Auditoría de TI

La auditoría de privacidad de datos

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por: CP Iván Rodríguez. Colaborador de Auditool.

En la actual era digital, uno de los temas que se ha convertido en una preocupación para la alta dirección de las organizaciones y, por supuesto, para los auditores, es la privacidad de datos.

En primer lugar, las personas tienen derecho a conocer la información personal que se comparte y cómo se utiliza, lo cual incluye desde datos básicos como nombres y direcciones, hasta información más sensible y confidencial como el historial médico o datos financieros. Sin embargo, esta privacidad se ve amenazada por diversas prácticas, que incluyen la recopilación masiva de información por parte de ciertas empresas y gobiernos, el rastreo en línea (muchas veces imperceptible) a través de cookies y programas diseñados para tal efecto, entre otros, lo cual puede dar lugar a problemas como el robo de identidad, su uso inapropiado, el perfilamiento de usuarios o la identificación de comportamientos.

En ese entorno, diferentes agentes entre los que se encuentran los gobiernos y las asociaciones gremiales han adoptado mecanismos de protección de datos como leyes y regulaciones claras y exigen el empleo de tecnologías de seguridad robustas para mitigar los riesgos. Adicionalmente, al interior de las organizaciones se ha buscado que los individuos (al interior y exterior de estas) sean conscientes de sus derechos y, en ese sentido, se busca que empleen medidas tendientes a proteger su información personal, como utilizar contraseñas seguras, revisar la configuración de privacidad en sus dispositivos y aplicaciones, y ser selectivos al compartir información en línea.

Los auditores, mediante su actuar profesional, tienen la posibilidad de abordar este tema al ejecutar auditorías de privacidad de datos; así evalúan si las organizaciones están cumpliendo con sus obligaciones normativas y mantienen buenas prácticas de manejo de datos, lo que conduce a obtener la confianza y respaldo de sus clientes al contar con una buena gestión de datos, lo cual es fundamental en la estrategia empresarial.

A continuación, se presentan algunas consideraciones, basadas en la página Information Age, que deben tenerse en cuenta al momento de realizar una auditoría de privacidad de datos:

Definir un propósito y un alcance claros

Como en cualquier trabajo de auditoría, es necesario determinar con claridad el propósito y el alcance de esta. Acá es útil buscar la participación proactiva de las partes interesadas en torno a la importancia de la privacidad de los datos.

Determinar un criterio y una metodología

Otro paso habitual en el trabajo de auditoría es determinar el criterio y la metodología que va a emplearse. Para el caso de la privacidad de datos, podría emplearse una norma como la ISO 27701 o alguna equivalente, también podría crearse un plan de auditoría a la medida a partir de los requisitos establecidos en documentos tales como políticas o procedimientos ya definidos. Una vez determinados los criterios de auditoría, las firmas pueden tener más claridad acerca de la evidencia que deben revisar y recopilar.

Realizar un inventario de datos

Es importante conocer los datos que posee la organización, dónde se almacenan y para qué son utilizados. Para ello, se deben buscar respuestas a las siguientes inquietudes:

  • ¿Existe un inventario completo de todos los datos personales que la organización recopila, procesa o almacena?
  • ¿Se incluyen todos los tipos de datos personales, como nombres, direcciones, números de identificación, información financiera u otros?

También, es importante establecer de dónde se obtuvieron los datos. Esto facilita averiguar qué derechos tiene la organización sobre ellos, cómo se procesan y almacenan y cómo se descartan cuando ya no se usan. Merece especial atención saber si los datos se comparten con otras organizaciones y qué acuerdos de confidencialidad se manejan con ellas.

Enfocarse en el consentimiento

Cuando una organización maneja datos de terceros, es indispensable obtener el consentimiento respectivo (aunque no sea lo único). Es necesario contar con mecanismos de consentimiento claros que les permitan a los usuarios comprender y controlar exactamente qué datos se recopilan y cómo se controlan. En ciertas jurisdicciones, debe demostrarse para qué se obtienen y procesan los datos, así como evidenciar los mecanismos de obtención del consentimiento de los clientes para el uso de sus datos.

La organización debería poder responder las siguientes preguntas:

  • ¿La organización obtiene el consentimiento explícito de los individuos para recopilar, procesar y almacenar sus datos personales?
  • ¿La organización proporciona a los individuos información clara y comprensible sobre cómo se utilizan sus datos personales?
  • ¿Se implementan medidas de seguridad adecuadas para proteger los datos personales contra accesos no autorizados, divulgación, alteración o destrucción?
  • ¿Se cifran los datos personales cuando sea necesario?

Documentar

Al igual que en cualquier proceso de auditoría, es necesario asegurarse de que las organizaciones hayan documentado apropiadamente el manejo de los datos. Esto facilita comprobar su manejo adecuado. Ciertas normas sobre privacidad de datos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, requieren de un cumplimiento verificable sobre la privacidad de los datos.

Gestionar incidentes

No obstante, así se implementen y adopten diversas medidas en la organización, siempre existe la posibilidad de incurrir en fallas o incumplimientos normativos respecto de la privacidad de los datos. Para estos casos, el auditor debería obtener respuestas a los siguientes interrogantes:

  • ¿La organización tiene un plan de respuesta a incidentes para abordar posibles violaciones de datos personales?
  • ¿Se realizan evaluaciones periódicas de riesgos de seguridad de datos para identificar posibles vulnerabilidades?

De este modo, teniendo todas estas medidas en cuenta, los auditores estarán mejor preparados al momento de enfrentarse a una auditoría sobre privacidad de datos.

 

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado