Auditoría de verificación para cumplir el RGPD
Finalizados los trabajos de consultoría de la empresa contratada para este efecto y que se detallaban en nuestro post titulado “El Plan de Trabajo de un Proyecto de Consultoría sobre el cumplimiento del RGPD”, se realizará una Auditoría, para cumplir el RGPD.
A modo de check list, destacamos los aspectos que habría que revisar para verificar el grado de adecuación al Reglamento General de Protección de Datos.
CheckList para controles periódicos de verificación para cumplir el RGPD
1. Control de la aplicación del documento de seguridad
- Existencia del documento de seguridad en poder del responsable de su aplicación
- Existencia del documento de seguridad en poder de los usuarios del sistema
- Nivel de conocimiento
- Nivel de sensibilización
- Nivel de aceptación
- Nivel de cumplimiento
- Ampliación del ámbito del documento de acuerdo con lo exigido por el RGPD
- Ampliación de los recursos protegidos de acuerdo con lo exigido por el RGPD
- Actualización de la estructura de los ficheros e inclusión de nuevos ficheros
- Detección de irregularidades
- Medidas correctoras
2. Control del sistema de control de acceso para cumplir el RGPD
- Correcto funcionamiento de los sistemas de control de acceso
- Pruebas de intrusión
- Comprobación del contenido de los Log
- Configuración apropiada de los Log
- Almacenamiento seguro de los Log
- Fiabilidad de los controles de acceso físico
- Respeto de las limitaciones de acceso en función del puesto de trabajo o cargo del usuario
- Revisar la seguridad de las telecomunicaciones
3. Control del sistema de identificación y autenticación
- Existencia de la lista de usuarios autorizados
- Nivel de actualización de la lista de usuarios autorizados
- Nivel de actualización de los privilegios concedidos
- Correcto funcionamiento del sistema de identificación y autenticación
- Cambio periódico de contraseñas
- Almacenamiento cifrado de las contraseñas
4. Control de los procedimientos de gestión de soportes
- Identificación de los soportes
- Inventario de soportes
- Almacenamiento seguro de soportes
- Cumplimiento del procedimiento de autorización de la salida de soportes
- Medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado
- Funcionamiento de los registros de entrada y salida
- Aplicación de medidas a los soportes que salgan de la zona protegida (Niveles medio y alto)
5. Control Antivirus
- Actualización periódica de los programas Antivirus
- Revisión de la automatización del control Antivirus
- Cumplimiento de las obligaciones relativas al control Antivirus
6. Control del procedimiento de copias de respaldo
- Nivel de cumplimiento de las obligaciones relativas a la realización de copias de respaldo
- Nivel de cumplimiento de la periodicidad establecida
- Nivel de cumplimiento de las obligaciones relativas al almacenamiento de las copias
- Nivel de cumplimiento de las obligaciones relativas a las tareas de recuperación
7. Control del procedimiento de incidencias para cumplir el RGPD
- Nivel de cumplimiento de la obligación de notificar las incidencias producidas
- Nivel de cumplimiento de la obligación de dar respuesta a las incidencias producidas
- Nivel de cumplimiento de la obligación de registrar las incidencias producidas
8. Control del cumplimiento de las normas internas y las funciones del personal
- Existencia de copias de las normas en poder de los responsables de su aplicación
- Existencia de copias firmadas por los usuarios del sistema
- Nivel de conocimiento
- Nivel de sensibilización
- Nivel de aceptación
- Nivel de cumplimiento
- Detección de irregularidades
- Medidas correctoras
- Medidas disciplinarias
- Control de contenidos
- Monitorización aleatoria de los accesos a Internet
9. Control del cumplimiento de las normas de confidencialidad y secreto
- Definir el nivel de confidencialidad de cada documento
- Control de los canales de distribución de documentos
- Nivel de sensibilización
- Detección de irregularidades
- Medidas correctoras
- Medidas disciplinarias
- Comprobación de las normas de cifrado de la información interna y en telecomunicaciones
10. Control del cumplimiento de las normas de propiedad intelectual
- Revisión de cada terminal mediante programas de auditoría de red o de puesto de trabajo
- Inventario de licencias de uso
- Lista de programas homologados
- Correlación entre las licencias existentes y los programas instalados
- Control de contenidos y bases de datos
Además el Informe de Auditoría recogerá la adecuación de las medidas y controles a lo dispuesto por la legislación vigente y normas internas. Identificando deficiencias y proponiendo las medidas correctoras o complementarias necesarias. Incluirá los datos, evidencias y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
La Agencia Española de Protección de Datos también nos facilita esta Guía de Cumplimiento del RGPD para ayudarnos en la labor de adaptación y poder cumplir el RGPD. Solo están disponibles en la web de la Agencia Española de Protección de Datos (AEPD) las guías generales RGPD que ya están adaptadas al Reglamento General de Protección de Datos.
Por lo que, los perfiles asignados para la realización de auditorías ya sean internas o externas, siempre deberán garantizar que tienen experiencia suficiente en la realización de Auditorías de Cumplimiento Normativo y formación específica en materia de Protección de Datos de Carácter Personal. El Curso de Experto de Corporate Compliance de EDEU Formación te ayudará a conseguirla.
Si buscas alcanzar este perfil profesional altamente cualificado y abrir tus expectativas de mejora laboral en un campo con crecimiento exponencial durante los próximos años, no busques más ¡Infórmate Hoy!