que aseguren que los requisitos de protección de datos se evalúan durante las novedades pertinentes. Por ejemplo, se debe determinar si debe ser obligatorio o voluntario consultas con especialistas en protección de datos en el caso de:

• Los cambios en los modelos de negocio (por ejemplo, un movimiento en el negocio de consumo, diferentes estrategias de marketing)
• Los cambios en la evolución (por ejemplo, transferir los datos a una nube pública, la consolidación del proceso global de RR.HH. en un país)
• Cambios en las leyes bajo las cuales el especialista en protección de datos se iniciará la evaluación de impacto para la empresa

Este conjunto combinado de elementos que permitirán a los auditores para proporcionar una seguridad razonable respecto a la efectividad del programa de protección de datos y la capacidad de la organización para evitar los errores sistemáticos.

Retos generales

Cuando la auditoría de un programa de protección de datos en una organización multinacional, hay algunos problemas generales que son útiles para tener en cuenta:

• Más productos y más físicos son el almacenamiento de datos personales de sus propietarios (por ejemplo, automóviles, equipo médico). La protección de datos personales en los productos físicos no pueden estar en la agenda de la organización de protección de datos. La adición de este al alcance de la auditoría se recomienda.
• Cuando el uso de terceros de procesamiento, la supervisión de la seguridad de terceros de los requisitos de protección de datos puede ser limitada. O no hay conocimiento suficiente de los terceros que traten los datos personales en nombre de una organización, o las actividades de revisión de la calidad del trabajo realizado por parte de terceros no son suficientes. El programa de auditoría debe tener en cuenta la relación contractual entre una organización y un tercero. Puesto que una organización es responsable del rendimiento de la tercera parte, es necesario contar con los medios adecuados para monitorear el desempeño de los terceros, incluyendo los esfuerzos de la tercera parte hacia la protección de datos personales.
• Planificación de recursos empresariales (ERP) (tales como Oracle y SAP) celebran periódicamente los datos personales de diferentes tipos (por ejemplo, los datos del personal, los datos del cliente). Las leyes de protección de datos requieren mayores limitaciones a las posibilidades de los usuarios para acceder a los datos personales fuera de su área de responsabilidad, por ejemplo, un vendedor debe ser capaz de ver los datos del cliente, pero no los datos del personal. Con una competencia específica en la materia en los sistemas ERP disponibles en el equipo de auditoría le permitirá una evaluación adecuada de estos posibles problemas.
• El proceso de auditoría puede ser obstruido por los debates sobre la interpretación jurídica de los requisitos y obligaciones.Estudios jurídicos en el equipo de auditoría le ayudará a facilitar el debate y mejorar la entrega de resultados. Adición de agentes locales, la privacidad para el equipo de auditoría es una opción útil, siempre y cuando no se ponen en una posición en la que tienen que auditar su propio trabajo. Por ejemplo, un oficial de la intimidad de un país puede soportar el equipo de auditoría de un país diferente.
• Auditoría de la eficacia de un programa de protección de datos es muy complicado si un programa estructurado no existe dentro de la organización. Aunque esto pueda parecer trivial, es crucial que el auditado y el auditor tienen la misma comprensión de lo que es un programa eficaz. Tener un programa estructurado para la protección de datos, por lo tanto, un requisito previo para cualquier auditoría que se ha configurado para dar lugar a un dictamen de auditoría.

Conclusión

Auditoría de la eficacia de la protección de datos en una organización multinacional es influenciado por los esfuerzos de la organización para ser aceptado. Una auditoría sobre el cumplimiento de los procedimientos legales se demuestre que una organización ha sido compatible con el período anterior, mientras que una auditoría sobre el programa de protección de datos dará lugar a la garantía de la eficacia de una organización está en la prevención de incidentes de protección de datos del suceso.

COBIT 5, últimas noticias: Más de 600 negocios y Profesionales de TI contribuyeron con 3,000 comentarios al Documento de Diseño en la Exposición Pública

Rolling Meadows, IL, USA (7 Julio 2010)—ISACA, una asociación mundial de más de 86.000 profesionales de TI (Tecnología de la Información) de aseguramiento, de seguridad y de gobierno, recibió casi 3.000 comentarios de más de 600 empresarios y profesionales de TI durante el período de la primera exposición pública del documento del diseño del proyecto de COBIT 5, que será una evolución importante del marco de trabajo COBIT.
"COBIT 5 será una extensión estratégica de la versión existente, proporcionando la siguiente generación de lineamientos ISACA sobre el manejo empresarial de las TI", dijo Derek Oliver, Ph.D., CISA, CISM, FBCS, FISM, co-presidente del Grupo de Trabajo COBIT 5. "Basado en más de 15 años de uso práctico y la utilización de COBIT en empresas de todo el mundo, COBIT 5 se alineará con lo último en cuanto a la gestión y las técnicas de administración de TI se refiere."
Más del 92 por ciento de los encuestados informó que las actualizaciones propuestas para COBIT serían útiles o muy útiles.
"La importancia de la información y la tecnología relacionada es cada vez más reconocida en todos los aspectos de los negocios y la vida pública. Como resultado, la necesidad de dar más valor a las inversiones en TI y administrar un abanico creciente de riesgos en la TI, nunca ha sido mayor ", dijo Dirk Steuperaert, CISA, CGEIT, miembro del equipo de desarrollo COBIT 5. "COBIT 5 proporcionará una guía completa y de fácil navegación para ayudar a las empresas administrar eficazmente sus TI, así como cumplir con el incremento de las obligaciones legales, reglamentarias y contractuales."
COBIT 5 consolidará e integrará los marcos de trabajo COBIT 4.1, Val IT 2.0 y Riesgos de TI, y también sacará del marco de trabajo de aseguramiento de TI de ISACA (siglas en inglés, ITAF) y el Modelo de Negocio para la Información de Seguridad (siglas en inglés, BMIS). Seguirá en línea con los marcos de trabajo y estándares como ITIL, ISO, PMBOK, PRINCE2 y FFIEC.
Cuando se les preguntó qué temas merecen lineamientos adicionales en la próxima versión, los encuestados dijeron que un mayor énfasis en los siguientes temas sería muy valioso:

• Alineamiento estratégico de TI
• Administración de la información
• Medición del rendimiento

"El proceso de desarrollo de colaboración y la contribución de líderes de TI y de negocios de todo el mundo son una parte muy importante de lo que hace a COBIT tan útil y respetado", dijo John Lainhart, CISA, CISM, CGEIT, co-presidente de la Fuerza de Trabajo de COBIT 5. "Esta participación global ayuda a ISACA a elaborar lineamientos reconocidos internacionalmente, que permite a todas las áreas clave de la empresa que han de intervenir en la administración de TI, lo que lleva a una organización más eficaz y eficiente."
Si bien el período de exhibición del diseño se ha cerrado, el proyecto del diseño de COBIT 5 se encuentra disponible en www.isaca.org/cobit5. Otra exposición está prevista para el primer trimestre de 2011 para obtener información pública sobre el contenido que se desarrolló para realizar el diseño.

Acerca de ISACA

Con más de 86,000 miembros en más de 160 países, ISACA^® (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con la TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el ISACA^® Journal, y desarrolla estándares internacionales de auditoría y control de sistemas de información. ISACA administra las certificaciones mundialmente avaladas Certified Information Systems Auditor™ (Auditor Certificado en Sistemas de Información) (CISA^®), el Certified Information Security Manager^® (Gerente Certificado de Seguridad de la Información) (CISM^®) y el Certified in the Governance of Enterprise IT^® (Certificado en Gobierno de Tecnologías de la Información Empresarial) (CGEIT^®).
ISACA desarrolla y actualiza continuamente los marcos referenciales COBIT^®, Val IT™ y Risk IT, los cuales ayudan a los profesionales de TI y líderes empresariales a complementar sus responsabilidades en el gobierno de TI y a entregar valor a sus negocios.

Contacto:

Kristen Kessinger, +1.847.660.5512, kkessinger@isaca.org
Joanne Duffer, +1.847.660.5564, jduffer@isaca.org

Conceptos básicos de seguridad: qué incluir en el plan de seguridad de TI

Con mucha frecuencia, las empresas de tamaño mediano se centran estrictamente en la tecnología y descuidan los pasos necesarios para administrar el entorno de TI en caso de crisis. Si se toma el tiempo para entender los procesos, procedimientos y flujos de trabajo de la empresa, estará en mejor situación para proporcionar la seguridad de TI que la organización necesita.

En resumen:

•	Lleve a cabo una exhaustiva valoración de los activos, procesos, flujos de trabajo y funciones de la empresa.
•	Establezca prioridades entre los activos y encuentre las soluciones y directivas de seguridad más adecuadas a cada nivel de riesgo.
•	Intente conseguir comentarios del personal y desarrolle un enfoque común.

Del mismo modo que las amenazas de seguridad difieren entre las organizaciones, deben distinguirse las estrategias. Una empresa que lleva a cabo todos sus negocios en línea o cuenta con un alto porcentaje de trabajadores móviles, tendrá necesidades de seguridad distintas a las de una cadena, por ejemplo. La cultura empresarial también puede dictar el modo en que se implementan las soluciones de seguridad.

Un análisis exhaustivo y franco, que se ajuste a su plan de negocio, puede ayudarle a asentar las bases de una estrategia de seguridad efectiva y rentable.

Sus necesidades, por supuesto, dependerán de su negocio. La pérdida de mensajes de correo electrónico importantes puede poner en peligro el trabajo de un gabinete jurídico y minar las relaciones con sus clientes, por ejemplo; para una empresa de asistencia sanitaria, la exposición de uno solo de los historiales médicos puede traer mala prensa y acarrear a graves multas según la normativa regional o nacional. Es importante reconocer el nivel de riesgo aceptable para la empresa, lo que fuerza a identificar sus áreas fundamentales.

Identificar activos físicos

El primer paso, y puede que el más sencillo, del análisis de seguridad es la identificación de los activos de TI de la empresa, entre los que se incluyen activos físicos como equipos y dispositivos de almacenamiento portátiles. Una vez que sepa qué debe proteger, podrá recomendar las soluciones y procesos adecuados, como la configuración de sistemas y redes, la administración de revisiones y las rutas de actualización de software y hardware.

Valorar los procesos empresariales

Lo siguiente será analizar los procesos empresariales con la seguridad en mente. "Una organización debe saber dónde se conserva su información, cómo la almacena el personal, y cómo se intercambia interna y externamente", comenta Michael Cobb, director administrativo de Cobweb Applications Ltd., una consultora con sede en Surrey, Inglaterra, y MPV (Most Valuable Professional) de Microsoft. Por ejemplo, el personal debe emplear aplicaciones con poca seguridad, como la mensajería instantánea, para intercambiar archivos con otras personas dentro y fuera de la empresa, o pueden almacenar datos privados en equipos portátiles sin cifrarlos. Tales actividades exigen nuevas directivas del departamento de TI, de modo que el personal no comprometa sin darse cuenta la información confidencial de la empresa.

Una valoración honesta de los procesos fundamentales, con comentarios de equipos con varias funciones, ayuda a identificar las debilidades y fallos potenciales. Puede que, al revisar el procedimiento de despido de la empresa, descubra que no existe un mecanismo para garantizar que un directivo o el director de recursos humanos envíe formularios para revocar el acceso al sistema y los privilegios de correo electrónico. Si hace obligatorio este procedimiento y crea el flujo de trabajo adecuado, será posible eliminar días, semanas o meses de acceso no autorizado.

Clasificar las necesidades de seguridad según su importancia

Después de finalizar el análisis de los procesos empresariales y efectuar los cambios necesarios, llega el momento de establecer prioridades entre las necesidades de seguridad. Un sistema básico de clasificación numérica del 1 al 3 (bajo, medio y alto) debería marcar el punto de partida para determinar los sistemas y activos más importantes. Califique el impacto de los acontecimientos derivados de una infracción de seguridad (como el tiempo de inactividad de la red o lso costes financieros) en una escala de tres puntos. La matriz resultante debería ofrecer una visión de qué es prioritario.

Más maneras de desarrollar un plan que marque la diferencia

•	Céntrese en los acontecimientos, no en el calendario. Aunque normalmente es aconsejable desarrollar un plan detallado para la seguridad de TI para uno, dos o cinco años, hay que tener en cuenta que las necesidades de seguridad cambian continuamente. "Constantemente emergen nuevas tecnologías y nuevas amenazas", apunta Cobb. Por tanto, debe centrarse en las directivas y procedimientos que maximizan la flexibilidad y la responsabilidad, y revisar el plan regularmente.
•	Defina las responsabilidades de seguridad dentro de la organización. Debe incluirlas en las descripciones de los puestos para convertir la administración de la seguridad en una realidad. Por ejemplo, un administrador de ventas puede tener que llevar un PC portátil con registros sobre clientes u otra información confidencial. Ese individuo debería ser responsable de la protección de esos datos, mediante su cifrado, autenticación u otros métodos.
•	Diseñe una serie de pasos que deban seguirse durante un incidente de seguridad. Este hecho puede ayudar a evitar que cunda el pánico entre el personal. Después de cualquier incidente, concierte una reunión con los directivos y con los miembros clave del equipo de seguridad para hablar de lo que funcionó y lo que no.
•	Busque la solución adecuada para cada riesgo. Céntrese primero en las áreas con mayor riesgo empresarial. Para una institución financiera, por ejemplo, las herramientas que exploran los datos salientes para ciertas cadenas numéricas, como los números de cuenta o de la Seguridad Social, podrían encabezar la lista. Para el funcionamiento de un centro de llamadas, las aplicaciones que bloquean los archivos adjuntos a los correos electrónicos entrantes pueden evitar que el malware cierre operaciones decisivas.
•	Desarrolle un enfoque de seguridad flexible a la vez que aplicable. Esto quiere decir que cualquier directiva y tecnología no debería influir de forma negativa en la productividad. Por ejemplo, puede que deba permitir que ciertos empleados usen dispositivos de memoria flash portátiles, lo que acarrea un riesgo de seguridad. El departamento de TI debe garantizar que esos empleados cuentan con acceso sólo a la información correspondiente a su puesto de trabajo, según la definición de sus jefes. Alcanzar el equilibrio entre la practicidad y la seguridad es un asunto delicado, especialmente a medida que la empresa crece y su infraestructura de TI se hace más compleja. Las tecnologías como Microsoft Windows Server 2003 Active Directory pueden ayudar a administrar las funciones y responsabilidades.
•	Finalmente, controle los sistemas y archivos de registro con regularidad. Esto ayuda a identificar problemas potenciales y a responder a los cambios rápida y eficientemente.

Aunque no existe una forma sencilla de abordar los problemas de seguridad en el entorno empresarial de hoy en día, un proceso de valoración exhaustiva y los planes de seguridad alineados con el negocio constituyen la mejor forma de reducir el riesgo. "Las prácticas de seguridad sólidas nunca son un accidente", concluye Cobb. "Son el resultado de un análisis cuidadoso y atento, e involucran cada recodo de la organización".