Madrid > Blog > Posts > Opinión de ISACA Madrid sobre la nota informativa de la AEPD sobre auditorías telefónicas de medidas de seguridad
Opinión de ISACA Madrid sobre la nota informativa de la AEPD sobre auditorías telefónicas de medidas de seguridad
 
En relación a la nota publicada por la Agencia Española de Protección de Datos (ver enlace) sobre el ofrecimiento que están recibiendo entidades obligadas a acometer auditorías de medidas de seguridad para realizar auditorías de seguridad por vía telefónica, ISACA Madrid querría transmitir su enhorabuena y dar una calurosa bienvenida a dicho pronunciamiento por parte de la Agencia.
 
De hecho, esta nota se incardina en una vieja aspiración de la Asociación de que alguna entidad u organismo oficial se implique en la definición de lo que debe y no deber ser cualquier tipo de auditoría informática y, en particular, las auditorías de medidas de seguridad para dar cumplimiento a la legislación en materia de protección de datos.
 
Obviamente, no podemos estar más de acuerdo en que una auditoría telefónica no satisfaría muchos de los principios de los que los auditores informáticos que formamos parte de ISACA nos hemos dotado y que se recogen en el Marco de Aseguramiento de TI (IT Assurance Framework) y que, junto al Código Ético que asumimos, forman nuestro esquema de auto-regulación para esta profesión y que sirve de base para la certificación de auditor(a) de sistemas de información (CISA) que muchos de nuestras/os asociadas/os ostentan y mantienen a lo largo del tiempo. De hecho, los capítulos de ISACA en España, aglutinan el mayor colectivo de auditores de sistemas con más de un millar de auditoras/es asociadas/os.
 
Sin embargo, no podemos dejar de señalar que quedan muchos otros aspectos por determinar sobre lo que es o no una auditoría de medidas de seguridad y que, el hecho de no abordarlas supone, de facto, eliminar el requisito de dichas auditorías, puesto que no se puede asegurar que cumplan su función sin unos mínimos requisitos, entre los que podríamos destacar:
  • Qué perfil debe reunir el auditor informático que realiza la auditoría;
  • Qué nivel de independencia se debe observar para evitar los conflictos de intereses;
  • Qué responsabilidad asume el auditor por errores en sus procedimientos;
  • Cómo se dirimen diferencias en los resultados de las auditorías; o
  • Qué tipo de evidencias se deben recabar y cuánto tiempo se han de conservar, por mencionar un aspecto técnico.

En definitiva, damos la bienvenida a esta nota y esperamos y confiamos en que sea solo la primera de muchas que estén por venir para contribuir a la mejora de las auditorías como mecanismo de assurance de las medidas de protección de datos de carácter personal.

Junta Directiva ISACA Madrid Chapter

Comments

There are no comments yet for this post.