La innegable realidad tecnológica en la que vivimos actualmente a todos los niveles de nuestras vidas, incluyendo el ámbito profesional, requiere el uso por parte de las empresas de complejos softwares, equipos y programas con el que realizar sus fines societarios. Dentro de estos softwares y programas, las empresas generan, procesan y almacenan datos e información, tanto propia como de terceros, a niveles a veces casi infinitos. La sensibilidad de estos datos y su carácter confidencial los hace especialmente atractivos para los hackers de la red, ansiosos de captarlos para usarlos en su favor. Por ello, es imprescindible contar con un férreo y adecuado sistema de seguridad para los sistemas de la información de las entidades, lo cual acaba derivando a la necesidad actual de que estas entidades se sometan a auditorías de sistemas.
La auditoría de sistemas es aquel examen destinado a revisar y evaluar los controles y sistemas de informática existentes en la entidad, así como su utilización, eficiencia y seguridad. La auditoría de sistemas consiste básicamente en:
Realizada por personal externo a la empresa, la auditoría de sistemas ofrece una evaluación independiente. El análisis y evaluación realizados a través de la auditoría de sistemas debe ser objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser un claro ejemplo de la realidad de la empresa en cuanto a los procesos y la informatización se refiere, para mejorar la toma de decisiones y el negocio en general.
Los objetivos principales, a grandes rasgos y de forma resumida, de la auditoría de sistemas pueden agruparse en:
Por lo tanto, la auditoría de sistemas es una forma de control y evaluación que no solo abarca los equipos informáticos en sí, sino que su ámbito de aplicación abarca también el control de los sistemas de entrada a dichos equipos y el uso que se le da a los mismos.
Las auditorías de sistemas pueden ser aplicadas a diferentes niveles corporativos, pudiendo realizarse una auditoría de sistemas a toda la entidad, a un departamento, a un área o incluso a una actividad concreta. Por otro lado, dentro de la auditoría de sistemas, y en función de los procedimientos de auditoría aplicados y el objetivo que se quiere valorar, pueden distinguirse diferentes tipos:
La normativa de referencia en cuanto a la auditoría de sistemas la encontramos principalmente en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (RD 994/99); el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD); el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD); y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
En cuanto a qué se dispone en cada una de ellas acerca de la obligatoriedad de realizar una auditoría de sistemas y a la forma de realizarla:
Por su parte, la Agencia Española de Protección de Datos sí que ha hecho referencia a la realización de auditorías en el marco de las relaciones entre el responsable y el encargado del tratamiento de los datos, que queda plasmada en la Guía con las directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento en la que se incluyeron los puntos clave a tener en cuenta en esta relación contractual conforme las nuevas implicaciones legales establecidas por el RGPD, recogiendo la obligación del encargado de permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable y de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías.
Por tanto, las conclusiones que podemos obtener tras un breve análisis normativo acerca de la obligatoriedad de la realización de las auditorías de sistemas, es que ninguna de las actuales normativas vigentes las incluyen como una medida obligatoria al no concretarse en qué casos y a qué tratamientos resultaría de aplicabilidad, sino que este hecho vendría determinado por sus propios riesgos.