Introducción a la auditoría de datos

Introducción a la auditoría de datos

Para investigar inquietudes particulares en torno a un conjunto de datos y diseñada en cierta medida para determinar si los datos se almacenan en cumplimiento a los requisitos o requerimientos regulatorios


  • Por: Grupo de Trabajo de Auditoría de Datos DAMA España

Una auditoría de datos, se realiza para investigar inquietudes particulares en torno a un conjunto de datos y diseñada en cierta medida para determinar si los datos se almacenan en cumplimiento a los requisitos o requerimientos regulatorios, contractuales y/o metodológicos.


DAMA España no es ajena a estas inquietudes y iniciamos un nuevo grupo de trabajo, en el cual nos centramos en la Auditoría de datos, como un proceso de verificación, evaluación y valoración regular de las medidas técnicas y organizativas para garantizar la seguridad y almacenamiento de los datos en cumplimiento de regulaciones gubernamentales o internas en las organizaciones.

La auditoría y el gobierno de datos estan muy relacionados, dado que el primero se apoya en el segundo para la obtención de entregables necesarios para llevar a cabo los diferentes chequeos necesarios para el cumplimiento normativo, entre otros aspectos.

Es por ello que desde DAMA Spain consideramos que la Auditoría de Datos requiere un capítulo dentro del DAMA-DMBOK, como libro de referencia accesible y autorizado para los profesionales de la Gestión de Datos donde reflejemos las buenas practicas confiables para llevar a cabo un proceso de auditoría de datos.

Es éste uno de nuestros objetivos fundamentales como grupo y además:

  • Proporcionar un marco de referencia funcional para la implementación de la auditoría de datos
  • Establecer un vocabulario común para los conceptos de la auditoría de datos
  • Servir de guia de referencia para llevar a cabo una auditoría de datos

Paralelamente a los objetivos anteriores, está también la de divulgar y dar a conocer las virtudes y responsabilidades que lleva asociado la implementación de la Auditoría de datos en las organizaciones.

Primeramente estamos sentando las bases de lo que conocemos como Auditoría de Datos, cual es su objetivo, que se pretende cubrir con su implantación, etc… para posteriormente profundizar en aquellos aspectos que sean de interés para las organizaciones y los profesionales, como son los riesgos asociados a los datos.

Aprovecho también la oportunidad que se nos brinda en este foro, de dirigirme a vosotros, profesionales ligados al mundo de los datos con experiencia o interés en los procesos de auditoría de datos, así como a especialistas en auditoría de protección de datos o auditoría de sistemas, a formar parte de este grupo de trabajo y mediante el cual podamos difundir, fomentar, promover la cultura del dato y la auditoría en particular.

Una auditoría de datos, se realiza para  investigar inquietudes particulares en torno a un conjunto de datos y diseñada en cierta medida para determinar si los datos se almacenan en cumplimiento a los requisitos o requerimientos regulatorios, contractuales y/o metodológicos


Tabla de contenido:
1- Definición de la Auditoría de Datos
2- Riesgos por no realizar una Auditoría de Datos
3- Motivación de la Auditoría de Datos
4- Referencias
5- Autores


1- Definición de la Auditoría de Datos

Según la Real Academia de la Lengua Española, Auditoría se refiere a la revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse.

Partiendo de esta definición, podemos definir una Auditoria de Datos como la revisión sistemática de todos los procesos y procedimientos del ciclo de vida del dato, evaluando el cumplimiento de las reglas y criterios a los que los datos deben someterse.

Dentro de esta evaluación, la Auditoría de Datos pivotará sobre varios puntos:

Acceso, actualización, integridad y calidad de los datos.

  • Reducción de riesgos
  • Detección de vulnerabilidades

Añadiremos a esta definición que toda Auditoría de Datos, busca implementar los mecanismos de control necesarios para cumplir con estas reglas y criterios de seguridad y calidad en los datos dentro de la organización.

Tales mecanismos pueden clasificarse como preventivos, de detección, correctivos o de recuperación ante una contingencia.


2- Riesgos por no realizar una Auditoría de Datos

Los mecanismos de control implementados en una Auditoría de Datos permiten identificar, prevenir o mitigar riesgos derivados de la gestión de datos.

En este sentido, definimos el riesgo de gestión de datos como la pérdida potencial causada por el uso, tratamiento o explotación de la información de forma no íntegra, no fiable, no disponible, no completa, no accesible, no actualizada, etc., que puede afectar adversamente al desarrollo de los procesos de negocio, al cumplimiento con las normativas vigentes, a la toma de decisiones o al logro de los objetivos de la organización.

Algunos ejemplos de estos riesgos son los siguientes:

  • Baja calidad de los datos
  • Información inconsistente
  • Error en el tratamiento manual de los datos
  • Incidencias de seguridad y privacidad en la gestión de los datos de carácter personal
  • Información no disponible en el momento requerido
  • Información no gobernada

3- Motivación de la Auditoría de Datos

Los motivos por los que una organización debe afrontar la implementación de procesos de Auditoría del Dato son de los más diversos, pero queremos centrarnos en los siguientes:

  • Evitar las consecuencias que puede acarrear el incumplimiento de las normativas vigentes y con ello las multas a las que se puede ver expuesta una empresa u organización
  • Preservar los derechos individuales
  • Evitar las malas praxis dentro de las organizaciones
  • Mitigar la fuga de datos
  • Identificar las vulnerabilidades de los sistemas de gestión
  • Garantizar que se están tomando decisiones basadas en información de calidad

Cada organización está afectada por las regulaciones gubernamentales y de la propia industria, incluyendo aquellas que dictan cómo se deben gestionar los datos y la información en un contexto determinado. En 1980, la Organización de Cooperación y Desarrollo Económico (OCDE), estableció directrices y principios para el proceso justo de la Información que se convirtieron en la base de las leyes de protección de datos de la Unión Europea. Son ocho los principios fundamentales de la OCDE que tiene como objeto garantizar que los datos personales se procesen de manera que se respete el derecho de las personas a la privacidad y que sentaron la base de los principios del GDPR del año 2016.

El incumplimiento de GDPR por parte de las organizaciones puede acarrear cuantiosas sanciones nada desdeñables:

  • Multa de hasta 10 millones de euros o hasta el 2% del volumen del negocio total anual global del ejercicio financiero anterior.
  • Multa de hasta 20 millones de euros o hasta el 4% del volumen del negocio total anual global del ejercicio financiero anterior.

Como consecuencia directa además del impacto económico, está el impacto reputacional de la organización por su no cumplimiento.


Contenido completo:
-Exclusivo para socios de DAMA España-

https://owncloud.damaspain.org/index.php/f/6447 


Autores:

Consuelo Gargantilla


Xan Fernández


Roger Sanz, Manager Governance Risk and Compliance (GRC) SIA An Indra CompanyRoger Sanz


Óscar Varela Sánchez


 Shi Ye

 



Acerca de
DAMA España:

DAMA España es el capítulo español de la International Data Management Association, la principal organización internacional para profesionales de la gestión de datos.

El Capítulo español está activo desde marzo de 2019. Nuestra misión es la de promover y facilitar el desarrollo de la Cultura de Gestión de Datos e Información en España.

Respecto a la visión de DAMA España, queremos ser el referente para organizaciones y profesionales en la Gestión de Datos e Información en nuestro país, para encontrar y aportar recursos, información, formación, educación y conocimiento en la materia.

Somos una organización independiente de los fabricantes.