David Gómez de Arriba, Director de Programas, Responsable de Nuevas Tecnologías y Recursos Humanos. Instituto de Fomento Empresarial.
INDICE
1. Introduccion
2. Definiciones
3. Concepto, características de la auditoria y del auditor informatico
3.1 Concepto y caracteristicas
3.2 El informe de auditoría informática. Importancia de la independencia del auditor
3.3 Clasificación
3.4 Estándares de auditoria y seguridad
4. Situación de la auditoria antes del reglamento de seguridad
5. El auditor informatico y su papel ante la lopd y el reglamento de medidas de seguridad
5.1 La lopd y el reglamento ante el auditor
5.2 Situacion actual
6. Conclusiones
7. Bibliografia
1º. INTRODUCCIÓN
La seguridad y las formas de conseguirla es algo que ha preocupado a todos nuestros teóricos desde los primeros tiempos de la aparición de la informática.
La necesidad de lograr este objetivo ha sido demostrada para garantizar razonablemente un grado de protección y control satisfactorio en las aplicaciones de las TIC y en la administración y gestión de la S.I.
El por que a todo esto, se puede ver reflejado en el gran auge que han tenido las T.I.C en el menor tiempo posible y de forma tan rápida que las empresas ni los individuos se han podido adaptar y queda aun mucho camino por recorrer.
Lo que sí parece muy claro es que ya hay iniciativas para poder avanzar y mejorar el tema de la seguridad, así como novedades legislativas se ve y también se refleja la auditoria:
– La Ley 5/1992, llamada LORTAD:
– Art.9.1
– Art.9.3
– Resolución 22 de junio de 1994 de la Agencia de Protección de Datos.
– La instrucción 1/1995, de 1 de marzo, que viene a llenar el vacio legal y se refiere a obligaciones relativas al cumplimiento de obligaciones dinerarias.
– La Ley 16/1993 de 23 de diciembre, de incorporación al Derecho español de la Directiva 91/250/CEE, de 14 de mayo etc…
– Reglamento 944/1999, de medidas de seguridad.
– Ley 15/1999, LOPD.
¿Quién debe ser responsable de toda esta cuestión? Aquí entra en juego la figura del auditor informática que como recoge el punto 2 de la Instrucción 1/1995: ? la implantación, idoneidad y eficacia de las medidas de seguridad se acreditarán mediante la realización de una auditoria… y la remisiòn del informe final de la misma a la Agencia de Protección de Datos?. El art.9.1 de la LORTAD: ?el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias par que garanticen la seguridad de los datos de carácter personal… ?
El tema sobre el que va a versar este artículo comprende una problemática que ha ido evolucionando y alcanzando unas cotas que ninguna persona en determinado momento podría comprender.
La situación actual facilita una visión conjunta de la seguridad, sus medidas y la auditoria informática a nivel nacional, aunque este tema todavía presente ciertas dudas por parte de un numeroso grupo de doctrina.
De hecho podemos encontrar en el ámbito internacional referencias a esta clara preocupación con el llamado informe COSO [1] .
Se debe remarcar el papel del auditor informático durante los últimos años hasta su máximo auge a partir de la LOPD y el Reglamento de seguridad de 1999.
Se puede observar en todo momento la constante importancia que va a tener el profesional o auditor informático en un periodo mínimo de dos años y la necesidad de esta figura según la nueva normativa como principal valedor de la seguridad informática.
Ya para concluir esta introducción es necesario mencionar tal y como afirma Alvaro Cabrera [2] : ? A pesar de la gran cantidad de líneas que se han vertido sobre seguridad y planificación de la seguridad informática lo cierto es que la gran mayoría de las organizaciones sigue sin abordar la problemática desde un punto de vista global. Salvo algunas excepciones, normalmente reforzadas por la propia idiosincrasia del sector en el que se mueve la compañía u organismo, lo habitual sigue siendo que los proyectos de seguridad se circunscriban a ámbitos muy concretos y se enfoquen hacia la resolución de problemas más o menos puntuales.?.
Con todo lo anterior, se pretende mostrar una constante evolución legislativa ante las nuevas tecnologías que ha ido adaptándose y preparando el camino hacia unos sistemas de seguridad que van a producir un cambio en la tradicional mentalidad empresarial española en la que no se plantea la posibilidad de una inseguridad total de cara a intromisiones no permitidas por parte de las mismas.
Como se vera también con posterioridad, la figura del auditor ha sufrido una serie de avances y cambios que la hacen parecerse con escasas coincidencias a la figura tradicional del auditor financiero.
En definitiva, se demuestra cuál es la posición del auditor informático dentro del ámbito del Derecho Informático y como es una figura obligatoria a la hora de poder aplicar de forma lógica y coherente la protección de datos en España.
2º. DEFINICIONES
Para poder conocer, aclarar y acceder al mundo de la seguridad informática, el requisito previo es tener muy claro una serie de conceptos que se hacen indispensables a la hora de poder hablar de seguridad informática. Y así se observa:
A )SEGURIDAD INFORMATICA:
Garantizar en términos medibles las probabilidades de integridad, privacidad y confidencialidad de los sistemas de la información (Hardware, Software y Datos) y sus comunicaciones.
B) POLITICA DE SEGURIDAD:
Objetivos, conductas, métodos y responsabilidades para definir un sistema homogéneo que permita evaluar riesgos con exactitud y optimizar los recursos dedicados a la seguridad
C) PLAN DE SEGURIDAD:
Proyecto de Desarrollo de la seguridad a largo plazo, siguiendo un ciclo de vida completo, desde la definición hasta la implantación y la revisión del mismo.
D) AUDITORIA INFORMATICA [3] :
Un conjunto de procedimientos y técnicas para evaluar y controlar parcialmente un Sistema Informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.
Otra definición muy concreta sería: [4] «Proceso sistemático independiente y autónomo para obtener evidencias y evaluarla de manera objetiva a con el fin de determinar el cumplimiento y el alcance al que Obviamente las empresas desean llegar?, y los criterios de auditoría se definen en la misma norma como el « Conjunto de política,, procedimientos o requisitos contra los que se compara la evidencia de la auditoria?.
E) CONSULTORIA:
Dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para obtener los fines deseados.
F) PLAN AUDITOR:
Documento que define los métodos, procedimientos y calendarios de las auditorías informáticas.
El objetivo de este apartado es remarcar de forma muy clara cual es la compleja situación en las empresas se encuentran y su inoperancia a la hora de poder diferenciar estas figuras y de importante necesidad para poder ser formalizadas.
Con estas definiciones se pretende diferenciar también una constante confusión provocada entre casi todos los autores al considerar que la auditoria y la consultoría son prácticamente similares y no se les puede diferenciar en ninguna situación
3º. CONCEPTO, CARACTER??STICAS DE LA AUDITORIA Y DEL AUDITOR INFORMATICO.
3º.1. CONCEPTO Y CARACTERISTICAS
Una definición de auditoria informática podría ser la revisión de la propia informática y su entorno. Simplificando mucho indicar que se trata de comparar todo lo que se hace con lo que se debería hacer y lo que existe con lo que debería existir. [5]
La auditoria informática puede comprender: la revisión y la evaluación independiente y objetiva, por parte de personas independientes y técnicamente competentes del entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin que sea con carácter excluyente): equipos, sistemas operativos y paquetes, aplicaciones y el proceso de su desarrollo, organización y funciones, las comunicaciones, la propia gestión de los recursos informáticos, las políticas, estándares y procedimientos en vigor en la entidad, su idoneidad así como el cumplimiento de dichas políticas, estándares y procedimientos, objetivos fijados, contratos y las normas legales aplicables, el grado de satisfacción de los usuarios finales y de sus directivos, los controles existentes, y un análisis de los posibles riesgos relacionados con la Informática?.
Ante una descripción tan amplia cabe la posibilidad de preguntarse qué no comprende la auditoria informática, y en realidad puede abarcar todo lo que esté comprendido en el objetivo de cada revisión concreta, recogiendo a veces en contrato si es externa.
La auditoria se puede referir a la revisión de la seguridad, o al nivel de calidad, medir la eficiencia y la eficacia, o ser una auditoria de cumplimiento de normas internas, de cumplimiento de contratos, de acuerdos entre empresas, de planes y de objetivos…, o una auditoria de la gestión de los recursos informáticos, o puede realizarse previamente a la fusión o compra de una entidad, o como apoyo a la auditoria de cuentas, o bien para comprobaciones fiscales…
Es difícil admitir una definición tan farragosa, pero ha de admitirse que sugiere la efectiva amplitud de la auditoria informática.
Si nos atenemos a la definición de Auditor Informático de Emilio del Peso como un profesional dedicado al análisis de sistemas de información e informáticos que está especializado en alguna de las múltiples ramas de la auditoría informática, que tiene conocimientos generales de los ámbitos en que se mueve y sobre todo conocimientos empresariales generales denota una amplitud de funciones. [6]
No existen normas de obligado cumplimiento para los auditores en el ejercicio de sus funciones. Se admiten, entre otros, los siguientes principios:
– Prestarán su servicio en interés de quienes les hayan contratado, accionistas, clientes y público en general, de forma diligente, leal y honesta, y de forma consciente no tomarán parte en actividades ilegales o impropias.
– Realizarán sus funciones de forma independiente y objetiva, y evitarán actividades que puedan poner en peligro (o lo parezca) su independencia.
– Estarán al día en las áreas interrelacionadas de auditoria y sistemas de información, mediante su participación en actividades de desarrollo profesional.
– Fomentarán la formación de directivos, clientes y público en general, a fin de mejorar su entendimiento de la auditoria y de los sistemas de información.
– Mantendrán altos estándares de conducta y de comportamiento personal, tanto en actividades profesionales como privadas.
Respecto al perfil del auditor informático, con carácter general podemos decir que ha de tener niveles suficientes y adecuados de:
– Formación.
– Experiencia (sino directa en auditoria informática, es preferible que lo sea en informática, en diferentes áreas y a distinto nivel, mejor que sólo experiencia en auditoria de otras áreas: de cuentas por ejemplo)
– Responsabilidad.
– Capacidad de análisis y de síntesis.
– Objetividad e independencia.
– Madurez, que no es lo mismo que muchos años.
El auditor va a evaluar y comprobar los controles y procedimientos informáticos más complejos. Será además responsable de revisar e informara la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
Otros aspectos derivados del puesto (conocimiento de plataformas concretas, especialización en seguridad (y con toda la riqueza de sus matices), experiencia en desarrollo de aplicaciones si va a ?actuar? en esa área … ).
3º.2. EL INFORME DE AUDITOR??A INFORM??TICA. IMPORTANCIA DE LA COMPETENCIA E INDEPENDENCIA DEL AUDITOR
En una primera aproximación, puede decirse que el informe de auditoria de sistemas de información es un documento que presenta el trabajo efectuado por el auditor y su opinión profesional sobre la totalidad.
El objetivo de la auditoría variara según se observe ante una situación u otra, pero el resultado final reflejará un conjunto de los elementos personales, temporales, identificativos de alcance y de opinión, que incluye conclusiones recomendaciones, salvedades (reservas y calificaciones) y fallos significativos detectados. La finalidad y los usos de dicho informe, sean cuales fueren, justifican la auditoría y su realización por el susodicho auditor, en función de dos de sus atributos capitales: la competencia técnica profesional y la independencia.
Si se parte del hecho de que quien realiza auditorías de S.I es un auditor de S.I, sobreviene inmediatamente un problema: la legislación. Por tanto, bien cabe apuntar que los auditores de S.1 no existen (oficialmente) ante la escasa doctrina que se presenta sobre los mismos.
El objetivo de la auditoría de SI es el Informe, documento inequívocamente vinculado a su autor o autores, convenientemente autenticado, con garantías de integridad y de acceso permitido a quienes estén autorizados, en el que el auditor da su opinión profesional independiente al destinatario, Este informe tiene valor para el auditado, y también en ciertos supuestos y escenarios, para terceros y para organismos de control.
Por ejemplo, el informe de la Auditoría que se pide en el Reglamento de medidas de seguridad a partir del nivel medio y en el Artículo 4 Punto 4, es de utilidad para el auditado y está previsto que pueda ser accedido por la Agencia de Protección de Datos, el órgano de control en la materia. En última instancia, y aunque no tengan acceso, este informe es de interés para los afectados interesados, cuyos derechos se pretende respetar y proteger,
3.3.CLASIFICACIÓN
Las auditorías pueden clasificarse del siguiente modo.
– En función del sujeto: interna-externa, pública-privada
– En función del alcance: totales o completos parciales o de alcance limitado
– En función del origen del mandato: obligatorias voluntarias
– En función del objetivo: S.I. datos personales calidad, cuentas fiscal seguridad
– Según el sector económico: Industria Servicio, etc…
De acuerdo con esta clasificación, las auditorías del Reglamento de Seguridad de Datos de carácter personal es privada, puede ser interna o externa, su alcance es total en función de las medidas, resulta obligatoria por el origen del mandato y el objetivo viene definido por el tratamiento de datos personales a partir del nivel medio. En relación con el sector económico, afecta de hecho a cualquier entidad de cualquier sector en la que se traten datos personales del nivel correspondiente.
Se ha dicho que el dilema sobre el desarrollo de Internet se encuentra entre la Tecnología y los Contenidos. Efectivamente, en los SI existen ambos componentes, que son polifacéticos (también los recursos humanos, los grandes olvidados), y ello obliga a pensar ante el hecho de que en menos de medio siglo se ha pasado de los sistemas manuales al Proceso de Datos/Informática (términos casi equivalentes), y de ahí al complejo TI ? S.I. A esto se suma el fenómeno de crecimiento de las grandes corporaciones, que ha provocado una especie de fusión‑manía.
Sin embargo, hoy en día, tanto en Estados Unidos como en la UE, se considera como esencial para el sistema mantener la competencia. Por tanto, la independencia profesional tiene y va a tener connotaciones muy estrictas, y está claro en todos los casos que la consultoría y la asesoría no pueden ser compatibles con la auditoría, especialmente en lo concerniente a las auditorías obligatorias, incluso aunque se crearan sociedades diferentes dentro del grupo.
3.4. EST??NDARES DE AUDITORIA Y SEGURIDAD
No existían antes del Reglamento de Seguridad. Algunos seudos estándares podrían ser:
– Libro naranja (Orange Book) del TCSEC.
– ITSEC e ITSEM.
– Normas ISO aplicables (9000, 7498…)
– En 1996 se realizo el libro verde sobre Auditoría Informática, que en principio acepta las normas IFAC para su adaptación adecuada a la Unión Europea.
– Estándares de la ISACA (Information Systems Audit and Control Association) y otras publicaciones y monografías; entre ellas las relacionadas con CISA (Certified Information Systems Auditor) y « Control Objectives?.
– Publicaciones de] Instituto de Auditores Internos, especialmente SAC: Systems Auditability and Control.
– Normas y Recomendaciones de la Unión Europea, como la 95/144/ CE, de 7‑4‑95, relativa a los criterios comunes de evaluación de la seguridad en las tecnologías de la información (D.0.L. 93‑26.4.95).
– Guías de la OCDE, como el documento «Líneas Directrices de la OCDE para la Seguridad de los Sistemas de Información?.
– Algunos estándares aplicables del AICPA (American Institute of Certified) Código ético y perfil de los auditores
– Existen otros códigos éticos similares (como el del Instituto de Auditores Internos), que adaptados serían de utilidad en muchos otros ámbitos, profesiones y entidades, que en pocos casos existen, y en menos aún se cumplen.
4º. SITUACIÓN DE LA AUDITORIA ANTES DEL REGLAMENTO DE SEGURIDAD.
Como ya se comento con anterioridad en la Introducción, tras la LORTAD, existía un gran vacío legal en el ámbito informático, que en parte se intento llenar con la Instrucción 1/1995, de 1 de marzo (B.O.E. de 4 de marzo), referida a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias. Así, analicemos lo más a fondo posible las referencias legislativas anteriores al Reglamento, en las cuales se hace referencia a la Auditoria Informática y después a la Auditoria informática de la Seguridad Informática.
El Estatuto de la Agencia de Protección de Datos relacionado con la LORTAD determinó sus funciones inspectoras y citaba la auditoria informática, lo que supone una de las pocas veces que los legisladores españoles se refieren a ella, y muy probablemente aquella fue la primera, y la citada Instrucción 1/1995 de la A. De P. De D., la segunda.
En el punto 2 de su norma cuarta se especifica: ?la implantación, idoneidad y eficacia de las medidas de seguridad se acreditarán mediante la realización de una auditoria… y la remisión del informe final de la misma a la Agencia de Protección de Datos.?
Dicha norma cuarta de la citada Instrucción supone un impulso para la Auditoria Informática aunque muy limitado a algunas entidades.
La Auditoria, que se supone auditoria informática porque la APD se refiere a la auditoria de los Sistemas de Información, según la Instrucción, podrá ser realizada por el departamento de Auditoria interna del responsable del fichero… profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos. [7]
La auditoria de la normativa legal aplicable, como por ejemplo la Ley 16/1993 de 23 de diciembre, de Incorporación al Derecho español de la Directiva 91/ 250/CEE, de 14 de mayo de 1991, sobre protección jurídica de programas de ordenador.
La propia Instrucción citada determina en su norma cuarta: «Los sistemas que almacenen o procesen información relativa al cumplimiento de obligaciones dinerarias deberán acreditar la efectiva implantación de las medias de seguridad exigidas por el artículo 9.1 de la Ley Orgánica…?.
El artículo artículo 9.1 de la LORTAD especifica: «El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de una acción humana o del medio físico o natural?.
En el 9.3 se matiza que‑ «Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan…?. También aquí se intuye la llegada de la auditoria de Seguridad.
La A. De P. De D, en su Memoria del año 94 ya especificaba sobre este desarrollo reglamentario que: « … no es aventurado anticipar que todavía puede demorarse un tiempo considerable, dada la extraordinaria dificultad de regular una materia en evolución tecnológica tan rápida y de presencia tan ubicua y multiforme en la sociedad actual como las tecnologías de tratamiento de la información. ?
En la tantas veces citada Instrucción, se dice que: «La implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoria, proporcionada a la naturaleza, volumen y características de los datos personales, almacenados y tratados, y la remisión del informe final de la misma a la Agenda de Protección de Datos.
Habiendo examinado de una manera general la caótica situación en la que la figura del auditor se encontraba, podemos adentrarnos un poco más en la figura del auditor y la protección de datos.
Si se analiza la LORTAD se puede ver que el reflejo que se puede detectar es que en ningún caso aclara cual es la postura del auditor y de la sociedad frente a todo esto. No se menciona de forma expresa la figura del mismo lo cual implica un desconocimeinto muy profundo de las implicaciones que tiene el auditor en la Sociedad de la Información.
Para poder analizar la figura del auditor informático debemos acudir al derecho Informático como materia que incorpora un conjunto de supuestos relativos a la aplicación de la regulación en las nuevas tecnologías.
El objetivo de la auditoria informática es sin ninguna duda evitar posibles reclamaciones de cualquier clase ante el sujeto a auditar. Y dentro del derecho informático que engloba diferentes cuestiones que pueden ser consideradas como protegibles por parte la legislación pertinente, ofrecería una perspectiva mas amplia a la vez del papel del auditor y que la LORTAD no recogía de forma muy clara: ?es la revisión independiente del uso del material, de la información y de sus manipuladores desde la perspectiva de la normativa legal (civil, penal, laboral,…), efectuada por un jurista experto independiente con la finalidad de emitir un dictamen sobre su adecuación a la legalidad vigente, y con ello conseguir evitar inseguridades, pérdidas o costes innecesarios para la empresa o administración a la que se somete a auditoria jurídica, siendo el cliente auditado en último término el que decide la aplicación de las eventuales medidas correctoras que se estimen oportunas.? [8]
La LORTAD no menciona en ningún momento la figura del auditor, pero implícitamente nos indica que debería ser auditado por el Auditor. ¿Según la LORTAD que debe ser auditado por parte del auditor?:
Para poder empezar a conocer que debería ser auditado por parte del auditor, se debe analizar la LORTAD desde una perspectiva de los principios y derechos.
El acceso de los datos debería ser restringido en virtud de la sensibilidad de la información de los mismos. En este supuesto se debe estudiar la figura del responsable del fichero que debe velar por la seguridad de los datos y adoptar las medidas de orden técnico y organizativo, que eviten su alteración, pérdida, tratamiento. La cuestión es, ¿cómo evitar estos problemas? Se debe plantear una serie de medias de seguridad tanto físicas como lógicas a fin de evitar este tipo de situaciones.
Se presenta la figura del responsable de los ficheros, quien se encargara de laborar todas las medidas mencionadas con anterioridad y quien limita el acceso a terceros autorizados a esa información.
Un requisito indispensable es la necesidad que esas personas autorizadas a acceder, lo sean de acuerdo a su cargo y la responsabilidad que ostentan. Es decir, que no es posible que ninguna otra persona que no sean los sujetos mencionados con anterioridad puedan introducirse libremente en estos sistemas y poder acceder sin ningún impedimento.
Existe un deber de conocimiento o de información por parte de aquellas personas que tiene esa posibilidad de acceso a la información y de no revelar todos esos conocimientos que tienen. [9]
Se establece un deber de secreto en este aparatado que la antigua LORTAD recogía en su artículo 10 y que el Código Penal de 1995 establece en su Titulo XIX, en los artículos 197 y siguientes también.
En cuanto a la información, el auditor deberá revisar si cumple los requisitos básicos del derecho en general y de los propios específicos en particular.
Al examinar la LORTAD se puede encontrar una similitud con los principios de calidad de los datos, la necesidad de su adecuación y pertinencia, y que no sean excesivos en relación con el ámbito y finalidades legítimas para lo que se hayan obtenido.
Si se cumplen los objetivos de la LORTAD, el auditor debería examinar que esos principios se adecuan a la normativa vigente y que en todo momento el responsable del fichero ha hecho un uso adecuado de los mismos.
El auditor también deberá comprobar y examinar aquellos ficheros que entran dentro del ámbito de la LORTAD de aquellos que tienen un régimen especifico. [10]
De carácter general se incluirían todos los ficheros que contengan datos de carácter personal salvo los que estén expresamente excluidos, sea efectuada dicha exclusión por la propia ley, sea efectuada por emisión de la misma a regulación especifica de fichero en que se trate. Se excluyen de la aplicación de la LORTAD los supuestos del art.2.2 y dentro estarán ficheros que contienen una regulación especifica..
La figura del responsable del fichero y de su deber de guardar secreto también representa una gran importancia a la hora de ser auditada por parte del auditor informático.
El auditor deberá comprobar la existencia de un responsable efectivo del tratamiento automatizado de datos, dotado de la autoridad suficiente, que puede cumplir las funciones encomendadas y así evitar las irregularidades de este tratamiento. Y deberá comprobar y verificar si el comportamiento de su auditado se ajusta lo establecido en la Ley con el fin de evitar esas cuantiosas sanciones por infracciones realizadas en el cumplimiento de sus obligaciones.
Si nos atenemos a lo mencionado con anterioridad, deberemos analizar las siguientes cuestiones sobre las funciones del auditor:
– La LORTAD establece una distinción entre ficheros de titularidad pública y privada, debiendo verificar el auditor que se han cumplido sus requisitos para su creación, modificación y extinción.
– Esta cuestión es la más importante de todas y es relacionado con la verificación del consentimiento. Es necesario tal y como dice el art.6 que haya consentimiento del afectado, que se puede otorgar de cualquier forma admisible en derecho siempre que no se recabe de medios fraudulentos, desleales o ilícitos. Advirtiéndose siempre previamente al interesado de la existencia de un fichero de datos de tratamiento automatizado, de la finalidad el mismo, de los destinatarios de la información de carácter obligatorio o facultativo de la respuesta etc…
– El consentimiento para la cesión debe ser previo, requiriéndose que el cesionario sea determinado o determinable, sino será nulo. El auditor deberá comprobar que todos estos requisitos se cumplen y establecer unos controles para garantizar que el afectado ejerza su derecho de consentir el uso y cesión de sus datos.
– El auditor deberá señalar todos aquellos defectos que aprecie en el otorgamiento del consentimiento por parte del afectado a la empresa privada o Administración pública auditada.
El auditor deberá revisar si se cumplen de forma fehaciente todos los derechos recogidos en la LORTAD por parte del afectado o de su representante legal, es decir si tienen un eficaz reflejo en la practica, al procurarse por parte de la empresa o Administración Pública.
El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos que ofrezca una característica de su personalidad.
Aparte de lo anteriormente mencionado podemos encontrar un derecho de información en la recogida de datos, un derecho de acceso ( facultad del afectado de recabar información de sus datos de carácter personal incluidos y tratados en los ficheros de carácter automatizado…), derecho de rectificación y cancelación ( se basa en el principio de la obligación de mantener la exactitud de los datos, siendo la facultad del afectado de instar al responsable del fichero a cumplir la obligación de mantener la exactitud de los mismo, rectificando o cancelando los datos de carácter personal cuando resulten incompletos o inexactos o bien sean inadecuados o excesivos).
Con posterioridad a la LORTAD se encuentra otra referencia muy importante la Resolución de 22 de junio de 1994 de la Agencia, para la declaración de ficheros con datos personales en la que se preguntaban si se tenia un Plan de seguridad, formalizado y documentados en el que se reflejaran las medidas que garanticen la seguridad de los datos de carácter personal.
En este caso ya se empezaba a visualizar la figura del auditor para poder comprobar que este tipo de medidas eran planteadas y llevadas a cabo por las empresas con el fin de lograr sus objetivos y cumplir en todo momento con la seguridad exigida.
Esto a grandes rasgos es lo que la LORTAD ya incluía o se podía apreciar según diferentes autores [11] , aunque hasta la publicación del Reglamento en el año 1999 solo una instrucción recogía de forma expresa la figura del auditor y sus funciones en cuanto al tema de la protección de datos de carácter personal.
Con la Instrucción 1/1995, la Agencia de Protección de Datos demuestra su preocupación constante ante el avance de las nuevas tecnologías y la necesidad de un control exhaustivo ya sea de manera interna o externa de lo que es la información y la seguridad por parte de las empresas.
Esta instrucción supuso un avance muy importante al reconocer la necesidad de realizar auditorias y la figura del auditor como elemento principal para poder instaurar las medidas de seguridad recogidas en el art.9.1 de la LORTAD. Y así tal y como recogemos en la visión introductoria de este apartado: ?2. La implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoría, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la Agencia de Protección de Datos.? [12]
La novedad aportada ya por esta Instrucción, la cual complementa y amplia lo recogido en el Estatuto de la Agencia de Protección de datos de 1993 es sintomática de la nueva y constante situación que se va produciendo a cada momento. Además de remarcar una obligatoriedad ante determinadas situaciones se debe presentar la finalizar ante la Agencia de Protección de Datos ese informe de Auditoria ya que si no se producía pudiera causarse un perjuicio hacia la empresa.
El apartado 3ª de la Instrucción nos indica quienes podrán realizar ese informe y presenta las dos vertientes posibles de auditorias: ?3. La auditoría podrá ser realizada:
Por el departamento de auditoría interna del responsable del fichero, si cuenta con un departamento formalmente constituido, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos.
Por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero.?
Dentro de la auditoria informática se pueden destacar dos posibles alternativas:
– Auditoría Interna: la realizada por un departamento propio de la empresa en el caso de que se haya creado y cumpla con todos los requisitos necesarios para realizar de forma fehaciente y clara sus funciones. Este equipo deberá estar formado por expertos en la materia y deberán dar cuenta ante el responsable del fichero.
– Auditoría externa: la realizada por un profesional de este campo de forma independiente y con una experiencia y un perfil contrastado para poder realizar esa función.
El apartado 4ª recoge la necesidad de que estos profesionales realicen sus funciones de acuerdo a la normativa correspondiente y así tenemos todo lo mencionado con anterioridad: ?4. La auditoría deberá ser realizada de acuerdo con las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución.?
Por último, el apartado 5ª nos dice: ?5. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles destinados a garantizar la integridad y confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias o insuficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basan los dictámenes alcanzados y recomendaciones propuestas.?
Con este apartado, ya se va perfilando lo que van a ser las necesidades primordiales de las mediadas de seguridad que se van a establecer en el Reglamento de Medidas de Seguridad del año 1999 a través del informe de Auditoria. Los objetivos como bien dice son:
– Adecuación de las medidas y controles destinados a garantizar la integridad y confidencialidad de los datos personales almacenados o tratados.
– Identificar sus deficiencias o insuficiencias
– Proponer las medidas correctoras o complementarias necesarias.
– Datos, hechos y observaciones en que se basan los dictámenes alcanzados y recomendaciones propuestas.
Finalizando ya esta parte dedicada a la situación del Auditoria en la LORTAD y antes del Reglamento de seguridad, el apartado 6ª nos dice: ?6. Adicionalmente, los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán someterse a una nueva auditoría tras la adopción de las medidas específicas que, en su caso, la Agencia.?
Con este último inciso todavía más podemos examinar que el objetivo que busca esta instrucción con la figura de la auditoria es sin ningún duda reforzar aun mas la seguridad en la protección de datos y así evitar posibles problemas e inconvenientes para las empresas que no hagan caso de las recomendaciones presentadas por los organismos correspondientes.
Hasta aquí se puede destacar las iniciativas legales que había habido en España durante el periodo anterior al Reglamento. Si nos atenemos a nivel internacional, ya se ha mencionado con anterioridad una serie de normas o seudo estándares que podían servir de ejemplo para comprender que en otros países si se tenía muy presenta la figura del auditor.
USA ha sido pionero en la figura del auditor ya que en todo momento lo ha reconocido como una figura muy importante a nivel de profesionales informáticos.
La UE ha tenido en parte un mayor retraso, pero un avance importante aunque quizás sea de forma implícita ha sido en acentuar la necesidad de unas medidas de seguridad en el famoso Convenio 108, en el que se menciona toda la cuestión de la Protección de Datos y es antecedente de la Directiva 95/46/CE.
5º. EL AUDITOR INFORMATICO Y SU PAPEL ANTE LA LOPD Y EL REGLAMENTO DE MEDIDAS DE SEGURIDAD.
5º.1 LA LOPD Y EL REGLAMENTO ANTE EL AUDITOR.
El Reglamento de medidas de seguridad es un buen texto normativo, que ofrece unas expectativas tentadoras para los auditores de S.I.: obliga a una auditoría privada, ya interna o externa, marca plazos límite para hacerla, e indica su objetivo: el tratamiento de los datos personales…
Lo que no queda tan claro es su alcance, debido a las implicaciones organizativas del asunto; por añadidura, no hay una experiencia auditora, ni interna ni externa, en la obtención de evidencias, ni para las duras, es decir, aquellas observables y verificables; ni para las blandas, que son observables pero no verificables, No hay histórico, salvedad hecha de las específicamente realizadas en el pasado por mandato de la Agencia en la instrucción relativa a los habitualmente denominados ficheros de insolventes de uso en entidades financieras y de crédito.
Además, los conceptos de competencia técnica profesional e independencia no han sido considerados, por lo que hay gran libertad de acción para externos de asesoría y consultoría.
Parece que el asesor (interno o externo) que nos asesore, y el consultor (interno o externo) que nos ayude a adaptarnos al nivel medio (en tanto que próximo hito), podrá convertirse también en auditor. Ello sería nuevamente una corruptela encubierta.
Todo indica que la intención del legislador, más allá de cualquier consideración, ha sido fomentar la existencia de una política, de unas normas, de su control, y, finalmente, de una función, la de auditoría, que verifique controles, detecte problemas y dé alternativas.
Hay que estudiar si el concepto de auditoría vigente debe cambiar a criterios más cerrados desde el punto de vista regulador o no. Un determinado autor ha escrito que: ?El Artículo 38 de la Constitución, que versa sobre la libertad de empresa en el marco de la economía de mercado, orienta al Reglamento en su Artículo 17, ya que es potestad del responsable. Del fichero designar al auditor, tanto sí es interno como si es externo.
Ahora bien, respecto a la función de auditoría interna, conviene precisar que el mercado actual ofrece un amplío abanico de soluciones, que se encuentran entre la auditoría interna adscrita a la plantilla del personal de la propia entidad y la externalización total de la función, admitiendo la gradación adecuada en el tiempo y en el espacio a las necesidades cambiantes. Bien podría decirse aquí que «más sabe el loco en su casa que el cuerdo en la ajena?,
En lo que concierne a la auditoría externa (y a la interna), y aunque ya se ha comentado mucho, quizá merezca la pena resaltar que el informe, que debe «incluirlos datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas quedará a disposición de la Agencia de Protección de Datos. Sí ésta accediera a los informes que se elaboren, el Director del órgano de control estaría en una inmejorable posición para decidir, si lo considera oportuno, sobre su calidad y adecuación al objetivo.?
Ha de considerarse de máxima importancia el Art.4. del Reglamento‑ «Aplicación de los niveles de seguridad?, que en su punto 4 dice: ?Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 10?
Estos ficheros (los tradicionales y los tratados en los entornos web), que podrían utilizar permanentemente las empresas de trabajo temporal, las consultoras conocidas como cazadoras de cabezas, e incluso las BB.DD. y los almacenes de datos de Potencial Humano de las empresas, deberían ser objeto de especial atención, ya que forman un activo inmaterial estratégico con su correlativa Gestión del Conocimiento.
Además de la función de seguridad es necesaria la de auditoría. Funciones de Auditoría Informática, entre las que podemos citar: Funciones de Soporte Informático a los Auditores. Funciones propias: a La Auditoría informática es una Auditoría en sí misma.
Mediante dictámenes (evaluaciones cualitativas, basadas en pruebas), son los Garantes del Nivel de Riesgos (integridad, confidencialidad y disponibilidad de la información) del Sistema, sin el cual los auditores no deben usar la información del mismo para sus dictámenes financieros y operativos.
El Reglamento también establece la realización de una Auditoría de los sistemas de información o instalaciones de tratamiento de datos, interna o externa, que verifique el cumplimiento del mismo y de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos cada dos años. Incluyendo los servicios con terceros.
También se menciona la existencia de un informe de auditoría que deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. Las auditorías deben estar incluidas en el plan auditor:
· Plan Auditor: Documento que define los métodos, procedimientos y calendarios de las auditorías informáticas.
· Debería contener al menos:
· Organigrama.
· Funciones.
· ??reas a auditar (deben estar las bienales del Reglamento).
· Procedimientos (apertura de la auditoría, proceso de discusión de debilidades, redacción del informe, realización de carpetas de trabajo, discusión del informe, etc.).
· Pasos a seguir para la realización de una Auditoría:
– Planificación del trabajo a audítar.
· Identificación de los sistemas a auditar. Incluirán los servicios contratados a terceros como parte del sistema auditado.
· Organización de los papeles de trabajo para auditar
· Identificación de las fuentes de información
· Check‑lists para la auditoría
· Elaboración del calendario de entrevistas especificando contenido y duración aproximada
2. Entrega al Responsable del fichero, al Director de Informática y Organización y al responsable de seguridad, un memorándum formal. En él se detallarán los temas y datos específicos necesarios para llevar a cabo la auditoría.
3. Papeles de trabajo.
· Estructurados en concordancia con la metodología aplicada
· Reflejarán el trabajo realizado y las acciones tomadas
4. Emisión de comentarios o excepciones.
· Información al auditado del transcurso de la auditoría y Evaluación imparcial, no personal del funcionamiento operativo y de la información de la unidad auditada
5. Preparación del informe final.
· Con los motivos de la evaluación efectuada, Comentarios clasificados y recomendaciones o acciones a realizar, Exposición de las normas o procedimientos (propios o legales) que han sido violados indicando las causas y Descripción del riesgo potencial que entraña la debilidad y su impacto en la organización
6.Distribución del informe final.
7.Seguimiento de las acciones correctivas sobre los comentarios de la auditoría.
· Incorporación de los comentarios con fecha de regularización futura prevista a un sistema para poder efectuar su seguimiento efectivo a medida que transcurre el tiempo.
· Listados de las excepciones enviado mensualmente a niveles superiores de los auditados, para requerir información sobre el estado de las mismas y con su intermediación, agilizar las regularizaciones requeridas.
La LOPD por su parte, en su disposición final tercera, recoge la necesidad de estas medidas de seguridad y la desarrollaría a través de un reglamento. Pero el problema presentado es que la LOPD no diferencia entre ficheros automatizados y no automatizados, por lo que se prevee que se ocupe de los dos y la disposición adicional 1 indica que no se aplique la LOPD en temas de seguridad hasta el 24 de octubre de 2007..
Por lo tanto la LOPD en este tema tampoco aclara nada y simplemente se remite a un reglamento que fue realizado en desarrollo de una ley que ha sido derogada y no ha podido presentarse un nuevo reglamento.
5º.2 ASPECTOS M??S RELEVANTES DE LA SITUACIÓN ACTUAL
Los aspectos mas relevantes en el momento actual de tránsito entre las medidas de nivel básico y las de nivel medio son los siguientes:
– La figura del auditor no está regulada. Los auditores de cuentas están tan legitimados a realizarlas como cualquier profesional cualificado. No existe ningún título ni certificado español que capacite. El único parámetro que justifica la situación es la cualificación y experiencia contrastada de los profesionales involucrados. La situación de indefinición legal de la auditoría informática tendrá que mejorar en su definición de forma oficial.
– Exceso de demanda para los profesionales existentes y oferta poco cualificada para tanta demanda.
– Necesidad de auditar a las empresas que realizan prestaciones de servicios. Imposición de los documentos de seguridad a estas empresas, con las normas por escrito en los contratos. Y por tanto revisión de los costos y precios de los servicios, así como una clara definición de las responsabilidades en dichos contratos. (art. 12 de la LOPD).
– Con la publicación del Reglamento ya es posible hacer cumplir por la Agencia de Protección de Datos el artículo 9 del título 11 de la LOPD. O sea, ante las denuncias de no cumplir las medidas de seguridad obligadas por el Reglamento, tendrían que intervenir auditando y sancionando.
– Otro factor importante de la nueva situación es que al poder auditar informáticamente los sistemas, pueden quedar más patente aspectos como cesiones de datos entre empresas que comparten un mismo sistema de información, o auditorías hechas deficientemente con anterioridad, etc.. [13]
– Otro aspecto de interés es la creación de una situación nueva de evaluación (auditoría) por un tercero de unos controles objetivos, y una oficialización del control en las empresas, sobre aspectos que nunca se habían considerado en realidad como algo necesario, y ahora es obligatorio legalmente.
– También el nacimiento por ley en las empresas de unas figuras nuevas como son la auditoría informática y el control interno, que estaban poco claras o eran ineficaces. Esta situación cambia para tener que afrontar situaciones de control de verdad y auditables. Y por tanto adquieren verdadera relevancia este sector y sus profesionales.
– La perentoria necesidad de la formación y la capacitación de los profesionales necesarios, se convierte en un reto para el futuro.
– La aceptación de los profesionales debidamente capacitados de estas responsabilidades es otro paso a dar, así como su valoración en el seno de las empresas, tanto en su apoyo por la dirección como en su valoración económica y profesional.
– Es preocupante en las empresas y entidades pequeñas y medias con datos en sus niveles medio y alto, el impacto tanto de mentalización como económico. (Ayuntamientos, farmacias, igualas médicas, etc).
– Aunque el reglamento no pide un Plan de Contingencias, es obligado tener unos procedimientos de salvaguarda y recuperación formalizados. Y en el caso de las medidas de nivel alto una copia externa al sitio, aumentando así la demanda de los servicios de almacenamiento. [14]
– La regularización del reglamento está generando muchas regularizaciones de los aspectos jurídicos y organizativos de la ley, que no se habían hecho antes.
6.CONCLUSIONES.
Habiéndose examinado de forma fehaciente la figura del auditor informático ante la protección de datos de carácter personal, se puede sacar una serie de conclusiones que permiten iluminar aún más el escaso panorama y la visión que tiene nuestras sociedad sobre el Auditor:
Se ha cambiado la tradicional figura del Auditor Financiero ante los nuevos avances tecnológicos que impulsan y refuerzan la figura de un Auditor que englobe y abarque nuevas funciones.
Ante la necesidad de expertos que realicen una función especifica dentro del sector informático, se buscan por un lado desprenderse de la concepción de Auditor externo y las empresas requieren la creación de departamentos internos con expertos que realicen esas mismas funciones.
Nos encontramos ante la Sociedad de la información, en donde la Información domina todas las situaciones y quien posea esa información controla todas las posibles opciones y alternativas. El auditor se va a encargar de comprobar que esa información permanece recogida y con suficientes medidas de seguridad para evitar intromisiones ilegítimas.
La evolución de la seguridad en cuanto a protección de Datos de carácter personal viene marcada por una primera etapa de desconocimiento por parte de: empresarios y autoridades legales. En esta primera situación las Unión Europea ya prevee que nos encontramos con una sociedad que va avanzando y es necesario regular todo este tipo de situaciones. La directiva 95/46/CE se presenta como posible solución a todo est problema, aunque ay tenemos antecedentes con el famoso Convenio 108.
Si nos encontramos con esto a nivel internacional que ha sucedido en España, la primera etapa de desconocimiento ha sido adelanta y se promulga ya una Ley orgánica de Protección de Datos [15] , también llamada LORTAD, con el fin de solucionar esta problemática. Y dentro de ella ya se prevee una estipulación de unas medidas de seguridad que será plasmada en el Reglamento de Medidas de seguridad 994/1999.
Antes de la aparición del Reglamento, la única constancia seria del Auditor Informático es la Instrucción 1/1995, en la cúal, sus últimas normas ya aprecian de forma obligatoria la necesidad de contratar un experto, ya sea interno o externo para realizar un informe veraz, conveniente e independiente con el animo de auditar y ver que se cumplen las normas mínimas de seguridad pertinentes.
El Reglamento se presenta ya como alternativa a esa inseguridad, y la figura del auditor aparece ya mas recogido de forma expresa. Se incluye la figura de una auditoria obligatoria dentro de las medidas de seguridad de nivel medio que recoge este Reglamento.
¿Cual va a ser el papel del Auditor Informático? En unos casos es una incógnita para un sector de la doctrina ya que entiende que su papel, sigue siendo el del tradicional auditor que simplemente se dedicaba al ámbito financiero y no engloba ni abarca nuevos sectores.
Otra parte de la doctrina considera que el Auditor Informático debe abarcar las nuevas tecnología y su misión será de mucha importancia a la hora de auditar a las empresas y comprobar si su seguridad se cumple de un modo total; sobretodo en el tema de protección de datos que es muy importante.
Otro problema que presenta a la Auditoría es la necesidad de un auditor externo el que realice esa función, o sea un auditor interno formado y preparado por la propia compañía para que realice esas funciones de auditoria.
Ya para finalizar, se pueden presentar múltiples cuestiones que representa una problemática a la hora de poder ser solucionadas ante la escasa información que se tiene sobre la auditoria informática y solo entidades como la ISACA y otras de carácter extranjero e internacional parecen tener algo de respuesta. Y aunque sea un poco no coloquial, en la legislación española existen tal lagunas que dan a entender que cualquier persona podría ser auditor sin necesidad de tener una formación muy especifica.
En último artículo publicado en la Revista CISS, el Director de la Agencia de Protección de Datos confirma que el auditor informático es una figura que requiere un gran prestigio y de una preparación que le permitan realizar esas funciones.
7.BIBLIOGRAFIA
· Actas de los Encuentros sobre Informática y Derecho. Aranzadi Editorial y Comillas.
· Actualidad Informática Aranzadi. Nº 34- Enero 2000. D.Miguel Angel Davara Rodríguez. Dª Rosa Maria García Ontoso. D.Juan Manuel Fernández López. D Emilio del Peso Navarro.
· Amador Contra Pilar, La Auditoría de Seguridad en el Reglamento. Aula de Informática Legal LOPD 2000.
· Aparicio Salom, Javier. Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal. Aranzadi Editorial 2000.
· Comparativa entre la Ley 5/1992 y la Ley 15/1999.
· Calle Guglieri, J.A. Reingeniería y Seguridad en el Ciberespacio. Ed. Diaz de Santos. Madrid. 1997.
· Carrascosa López, Valentín. Derecho a la Intimidad e informática. Informática y Derecho 1, UNED.
· Castaño Suárez, Raquel. Directiva 95/46, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. Similitudes y diferencias con la Ley Orgánica 5/1992. Noticias de la Unión Europea, nº 160, mayo de 1998.
· Castells Arteche, Jose Manuel . Derecho a la privacidad y procesos informáticos: análisis de la Ley Orgánica 5/1992, de 29 de octubre. Revista Vasca de Administración Pública.
· Davara Rodríguez Miguel Angel, manual de Derecho Informático, Aranzadi, 1995.
· Davara Rodríguez Miguel Angel, La protección de datos en Europa. ASNEFF-EQUIFAX.1998.
· Davara Rodríguez Miguel Angel, Guía Practica de Protección de Datos. ASNEFEQUIFAX, Comillas 1999
· Directiva 95/46/CE sobre Tratamiento de Datos.
· González Murua, Ana Rosa. Comentario a la S.T.C. 254/1993, de 20 de Julio. Algunas reflexiones en torno al art.18.4 de la Constitución y la protección de los Datos Personales. Informática y derecho.
· González Zubieta, José María. El transito hacía las medidas reglamentarias de seguridad de nivel medio: documento de seguridad, responsable de seguridad y auditoría.
· Jover.i.Padro.Josep. Experiencias de aplicación del Reglamento de Seguridad en las empresas e Instituciones.
· López-Muñiz Goñi, Miguel. Los Derechos de la persona en la Ley de protección de Datos. Informática y Derecho nº. 12-13-14-15.Universidad Nacional de Educación a Distancia.
· Maestre, Javier.A. España: Comentarios a la Nueva Legislación sobre protección de datos. http://.derecho.org.
· Pérez Luño, Antonio-Enrique, Cibernética, Informática y Derecho, Publicaciones del Real Colegio de España. 1976.
· Pérez Luño, Antonio-Enrique, Problemas actuales de la documentación y la informática jurídica-Tecnos 1986
· Pérez Luño, Antonio-Enrique Ley Orgánica de regulación del tratamiento de los Datos de Carácter personal (LORTAD) y los Derechos, derechos y libertades, 1993, nº 1.
· Pérez Luño, Antonio-Enrique Protección de datos Personales en España, presente y futuro. Informática y derecho, nº 4
· Pérez Luño, Antonio-Enrique Funciones del Derecho ante le Desarrollo Tecnológico, Anuario de filosofía del Derecho, 1973-74, Vol.17
· Pérez Luño, Antonio-Enrique Protección de la Intimidad frente a la Informática en la Constitución española de 1978. Revista estudios Políticos 1979, nº 9.
· Pérez Luño, Antonio-Enrique Internet y el Derecho, Informática Derecho 1998 vol.11 nº 19-20-21.
· Pérez Luño, Antonio-Enrique L.O.R.T.A.D entre las luces y las sombras Informática y Derecho 1994 nº 6-7.
· Peso Navarro, Emilio del; Ramos González, Miguel ??ngel; Fernández Sánchez, Carlos m. e Ignoto Azaustre, María José, Manual de Dictámenes y Peritajes Informáticos. Díaz de Santos. Madrid 1999. Peso Navarro, Emilio del y Ramos González, Miguel ??ngel, LORTAD: Reglamento de Seguridad. Díaz de Santos. Madñd 1999. LORTAD: Análisis jurídico de la Ley. Díaz de Santos. Madrid 1998. Peso Navarro, Emilio del, La Ley de Protección de Datos: la nueva LORTAD. (pr6xima aparición). Díaz de Santos. Madrid 2000.La seguridad de la información. Actualidad Informática Aranzadi. Núm. 26. Enero 1998.Principales diferencias entre la nueva Ley de Protección de Datos y la LORTAD. Actualidad Informática Aranzadi núm. 34. Enero 2000. Un Reglamento con Luces y Sombras. Problemas que presenta la aplicación práctica del Reglamento: ejemplos prácticos.
· Piattini Velthuis, Mario y Peso Navarro, Emilio del, Auditoría Informática: un enfoque práctico. RA‑MA. Madrid 1997.
· Ramos González, Miguel ??ngel, La seguridad y la confidencialidad de la información y la LORTAD. Revista Informática y Derecho. UNED 1994.Auditoría (en) Informática. Seguridad Informática. Núm. 17. Noviembre 1995.La seguridad de la información. Revista de Informática y Derecho. UNED. Mérida. Febrero 1995.
· Ramos Suarez Fernando. Nuevo reglamento de Seguridad para la Protección de Ficheros Automatizados con datos de Carácter Personal: ¿ Obstáculo o ayuda al desarrollo de la empresa?. Derecho .org.
· Ribagorda Garnacho, Arturo, Glosado de Términos de Seguridad de las T.f. Ediciones CODA. Madrid.. Abril 1997.
· Ribagorda Garnacho, Arturo; Morant Ramón, José Luis y Sancho Rodriguez, Justo, Seguridad y protección de la información. Editorial Centro de Estudios Ramón Areces. Madrid. 1994.
· Sánchez Blanco, Angel. Internet, Sociedad, empresa y Poderes´Públicos. Edit. Comares. 2000
· SEDISI, Guía de la Seguridad Informática. (Asociación Española de Empresas de Tecnologías de la Información). Abril 1997.
——————————————————————————–
[1] Emitido por el ?Committee of Sponsoring Organizations of the Treadway Commision)
[2] Revista SIC ?La Política de seguridad en el Marco del Reglamento de Protección de Datos?. 1999
[3] Definición realizada por el Profesor J. J. Acha.
[4] ISO 90001199, traducida recientemente al castellano.
[5] Con carácter general, y como descripción más que definición, proponemos la siguiente, recogida en el libro de Emilio del Peso y Miguel ??ngel Ramos «Confidencialidad y Seguridad de la Información: la LORTAD y sus implicaciones socio económicas» .
[6] Auditoría Informática un enfoque practico, Emilio del Peso y Mario Piattini, Edit.Rama.1998
[7] Posible dicotomia entre Auditoría Interna y Auditoría externa al tener que ser para una parte de la doctrina dos conceptos totalmente diferentes y para otro sector deberían ser similares. La diferencia radica la final en la necesidad de las empresas de tener un departamento que se oriente a estos problemas y poder ahorrar costes que supone el tener que contratar a auditores externos.
[8] En palabras de Josep Jover al definir al auditor de esta manera en ?Auditoria Informática un enfoque práctico?.
[9] El auditor requiere para poder contemplar estos supuestos una base técnica de control de información y sistemas operativos para poder revisar esto.
[10] Va a tener que revisar todos los ficheros que contengan datos de carácter personal y comprobar que se encuentran protegidos acorde a lo recogido en la LORTAD y con el fin de evitar posibles sanciones.
[11] Veáse Josep Jover en el Manual: ? Auditoria Informática, un enfoque práctico?.
[12] Instrucción 1/1995 de la Agencia de Protección de Datos.
[13] O sea, situaciones que hasta el momento no quedaban claras si no había prueba externa.
[14] Así mismo, aumentarán los servicios de empresas de destrucción de soportes (papel y soportes magnéticos).
[15] Ley 5/1992. LORTAD.
Disculpa, debes iniciar sesión para escribir un comentario.