Auditoría de TI

El auditor y la privacidad de los datos

Detalles

Por: CP Iván Rodríguez. Colaborador de Auditool.

Un auditor, en cumplimiento de sus labores habituales, es la persona responsable de evaluar y verificar la seguridad y el manejo adecuado de los datos en una organización. En particular, debe revisar los sistemas, políticas y procesos para garantizar que se cumplan los estándares de privacidad y protección de datos establecidos. La importancia radica en que es necesaria la protección de la información personal y sensible de las personas, asegurando que solo se utilice de acuerdo con las leyes y regulaciones aplicables y con el consentimiento del individuo. La privacidad de los datos es un aspecto fundamental en la sociedad actual, especialmente con el aumento de la digitalización y la recopilación masiva de información personal.

Ahora, cuando se trata de auditar la privacidad de los datos, el auditor debe examinar las políticas y procedimientos implementados por una organización para garantizar que se estén tomando las medidas adecuadas para proteger la información personal. Esto puede incluir revisar los controles de acceso, la gestión de contraseñas, la seguridad de la red, las políticas de retención de datos, el cifrado de datos y el cumplimiento de leyes y regulaciones de privacidad (un ejemplo es el Reglamento General de Protección de Datos - RGPD en la Unión Europea).

El auditor también puede evaluar si la organización ha obtenido el consentimiento adecuado de las personas para recopilar y utilizar su información personal, así como si se están proporcionando las divulgaciones y notificaciones requeridas. Además, puede revisar la manera en que se manejan las solicitudes de los individuos para ejercer sus derechos de privacidad, como el derecho al acceso, rectificación y eliminación de sus datos personales.

En virtud de la relevancia que ha adquirido la privacidad de la información en la actual era digital, puesto que los datos personales y sensibles están expuestos a diversas amenazas, a continuación, se presentan algunas medidas que deben ser consideradas por las organizaciones y conocidas por los auditores para tener en cuenta en sus evaluaciones y recomendaciones.

  • Contraseñas seguras: se deben utilizar contraseñas únicas y robustas para las cuentas en línea. Las contraseñas deben considerar, mínimo, ser largas, contener una combinación de letras, números y símbolos, y evitar el uso de información personal obvia.
  • Autenticación de dos factores: es conveniente habilitar la autenticación de dos factores siempre que sea posible. Esta capa adicional de seguridad requiere un segundo factor de verificación, como un código enviado a un teléfono móvil u otro dispositivo, para acceder a las cuentas, archivos y registros.
  • Actualizaciones: deben mantenerse actualizados los sistemas operativos, aplicaciones y dispositivos. Las actualizaciones a menudo incluyen parches de seguridad para protegerse frente a nuevas vulnerabilidades.
  • Redes Wi-Fi seguras: hay que utilizar redes Wi-Fi seguras y evitar conectarse a redes abiertas o no confiables. Siempre que sea posible, deben utilizase conexiones cifradas mediante WPA2 o WPA3[1].
  • Navegación segura: utilizar conexiones seguras (HTTPS) al navegar por sitios web y evitar proporcionar información personal en sitios no seguros.
  • Protección antivirus y antimalware: los dispositivos deben tener instalados programas antivirus confiables y actualizados para protegerse frente al malware, spyware y otros tipos de amenazas.
  • Control de privacidad en redes sociales: revisar y ajustar regularmente las configuraciones de privacidad en las redes sociales para controlar quién puede ver cierto tipo de información y limitar la recopilación de datos.
  • Respaldo y encriptación de datos: hacer copias periódicas de seguridad de los datos importantes y considerar utilizar herramientas de encriptación para proteger la confidencialidad de ciertos archivos y datos.
  • Educación y conciencia: hay que capacitar al personal sobre las últimas amenazas y prácticas de seguridad. Deben aprender a identificar señales de phishing, correos electrónicos sospechosos y otras técnicas utilizadas por los ciberdelincuentes. También debe haber capacitación sobre los riesgos y precauciones al compartir información en línea y con quién se comparte.

Además de las anteriores medidas que contribuyen a garantizar la seguridad la y confidencialidad de la información, es conveniente que las organizaciones adopten una serie de medidas operativas y administrativas en relación con la información y los datos que procesan y almacenan. De este modo, será más sencillo implementar controles y que, desde la órbita de su competencia, deben ser tenidas en cuenta por los auditores. Dentro de las actuaciones que pueden adelantarse, se encuentran las siguientes:

  • Inventario de datos actualizado

Es importante saber dónde residen los datos, quién tiene acceso a ellos y quién en la organización es responsable por ellos. De esta manera, se facilita su administración, custodia y el cumplimiento de las regulaciones de privacidad de datos. Más importante aún, debido al crecimiento en la cantidad de datos en poder de las empresas en los últimos años, si una organización descuida el mantenimiento y actualización de su inventario de datos puede tener un gran problema.  

Un apropiado inventario de datos facilita atender las obligaciones de cumplimiento, identificar vulnerabilidades y demostrar responsabilidad en toda la empresa.  Para crear un inventario de datos completo, es importante garantizar que todos los datos relevantes se gestionan correctamente.

  • Proceso automatizado de solicitudes de acceso a datos (DSAR)

Ciertas normativas de las regulaciones de privacidad, tales como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la UE permiten a las personas ver qué información personal suya almacena una determinada organización. Estas solicitudes, conocidas como solicitudes de acceso del sujeto de datos (Data Subject Access Request - DSAR), requieren que una organización con datos sobre un individuo permita su conocimiento y ciertas actuaciones sobre esta información (eliminación, archivo, etc.). Teniendo en cuenta las partes que intervienen en la administración de la información, cumplir con estas solicitudes puede ser muy desafiante, por lo que es aconsejable un sistema robusto que facilite atender las consultas.

  • Gestión de riesgos de terceros

Una de las preocupaciones sobre cómo las organizaciones están manejando el tema de las nuevas regulaciones de privacidad de datos y ciberseguridad, es el de los terceros con acceso a datos de la organización, toda vez que un importante porcentaje de proveedores de servicios puede gestionar datos personales de alguna manera, sin importar si están en la nube. De hecho, las soluciones en la nube a menudo se conectan a otras fuentes de datos dentro de una empresa, lo que significa que es probable que ese proveedor externo acceda a sus datos comerciales cruciales y, potencialmente, la información personal de sus clientes. Por ello, es necesario saber a qué datos acceden y si los administran de forma segura, para comprender si la organización está en riesgo en función de sus relaciones con terceros y cómo mitigar este hecho.

  • Armonizar la retención y minimización de datos

Con el propósito de lograr eficiencia en el manejo de datos y minimizar los riesgos legales y la exposición a violaciones de datos, hay que buscar el equilibrio entre la conservación de datos y su cantidad. Deben almacenarse solo los datos que son importantes para las prácticas comerciales esenciales, con el propósito de mitigar los riesgos de litigios y regulaciones y reducir los costos de almacenamiento y gestión.

Como vimos, el auditor desempeña un papel crucial para garantizar la privacidad de los datos en una organización al revisar y verificar el cumplimiento de las normativas y regulaciones de privacidad, así como la implementación de políticas y medidas adecuadas de protección de datos.

 

[1] Wi-Fi Protected Access (WPA) es un estándar de seguridad inalámbrica desarrollado por la Alianza Wi-Fi (una organización comercial que desarrolló la tecnología de conexión inalámbrica). WPA3 es su último estándar de seguridad. La tecnología WPA cifra los datos del usuario para proteger las redes inalámbricas frente a amenazas externas.

ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado