Se trata de los diferentes procedimientos de gestión de evaluación de riesgos que se diseñan en una organización y, generalmente, lo normal sería que en una organización se ejecuten los siguientes proyectos:
Un proyecto para la Gestión del Cumplimiento de la Protección de Datos
Un proyecto para la Gestión de la Gestión de la Seguridad de la Información (SGSI)
Otros proyectos adyacentes o específicos y que el consultor crea necesario. Por ejemplo:
Proyecto de cumplimiento LSSICE
Proyecto para analizar si se gestiona correctamente la videovigilancia de la organización
Proyecto específico para analizar si se gestiona correctamente las brechas de seguridad
Proyecto específico para analizar si se gestiona correctamente las solicitudes de ejercicio de derechos
Proyecto específico para analizar si el DPO ha sido designado correctamente y cumple eficazmente con sus obligaciones
Etc.
Actuaciones de un proyecto
Los proyectos de sistemas de gestión, bien sean de cumplimiento normativo, de SGSI o adyacentes, son proyectos vivos, es decir, que no tienen un inicio y un final, sino que se define el procedimiento y se va trabajando sobre él con diferentes actuaciones en el tiempo. No obstante, el sistema permite cerrar un proyecto y comenzar a realizar otro para el mismo objetivo, bien sea porque se quiere mejorar y empezar de cero o por cualquier otro motivo.
En relación a lo anterior, cada proyecto dispondrá de diferentes actuaciones a lo largo del tiempo, que será cada uno de los programas de auditoría que se realizan sobre ese proyecto en cuestión.
Por ejemplo:
Actuación 1: Diseño del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos
Actuación 2: Auditoría del año 1 del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos
Actuación 3: Auditoría del año 2 del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos
Actuación 4: Auditoría del sistema de gestión de evaluación de cumplimiento de la normativa de protección de datos por cambios importantes en la infraestructura de la organización. Y así, sucesivamente.
El sistema permite trasladar el estado de todos los ítems de una actuación a la nueva actuación, lo que reducirá mucho las gestiones y el trabajo de la auditoría. A tener en cuenta que, para crear una nueva actuación en un proyecto, se deberá cerrar la anterior.
A continuación exponemos un vídeo explicativo sobre cómo cerrar y crear nuevas actuaciones en los Análisis de Riesgos:
Actuaciones en los Análisis de Riesgos
Cronología
Son las diferentes fases por las que vamos pasando en una actuación, y en cada fase, el sistema recoge automáticamente la fecha y el usuario que la gestionó.
No obstante de lo anterior, los datos de fecha y usuario de cada fase se pueden editar y modificar con posterioridad
Las diferentes fases que tiene la cronología de una actuación son:
Creación: Fase durante la cual se le da forma a la actuación, objetivos, equipo auditor
Definición: Fase durante la cual se selecciona los escenarios y las amenazas que se pretenden evaluar
Evaluación Inherente: Fase durante la cual se evalúa la probabilidad y el impacto de los riesgos inherentes a los tratamientos de datos personales, así como la madurez de las salvaguardas, esto es, el grado de implementación de las medidas técnicas y organizativas correctoras.
Evaluación Residual: Fase durante la cual se evalúa la probabilidad y el impacto de los riesgos tras la implementación de las salvaguardas, obteniendo así el riesgo residual, es decir, el riesgo que subsiste después de haber implementado los controles oportunos.
Cierre: Fase durante la cual se cierra la actuación y se da por terminada
Equipo auditor
En esta sección se identifica a todas las personas que intervienen en la actuación. Toda actuación debe disponer de:
Un administrador de sistemas: Será el encargado de organizar la implementación de las medidas técnicas de seguridad en la organización.
Un Delegado de Protección de Datos: Si lo hubiere, se identificará al DPO y, en su defecto, se identificará al Responsable de Privacidad. En síntesis, será la persona responsable de organizar la implementación de las medidas organizativas
Un Responsable del Proyecto: Será la persona que supervisa todas las gestiones y actuaciones de un proyecto
Técnico auditor: Será el técnico que realiza las actividades de “campo” para la correcta ejecución de las gestiones y actuaciones del proyecto.
Contexto
En esta sección se escogen todos los entes o recursos que intervienen en los procesos de tratamientos de datos que se van a evaluar en el proyecto. Los diferentes tipos de contexto son:
Organizaciones de control involucradas en los tratamientos de datos
Actividades de tratamiento
Puntos de control que se utilizan en los tratamientos de datos
Personal que interviene en los tratamientos de datos
El objetivo de esta sección es que en el informe de auditoría quede reflejado un inventario de todos los activos evaluados.
Escenarios
Los catálogos son conjuntos de escenarios de amenazas agrupadas por un mismo ámbito. Por ejemplo:
Catálogo de amenazas para la seguridad de la información (Riesgos TIC o SGSI)
Catálogo de amenazas en el cumplimiento normativo de protección de datos
Catálogo de amenazas en el cumplimiento LSSICE
Etc.
Y dentro de cada catálogo, las amenazas están agrupadas por escenarios, es decir, conjunto de amenazas aplicables a un mismo ámbito.
Evaluación del riesgo inherente
Se trata de, en base a las posibles amenazas a las que pueda estar una organización, determinar y evaluar el riesgo inherente según el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.
Gracias a lo anterior, se pueden determinar las medidas de seguridad técnicas y organizativas a implementar para mitigar o reducir dichos riesgos.
En esta fase también se permite documentar qué medidas ya están implementadas en la organización.
Por otro lado, si tras analizar una amenaza se llega a la conclusión de que es imposible que ocurra en la organización, se permite documentar los motivos de no aplicabilidad.
Evaluación del riesgo residual
Se trata de, en base a las posibles amenazas a las que pueda estar una organización, determinar y evaluar el riesgo residual según el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.
En síntesis se trata del riesgo resultante tras la implementación de las medidas técnicas y organizativas (salvaguardas), permitiendo hacer balance de porcentajes de mejora o empeoramiento, es decir, analizar el grado de efectividad de las medidas de seguridad
Justificación de las evidencias en las salvaguardas
La forma más eficiente de realizar un Análisis de Riesgos, en lo que respecta a las medidas de seguridad técnicas y organizativas implementadas, es disponiendo de una sección que contenga las evidencias que nos permitan demostrar que una salvaguarda ha sido implementada.
El sistema permite hacerlo mediante una explicación textual. Pero además permite adjuntar documentos que demuestren o justifiquen que dicha salvaguarda ha sido evidentemente implementada. Para ello podemos adjuntar documentos, fotografías, pantallazos, informes, contratos, etc.
A modo informativo, os indicamos que en las versiones premium de nuestra aplicación se permite configurar la obligatoriedad o no obligatoriedad de adjuntar documentos de evidencia. En el resto de licencias, la decisión de adjuntar o no es libre.
Conclusiones
En esta sección se permite redactar un informe de conclusiones e información adicional que quieran documentar cada una de las partes que intervienen en las gestiones de la actuación del proyecto.
Informes
Son los diferentes informes que se pueden emitir respecto a los resultados de la actuación en el proyecto de análisis de riesgos. Existen diferentes informes:
Informe de actuación de análisis de riesgos: Este es un informe completo que recoge absolutamente todos los ítems e información de la actuación
Informe de escenario: Se detallan los escenarios seleccionados en la actuación
Informe de amenazas: Detalla las amenazas analizadas en la actuación
Informe de riesgos inherentes: Resultado de la evaluación de riesgos inherente
Informe de salvaguardas: Listado de salvaguardas y estado de implementación
Informe gráfico: Gráfica de riesgos por gravedad
Recibí y conformidad: Documento justificante de entrega de auditoría y conformidad de la organización auditada.
VÍDEOS SOBRE EL FUNCIONAMIENTO DE LOS PROYECTOS
Creación de un proyecto
Fase de Creación de Proyecto de Análisis de Riesgos
Definición de un proyecto
Fase de Definición de Proyecto de Análisis de Riesgos
Evaluación del Riesgo Inherente Básico
Fase de Evaluación del Riesgo Inherente modo básico
Evaluación del Riesgo Inherente Avanzado
Fase de Evaluación del Riesgo Inherente modo avanzado
Evaluación del Riesgo Residual
Fase de Evaluación del Riesgo Residual
Justificación de evidencias en las salvaguardas
Justificación de evidencias en salvaguardas
Redacción de conclusiones del equipo auditor
Establecimiento de las conclusiones del análisis de riesgos
