Auditora de Proteccin

de Datos (LOPD 15/99)

www.a d h ec. in fo
 Plan de actuaciones
Metodologa 3
Proceso de adaptacin a la LOPD 5
Auditora de adaptacin a la LOPD 6
Auditora UNE-ISO/IEC 17799:2002 y certificacin LOPD 8
Servicios 9
Glosario 10

2 0 03 Ad h e c
Metodologa
Proceso metodolgico de certificacin de sistemas
La Ley Orgnica de Proteccin de Datos de Carcter Personal
15/1999, de 13 de Diciembre desarrolla una serie de
obligaciones aplicables a todas aquellas empresas que posean
ficheros con datos de carcter personal.
En el momento de poner en prctica los requerimiento exigidos
por la ley es cuando se plantea la necesidad de utilizar unos
procedimientos y una metodologa que garanticen el
cumplimiento de la normativa legal en vigor.
Adhec es la metodologa que permite evaluar el estado de la
seguridad de los sistemas de informacin de las organizaciones
segn los requisitos exigidos por la legislacin vigente.
El desarrollo de se ha realizado siguiendo las pautas de
evaluacin de sistemas de informacin reconocidas
internacionalmente y adaptndolas a la realidad legislativa
espaola.
Magerit, Consejo Superior de Informtica del Ministerio de
las Administraciones Pblicas
Common Criteria, sistema internacional desarrollado
conjuntamente por EE.UU, Canad, Francia, Reino Unido,
Alemania y Holanda
ISACA, Information Systems Audit and Control Association
ISO 17799, ISO
Security Plans, National Institute of Standards and
Technology (EE.UU)
La finalidad bsica del proceso metodolgico consiste en
llevar a cabo una labor de asesoramiento y consejo de cara
a implantar las medidas necesarias para alcanzar los niveles
de proteccin de datos exigidos por la ley.
2 0 03 Ad h e c
Los principios fundamentales se resumen en los siguientes
conceptos:
Independencia, de criterios no condicionados por
valoraciones subjetivas
Finalidad, estableciendo unos procedimientos que
garantizan el cumplimiento legal
Asesoramiento o consejo, recomendando las actuaciones
ms adecuadas
Justificacin, en base a un examen y anlisis
Por lo tanto, garantiza de esta manera al auditado, a travs
de una metodologa y una mtrica, el anlisis y la evaluacin
de sistemas de una forma objetiva. Todo ello fundamentado
en la mejores prcticas y conocimientos.
La organizacin decidir el proceso de adaptacin que mejor
se adecue a su realidad empresarial, eligiendo entre dos
planteamientos perfectamente diferenciados. Cada uno de
ellos garantiza el correcto cumplimiento de la legislacin
vigente.
auditora de adaptacin a la LOPD
auditora de adaptacin y certificacin a la LOPD
Finalizado el proceso de Adaptacin los auditados pueden
acceder a los servicios que Adhec les ofrece:
Automatizacin de la gestin del documento de seguridad
Revisin y mantenimiento jurdico-tecnologco
Certificacin de ficheros
Defensa jurdica
3
Metodologa
Diagrama de fases
El proceso de evaluacin est desarrollado de tal manera que tanto el auditor
como la organizacin participan de forma activa en la evaluacin del sistema.

En ltimo caso, la organizacin es la que ha de decidir la situacin futura de

su sistema asumiendo el riesgo, reducindolo o volviendo a evaluar para contrastar
la informacin aportada.

Ni ve l d e ri es g o

Definicin de
requerimientos

Seleccin de
salvaguardas
Administrativas
Personal
Fsicas
Tcnicas

2 0 03 Ad h e c 4
Proceso de adaptacin a la LOPD
Alcance
El proceso a travs del cual se garantiza la correcta adaptacin Un punto fundamental para llevar a cabo esta adaptacin pasa
tanto a la Ley Orgnica de Proteccin de Datos de Carcter por la total implicacin de la organizacin auditada, durante
Personal (LO 15/99), como a las directivas de la Comunidad la ejecucin de todas las fases de desarrollo de la misma.
Europea, se estructura en una serie de fases que permiten
abarcar todos los requisitos legislativos.

Preparacin Anlisis Valoracin

Flujos de datos Ficheros Nivel de riesgo
Identificacin Activos Informe
Optimizacin Sistema
Clasificacin Seguridad
Declaracin

Plan de accin Auditora

Seleccin de
salvaguardas
Documento de Formacin
seguridad
Asesoramiento
en procesos LSSICE
Asesoramiento
jurdico
Procedimientos

2 0 03 Ad h e c 5
Auditora de adaptacin a la LOPD
Procesos de la auditora
El proceso de auditora de adaptacin esta formado por un A continuacin se detallan los procesos que se llevarn a cabo,
conjunto de procesos que garantizan una correcta adaptacin detallando en cada uno de ellos el mbito y alcance del mismo.
al cumplimiento exigido por la legislacin vigente, en materia de
proteccin de datos .

Preparacin Valoracin

Anlisis del flujo lgico de la informacin respecto de los
principios de proteccin de datos
Se analiza el flujo de los datos de carcter personal dentro de la organizacin,
desde su recogida hasta el posterior tratamiento.
Valoracin de riesgo en el sistema de informacin
Finalizados los procesos anteriores, se emite un informe en el que se evala
el nivel de riesgo asumido por la organizacin en el tratamiento de ficheros
con datos de carcter personal.

Identificacin de los ficheros con datos de carcter personal Informe de recomendaciones para la adecuacin del sistema
existentes en la organizacin de informacin

Se identifican los datos de carcter personal tratados por la organizacin, En base a la informacin recogida en los procesos anteriores se recomiendan
y se analizan los ficheros en los que se almacenan y/o tratan estos datos. las mejores prcticas, que garantizan una correcta adaptacin a la legislacin
en mat eri a de prot ec ci n de dat os de c arc t er pers onal.
Recomendaciones y pautas para la optimizacin en la
declaracin de ficheros
Emisin de recomendaciones para la ptima declaracin y posterior tratamiento
de los ficheros. Se evala el impacto de la declaracin dentro de la
organizacin.

Clasificacin de los ficheros en funcin del nivel de seguridad

Se clasifican los ficheros en base a las recomendaciones anteriores, segn
los criterios de seguridad aplicables a los datos.

Alta de los ficheros en el registro de la Agencia de Proteccin

de Datos
Se lleva a cabo el alta de los ficheros identificados y clasificados en las
fases anteriores.

Anlisis

Evaluacin de ficheros
De acuerdo a la legislacin vigente, se lleva a cabo el anlisis de ficheros
evaluando los niveles de confidencialidad, integridad de los datos, control
de accesos, criptografa e incidencias

Evaluacin de activos
De acuerdo a la legislacin vigente, se lleva a cabo el anlisis de los activos
que almacenan los ficheros, evaluando las vulnerabilidades y amenazas de
los mismos.

Evaluacin del sistema de informacin

De acuerdo a la legislacin vigente, se lleva a cabo el anlisis del sistema
de informacin que trata los ficheros, evaluando la susceptibilidad, integridad,
impactos y vigilancia sobre el mismo.

Evaluacin de la seguridad
De acuerdo a la legislacin vigente, se lleva a cabo el anlisis de la gestin
de la seguridad sobre el sistema de informacin, evaluando las polticas
aplicadas en materia de proteccin, personal y mantenimiento.

2 0 03 Ad h e c 6
Auditora de adaptacin a la LOPD
Procesos de la auditora (continuacin)

Plan de accin Auditora

Seleccin de las salvaguardas del informe preliminar Auditora del sistema de informacin
Como resultado de las salvaguardas emitidas en el informe preliminar se Finalizado el proceso, se auditar el sistema de informacin con el objeto
lleva a cabo una seleccin de aquellas que garanticen una correcta adopcin de garantizar los requerimientos legales exigidos por la legislacin vigente.
a la legislacin vigente.

Documento de Seguridad inicial

Durante el proceso de implantacin de salvaguardas, se provee al auditado
de un documento de seguridad, adaptado a los niveles de ficheros afectados,
de acuerdo a las exigencias de la legislacin vigente.
Formacin
Procedimiento para la gestin del documento de seguridad
As mismo, se proporciona el procedimiento que permite gestionar el Formacin en proteccin de datos a tres niveles
documento de seguridad.
De acuerdo con la legislacin vigente, se proceder a formar a todo el
Asesoramiento en polticas de seguridad personal que tenga acceso a los ficheros con datos de carcter personal.
Para ello se llevar a cabo la formacin necesaria en materia de proteccin
de datos, segn los siguientes niveles dentro de la organizacin:
Se indicarn aquellas pautas necesarias para la adopcin de polticas de
seguridad que garanticen el cumplimiento de la legislacin vigente.
Responsable del fichero

Asesoramiento en planes de contingencia Administradores y/o Responsable de seguridad

Se suministraran las mejores prcticas para la redaccin de planes de Operadores de los ficheros
contingencia, de tal forma que garanticen la calidad de los datos en el caso
de que se produzca una contingencia.

Asesoramiento en aspectos jurdicos

LSSICE
Se asesorar jurdicamente en el mbito de la proteccin de ficheros con
datos de carcter personal.

Asesoramiento jurdico para la normalizacin de Gua de recomendaciones y modelos para el cumplimiento

procedimientos
Se suministrarn modelos de procedimientos jurdicos acordes a los diferentes
niveles de tratamiento llevados a cabo en los ficheros con datos de carcter
personal.
de la LSSICE
Se proporcionar una gua de recomendaciones que permita adaptar la
organizacin a la Ley de Servicios de la Sociedad de la Informacin y el
Comercio Electrnico (L 34/2002).

Procedimientos de etiquetado de activos y soportes

Se proveer de unos procedimientos tipo que permitan realizar el etiquetado
tanto de activos como de soportes.

Procedimientos de entrada y salida de soportes

Se emitirn las recomendaciones oportunas para el tratamiento de los
registros de entrada y salida de los soportes que contengan datos de ficheros
con datos de carcter personal.

Modelos de etiquetado de activos y soportes

Se suministrarn etiquetas que permitan la identificacin de activos y soportes
q ue c on t en gan f ic her os c on d at o s d e c ar c t e r per s on al .

2 0 03 Ad h e c 7
Auditora UNE-ISO/IEC 17799:2002 y certificacin LOPD
Procesos de la auditora y certificacin
El proceso de auditora y certificacin est diseado para aquellas
organizaciones que entienden la proteccin de datos de carcter
personal como un indicador de excelencia para su organizacin.
Para conseguir este objetivo, se ampla el alcance del proceso
de auditora a la norma UNE-ISO/IEC 17799:2002, con el objeto
de presentar una diferenciacin de valor en el tratamiento de los
ficheros con datos de carcter personal.

Plan de accin UNE-ISO/IEC 17799:2002 Certificacin LOPD

Consultora jurdica en contratos y clusulas Certificacin de ficheros

Se llevar a cabo una revisin de todas las clusulas y relaciones contractuales
que la organizacin utilice en el habitual desempeo de sus labores
empresariales.
Adaptacin jurdica de medidas de seguridad
Una vez revisadas todas las clusulas y contratos se proceder a la correccin
y validacin de las mismas de manera que se adapten correcta y
excelentemente a la LOPD.
Para aquellos casos en los que las medidas adoptadas alcancen un nivel
de excelencia, se emitir el certificado de calidad Adhec. De esta manera,
la organizacin demuestra que no se limita a cumplir correctamente la
legislacin vi gente si no que lo hace de f orma excelente.
Marca Adhec en los ficheros certificados
En aquellos ficheros certificados, la organizacin podr utilizar la marca
Adhec como un elemento diferenciador de calidad y excelencia.

Elaboracin de planes de contingencia Revisiones y mantenimiento

Se elaborarn los planes de contingencia necesarios, que permitan garantizar Todos los ficheros certificados llevan asociados unas revisiones y
la calidad de los datos, acordes con las exigencias de la legislacin vigente. mantenimientos por parte de los auditores Adhec, al objeto de garantizar
que se garanticen los niveles de excelencia, en el tratamiento de los datos
avalados por el certificado.
Elaboracin de polticas de seguridad.
Se redactarn las polticas de seguridad necesarias, adaptadas a la realidad
empresarial de cada organizacin, acordes al cumplimiento de la legislacin
vigente.

Auditoria y seguimiento de la implantacin de medidas

Con el objeto de garantizar el impacto de la implantacin de las medidas
de seguridad puesta en marcha por la organizacin, se llevar a cabo una
auditora y el seguimiento de las medidas implantadas. Este seguimiento
abarcar todo el proceso de implementacin de las mismas.

2 0 03 Ad h e c 8
Servicios Adhec
Servicios de seguimiento Adhec
Conscientes de que la proteccin de los datos de carcter Estos servicios dan soporte a nivel tecnolgico, jurdico y
personal no debe ser una actuacin puntal, desde Adhec hemos documental. De esta manera se llevan a cabo actualizaciones
diseado unos procesos de seguimiento de la adaptacin. y adaptaciones a las posibles modificaciones en el campo de la
Durante los 2 aos siguientes a la finalizacin de la auditora, proteccin de datos.
se pueden contratar nuestros servicios de seguimiento.

Auditora Tecnolgica Auditora Jurdica

Auditoras de los sistemas de informacin Revisin jurdica

Revisin peridica de los sistemas de informacin que tratan datos de
carcter personal.
Informes de recomendaciones y auditora
Emisin de recomendaciones cuando se realicen modificaciones en los
sistemas de informacin, que tratan datos de carcter personal, cuando
sean significativas, de tal forma que pudieran afectar al cumplimiento de la
legislacin vigente y sus consiguientes auditoras.
Durante el perodo de duracin del servicio, se proveer de un asesoramiento
jurdico en temas relacionados con la proteccin de datos de carcter
personal.
Acompaamiento jurdico
En el caso de una inspeccin por parte de la Agencia de Proteccin de
Datos, la organizacin contar con la colaboracin de un auditor Adhec
durante el proceso de inspeccin.

Frecuencia del servicio

La revisiones se llevarn a cabo en funcin del nivel de seguridad aplicado
a los ficheros que posea la organizacin, de esta manera la frecuencia ser:
Defensa jurdica
Nivel bsico Semestral
Defensa ante una denuncia o inspeccin
Nivel medio Trimestral
Estar auditado por Adhec le proporcionar el acceso a los ms prestigiosos
Nivel alto Mensual despachos de abogados, especializados en proteccin de datos.

Hcate GDocs

Gestin del documento de seguridad

GDocs es una herramienta que le permite gestionar de forma integral, a travs de un sencillo interfaz, todos los ficheros de carcter personal que hayan sido declarados
ante la Agencia de Proteccin de Datos.

GDocs es de obligado uso en aquellos ficheros que hallan sido certificados.

En la tabla inferior se describe el alcance de GDocs.

mbito Especificacin detallada de los recursos protegidos Seguridad Procedimiento para la realizacin de copias de respaldo
Identificacin del Responsable del Fichero Procedimiento para la recuperacin de los datos
Indicacin de la empresa, entidad u organizacin Periodicidad de las copias de respaldo o de seguridad
Controles peridicos de verificacin Procedimiento de contraseas
Nmero de reintentos de acceso no autorizado
Medidas y Medidas de seguridad existentes Control de acceso a los locales con ficheros
normas Relacin de los tipos de conexiones remotas Registro de Accesos
Sistemas de proteccin existentes Copia de respaldo
Relacin actualizada de los usuarios Procedimiento de recuperacin de datos
Personal Transmisin cifrada de datos
Relacin de personas o empresas ajenas a la organizacin
Relacin actualizada de administradores
Sistema de asignacin de contraseas Gestin de Etiquetado de los soportes
Responsable de Seguridad soportes Inventariado de los soportes
Acceso controlado del personal autorizado
Ficheros Estructura de los ficheros Procedimiento de autorizaciones de salida de soportes
Sistema informtico de acceso a los ficheros Procedimiento de baja de soportes
Programas informticos utilizados para el tratamiento Registro de entrada y salida de soportes
Ubicacin fsica del fichero Distribucin de soportes informticos cifrada
Incidencias Registro de Incidencias
Procedimiento de recuperacin de los datos de incidencias

2 0 03 Ad h e c 9
Glosario
Activo
Recurso fsico que permite dar soporte, almacenamiento, gestin o tratamiento
de los ficheros, de forma directa o indirecta.
Afectado o interesado
Persona fsica titular de los datos que sean objeto de tratamiento por parte
de otros.
Anlisis del riesgo
Identificacin de las amenazas que acechan a los distintos componentes
pertenecientes o relacionados con el sistema de informacin; para determinar
la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto
o grado de perjuicio que una seguridad insuficiente puede tener para la
organizacin, obteniendo cierto conocimiento del riesgo que se corre.
auditora
Proceso sistemtico, independiente y documentado para obtener evidencias
y evaluarlas de manera objetiva con el fin de determinar el alcance al que
se cumplen los procedimientos o requisitos contra los que se compara la
evidencia.
Cesin de datos
Toda revelacin de datos realizada a una persona distinta del interesado
Consentimiento del interesado
Toda manifestacin de voluntad, libre, inequvoca, especfica e informada,
mediante la que el interesado consienta el tratamiento de datos personales
que le conciernen.
Control de acceso
Esfuerzo para que slo aquellos usuarios autorizados accedan a los recursos
del sistema o a la red, como por ejemplo mediante las contraseas de
acceso.
Copias de seguridad
Sistema de almacenamiento que permite recuperar los datos de un sistema
de informacin a travs de unos procedimientos de recuperacin. Este
proceso de recuperacin provoca la falta de disponibilidad de los sistemas
de informacin.
Datos de carcter personal
Cualquier informacin concerniente a personas fsicas identificadas o
identificables.
Documento de seguridad
Documento en el que se detallan las caractersticas del Fichero con datos
de carcter personal, el sistema de informacin que lo gestin as como
todas las exigencias legales requeridas en funcin del nivel de seguridad
exigido al mismo
Encargado del tratamiento
La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro
organismo que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento.
Fichero
Todo conjunto organizado de datos de carcter personal, cualquiera que
fuere la forma o modalidad de su creacin, almacenamiento, organizacin
y acceso.
Gestin de los riesgos
Seleccin e implantacin de las medidas o salvaguardas adecuadas para
conocer, prevenir, impedir, reducir o controlar los riesgos identificados y as
reducir al mnimo su potencialidad o sus posibles perjuicios. La gestin de
riesgos se basa en los resultados obtenidos en el anlisis de los riesgos.
2 0 03 Ad h e c
Incidencia
Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
Medidas de seguridad
Requerimientos exigidos a los ficheros con datos de carcter personal para
que garanticen la seguridad de los datos en funcin del nivel de los mismos.
Mtrica
La mtrica es un conjunto de datos cuantificables que permiten caracterizar
procesos y productos, de la misma manera que se caracterizan objetos
fsicos en trminos de longitud, altura y profundidad.
Nivel de seguridad
Clasificacin de los ficheros en funcin de los datos de carcter personal
que posean.
Plan de contingencias
Forma detallada en que la organizacin debe reaccionar para asegurar que
las aplicaciones sigan activas ante determinados eventos, accidentales o
deliberados
Procedimiento de disociacin
Todo tratamiento de datos personales de modo que la informacin que se
obtenga no pueda asociarse a persona identificada o identificable
Responsable de seguridad
Persona o personas a las que el responsable del fichero ha asignado
formalmente la funcin de coordinar y controlar las medidas de seguridad
aplicables.
Responsable del fichero
Persona fsica o jurdica, de naturaleza pblica o privada, u rgano
administrativo, que decida sobre la finalidad, contenido y uso del fichero.
Riesgo
Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad
del sistema de informacin, causando un impacto en la empresa.
Salvaguardas
Conjunto de acciones fsicas o lgicas empleadas para eliminar o reducir el
riesgo en los sistemas de informacin.
Seguridad
Conjunto de medidas que tienen como objetivo garantizar la confidencialidad,
integridad y disponibilidad de los sistemas de informacin.
Sistema de informacin
Conjunto de ficheros, activos, programas, soportes y equipos empleados
para el almacenamiento y tratamiento de datos de carcter personal.
Soportes
Contenedores fsicos que permiten almacenar de una forma u otra ficheros
o datos de carcter personal.
Tratamiento de datos
Operaciones y procedimientos tcnicos de carcter automatizado o no, que
permitan la recogida, grabacin, conservacin, elaboracin, modificacin,
bloqueo y cancelacin, as como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
Usuario
Sujeto o proceso autorizado para acceder a datos o recursos.
10
Aviso legal:
Los derechos de propiedad intelectual de todos los contenidos de este documento, su diseo grfico y textos son titularidad de EFENET
Igualmente, todos los nombres comerciales, marcas o signos distintos de cualquier clase contenidos en este documento son propiedad de sus dueos y
estn protegidos por la ley. Por tanto, queda prohibida cualquier duplicacin, reproduccin, comunicacin pblica, transformacin, uso de la informacin
contenida, cualquier otra actividad que se pueda realizar con parte o la totalidad del presente documento o as como cualquier otra posible accin u omisin
ni an citando las fuentes, salvo consentimiento de EFENET

2 0 03 Ad h e c