La innegable realidad tecnológica en la que vivimos actualmente a todos los niveles de nuestras vidas, incluyendo el ámbito profesional, requiere el uso por parte de las empresas de complejos softwares, equipos y programas con el que realizar sus fines societarios. Dentro de estos softwares y programas, las empresas generan, procesan y almacenan datos e información, tanto propia como de terceros, a niveles a veces casi infinitos. La sensibilidad de estos datos y su carácter confidencial los hace especialmente atractivos para los hackers de la red, ansiosos de captarlos para usarlos en su favor. Por ello, es imprescindible contar con un férreo y adecuado sistema de seguridad para los sistemas de la información de las entidades, lo cual acaba derivando a la necesidad actual de que estas entidades se sometan a auditorías de sistemas.

La auditoría de sistemas es aquel examen destinado a revisar y evaluar los controles y sistemas de informática existentes en la entidad, así como su utilización, eficiencia y seguridad. La auditoría de sistemas consiste básicamente en:

• Examinar y evaluar los procesos en cuanto al nivel de informatización de los mismos y en cuanto al tratamiento de los datos.
• Verificar los controles en el procesamiento de la información y verificar la instalación de sistemas de seguridad.
• Evaluar los recursos invertidos, la rentabilidad de cada proceso y su eficacia.

Realizada por personal externo a la empresa, la auditoría de sistemas ofrece una evaluación independiente. El análisis y evaluación realizados a través de la auditoría de sistemas debe ser objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser un claro ejemplo de la realidad de la empresa en cuanto a los procesos y la informatización se refiere, para mejorar la toma de decisiones y el negocio en general.

Los objetivos principales, a grandes rasgos y de forma resumida, de la auditoría de sistemas pueden agruparse en:

• Determinar si los controles implementados son eficientes y suficientes;
• Identificar las causas de los problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas de información confiables y disponibles;
• Identificar causas y soluciones a problemas específicos de los sistemas de información, que pueden estar afectando a la operación y a las estrategias del negocio, como el cumplimiento de licencias de software, las incompatibilidades de hardware y software, errores en bases de datos con problemas de seguridad, fallas en el control de versiones, etc.;
• Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas informatizados;
• Educar sobre el control de los sistemas de información, puesto que se trata de un sector muy cambiante y relativamente nuevo, por lo que es preciso educar a los usuarios de estos procesos informatizados;
• Mejorar la relación coste-beneficio de los sistemas de información

Por lo tanto, la auditoría de sistemas es una forma de control y evaluación que no solo abarca los equipos informáticos en sí, sino que su ámbito de aplicación abarca también el control de los sistemas de entrada a dichos equipos y el uso que se le da a los mismos.

Las auditorías de sistemas pueden ser aplicadas a diferentes niveles corporativos, pudiendo realizarse una auditoría de sistemas a toda la entidad, a un departamento, a un área o incluso a una actividad concreta. Por otro lado, dentro de la auditoría de sistemas, y en función de los procedimientos de auditoría aplicados y el objetivo que se quiere valorar, pueden distinguirse diferentes tipos:

• Auditoría de la gestión: se verifica el uso de los sistemas para la contratación de bienes y servicios, documentación de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: se verifica el cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley de Protección de Datos de Carácter Personal.
• Auditoría de los datos: en la que se verifica el uso de los sistemas para la clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
• Auditoría de las bases de datos: en la que se verifica el uso de los sistemas en cuanto a los controles de acceso a las bases, de actualización, de integridad y calidad de los datos.
• Auditoría de la seguridad: referida a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y principio de no repudio.
• Auditoría de la seguridad física: referida a la ubicación de la organización, evitando ubicaciones de riesgo, y asegurando que los servidores y bases de datos se encuentran físicamente protegidos y en un entorno favorable (arcos de seguridad, CCTV, vigilantes, etc.).
• Auditoría de la seguridad lógica: referida a los métodos de autenticación de los sistemas de información.
• Auditoría de la seguridad en producción: mediante la cual se evalúan los riesgos y las respuestas frente a errores, accidentes y fraudes.

La normativa de referencia en cuanto a la auditoría de sistemas la encontramos principalmente en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (RD 994/99); el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD); el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD); y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En cuanto a qué se dispone en cada una de ellas acerca de la obligatoriedad de realizar una auditoría de sistemas y a la forma de realizarla:

• RD 994/99: esta norma regulaba en su artículo 17 la “obligación de realizar, al menos cada dos años, para los ficheros de nivel medio, auditorías en materia de seguridad de datos. Estas auditorías podían ser internas o externas.”
• RD 1720/2007 (RDLOPD): esta ampliaba el ámbito de la auditoría al extenderlas a los soportes no automatizados a partir de nivel medio y siempre que se produjeran modificaciones sustanciales en los sistemas de información. Asimismo, el Informe de Auditoría ya no se limitaba a las medidas de seguridad, sino también debía dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario.
• Reglamento UE 2016/679: esta norma comunitaria no ha incluido referencia expresa a la obligación de realizar auditorías de este tipo. Sin embargo, establece que tanto el responsable como el encargado del tratamiento de los datos deben implementar para garantizar un nivel de seguridad apropiado para el riesgo un proceso de verificación, evaluación y valoración regulares de la eficacia de esas medidas, aunque no establece procedimientos o formatos específicos para llevar a cabo dichas tareas de revisión y evaluación, dejándose a la elección de las empresas definir cuáles serán esos procedimientos. A pesar de esta circunstancia, se establece en el artículo 39 que el Delegado de Protección de Datos (DPD) tiene la obligación de supervisar el cumplimiento de la normativa, de las políticas internas de la entidad, incluida las auditorías correspondientes, por lo que el RGPD sí incluye, por lo menos en los casos en los que la empresa esté obligada, la necesidad de designar un DPD para la realización de esas comprobaciones como procedimiento de revisión y evaluación, si bien la auditoría en sí misma no podría ser realizada por el DPD ya que se pondría en peligro su independencia y la auditoría debe verificar también las gestiones del DPD.
• LO 3/2018 (LPPDGDD): no entra ni en la obligación de realizar auditorías ni procesos de verificación alguno, ni hace referencia al RGPD sobre este aspecto.

Por su parte, la Agencia Española de Protección de Datos sí que ha hecho referencia a la realización de auditorías en el marco de las relaciones entre el responsable y el encargado del tratamiento de los datos, que queda plasmada en la Guía con las directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento en la que se incluyeron los puntos clave a tener en cuenta en esta relación contractual conforme las nuevas implicaciones legales establecidas por el RGPD, recogiendo la obligación del encargado de permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable y de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías.

Por tanto, las conclusiones que podemos obtener tras un breve análisis normativo acerca de la obligatoriedad de la realización de las auditorías de sistemas, es que ninguna de las actuales normativas vigentes las incluyen como una medida obligatoria al no concretarse en qué casos y a qué tratamientos resultaría de aplicabilidad, sino que este hecho vendría determinado por sus propios riesgos.