Compartimos un primer artículo generado en el grupo de trabajo Auditoría del Dato de DAMA España.
Autores:
Una auditoria de datos, se realiza para investigar inquietudes particulares en torno a un conjunto de datos y diseñada en cierta medida para determinar si los datos se almacenan en cumplimiento a los requisitos o requerimientos regulatorios, contractuales y/o metodológicos.
DAMA España no es ajena a estas inquietudes y iniciamos un nuevo grupo de trabajo, en el cual nos centramos en la Auditoría de datos, como un proceso de verificación, evaluación y valoración regular de las medidas técnicas y organizativas para garantizar la seguridad y almacenamiento de los datos en cumplimiento de regulaciones gubernamentales o internas en las organizaciones.
La auditoria y el gobierno de datos estan muy relacionados uno con el otro, dado que el primero se apoya en el segundo para la obtención de entregables necesarios para llevar a cabo los diferentes chequeos necesarios para el cumplimiento normativo, entre otras aspectos.
Es por ello que desde el grupo de auditoria de datos consideramos que la Auditoria de Datos requiere una capítulo dentro del DMBOK, como libro de referencia accesible y autorizado para los profesionales de la Gestión de Datos, pero también para los diferentes auditores, que sea un marco de referencia o de buenas practicas confiables para llevar a cabo un proceso de auditoria de datos.
Es éste uno de nuestros objetivos fundamentales como grupo:
- Proporcionar un marco de referencia funcional para la implementación de la auditoria de datos
- Establecer un vocabulario común para los conceptos de la auditoria de datos
- Servir de guia de referencia para llevar a cabo una auditoria de datos.
En paralelo a nuestro objetivo fundamental como grupo, es también la de divulgar y dar a conocer las virtudes y responsabilidades que lleva asociado la implementación de la Auditoria de datos en las organizaciones.
Primeramente estamos sentando las bases de lo que conocemos como Auditoria de Datos, cual es su objetivo, que se pretende cubrir con su implantación, etc …para posteriormente profundizar en aquellos aspectos que sean de interes para las organizaciones y los profesionales, como son los riesgos asociados a los datos.
Aprovecho también la oportunidad que se nos brinda en este foro, de dirigirme a vosotros, profesionales ligados al mundo de los datos con experiencia o interés en los procesos de auditoría de datos, así como a especialistas en auditoría de protección de datos o auditoría de sistemas, a formar parte de este grupo de trabajo y mediante el cual podamos difundir, fomentar, promover la cultura del dato y la auditoría en particular.
1- Definición de la Auditoría de Datos
Según la Real Academia de la Lengua Española, Auditoría se refiere a la revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse.
Partiendo de esta definición, podemos definir una Auditoria de Datos como la revisión sistemática de todos los procesos y procedimientos del ciclo de vida del dato, evaluando el cumplimiento de las reglas y criterios a los que los datos deben someterse.
Dentro de esta evaluación, la Auditoría de Datos pivotará sobre varios puntos:
Acceso, actualización, integridad y calidad de los datos.
- Reducción de riesgos
- Detección de vulnerabilidades
Añadiremos a esta definición que toda Auditoría de Datos, busca implementar los mecanismos de control necesarios para cumplir con estas reglas y criterios de seguridad y calidad en los datos dentro de la organización.
Tales mecanismos pueden clasificarse como preventivos, de detección, correctivos o de recuperación ante una contingencia.
2- Riesgos por no realizar una Auditoría de Datos
Los mecanismos de control implementados en una Auditoría de Datos permiten identificar, prevenir o mitigar riesgos derivados de la gestión de datos.
En este sentido, definimos el riesgo de gestión de datos como la pérdida potencial causada por el uso, tratamiento o explotación de la información de forma no íntegra, no fiable, no disponible, no completa, no accesible, no actualizada, etc., que puede afectar adversamente al desarrollo de los procesos de negocio, al cumplimiento con las normativas vigentes, a la toma de decisiones o al logro de los objetivos de la organización.
Algunos ejemplos de estos riesgos son los siguientes:
- Baja calidad de los datos
- Información inconsistente
- Error en el tratamiento manualde los datos
- Incidencias de seguridad y privacidaden la gestión de los datos de carácter personal
- Información no disponibleen el momento requerido
- Información no gobernada
3- Motivación de la Auditoría de Datos
Los motivos por los que una organización debe afrontar la implementación de procesos de Auditoría del Dato son de los más diversos, pero queremos centrarnos en los siguientes:
- Evitar las consecuencias que puede acarrear el incumplimiento de las normativas vigentes y con ello las multas a las que se puede ver expuesta una empresa u organización
- Preservar los derechos individuales
- Evitar las malas praxisdentro de las organizaciones
- Mitigar la fuga de datos
- Identificar las vulnerabilidades de los sistemas de gestión
- Garantizar que se están tomando decisiones basadas en información de calidad.
Cada organización está afectada por las regulaciones gubernamentales y de la propia industria, incluyendo aquellas que dictan cómo se deben gestionar los datos y la información en un contexto determinado. En 1980, la Organización de Cooperación y Desarrollo Económico (OCDE), estableció directrices y Principios para el proceso justo de la Información que se convirtieron en la base de las leyes de protección de datos de la Unión Europea. Son ocho los principios fundamentales de la OCDE que tiene como objeto garantizar que los datos personales se procesen de manera que se respete el derecho de las personas a la privacidad y que sentaron la base de los principios del GDPR del año 2016.
El incumplimiento de GDPR por parte de las organizaciones puede acarrear cuantiosas sanciones nada desdeñables:
- Multa de hasta 10 millones de euros o hasta el 2% del volumen del negocio total anual global del ejercicio financiero anterior.
- Multa de hasta 20 millones de euros o hasta el 4% del volumen del negocio total anual global del ejercicio financiero anterior.
Como consecuencia directa además del impacto económico, está el impacto reputacional de la organización por su no cumplimiento.
Como puede apreciarse, este es un sistema dual para fijar la cuantía de las sanciones referentes a la protección de datos: la multa podrá consistir en una cifra exacta (hasta 10 o 20 millones de euros), o bien, podrá calcularse en función de un determinado porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la organización sancionada (hasta el 2% o 4%). Y posiblemente lo más importante a tener en mente, siempre se elegirá la opción más costosa.
Igualmente, es evidente la importancia que tiene de por si la GDPR, y que debe ser el principal incentivo para cumplirla, y esto lo podemos dividir en dos grandes motivos.
En primer lugar, la UE quiere dar a las personas más control sobre cómo se utilizan sus datos propios, partiendo de que muchas empresas como Facebook y Google intercambian el acceso a los mismos para así facilitar y/o habilitar el uso de sus servicios. Lo que ocurre es que la actual legislación fue promulgada antes de que Internet y la tecnología de la nube crearan nuevas formas de explotar los datos, por lo que la GDPR busca abordar.
Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la economía digital emergente.
Contenido completo:
-Exclusivo para socios de DAMA España-