Resumen de Audit-pdp: un método de auditoría de datos personales basado en ingeniería de requisitos
Miguel Angel MARTINEZ AGUILAR
El análisis de la seguridad de los Sistemas de Información estudia, desde distintos puntos de vista, las vulnerabilidades que afectan a una organización. En particular, en los últimos años, ha crecido el interés por garantizar que las organizaciones realicen un tratamiento y protección adecuados de los datos de carácter personal. La privacidad de los datos personales es regulada por la Ley en muchos países y considerada un asunto importante en numerosos estándares de calidad. No solo es importante definir medidas de seguridad para estos datos sensibles, sino que también es imprescindible definir estrategias para auditar su cumplimiento.
En esta tesis doctoral se presenta una propuesta práctica y sistemática para realizar una auditoría de protección de datos personales, usando un método general de Ingeniería de Requisitos, como es SIREN (SImple REuse of software requiremeNts) y basada en COBIT (Control Objectives for Information Technologies). El método que presentamos, recibe el nombre de AUDIT-PDP y pretende ayudar a cumplir los Objetivos de Control de COBIT que traten con aspectos de privacidad, ya que con el uso del catálogo de requisitos SIREN de Protección de Datos Personales (PDP) se consigue la especificación y verificación del cumplimiento de los requisitos relacionados con estos aspectos.
Para dar soporte al método de auditoría creado, se ha desarrollado una herramienta software de apoyo al mismo. El portal web Audit-PDP, facilita la aplicación del método y cubre todas las fases definidas en el mismo.
Por tanto, la metodología presentada en esta tesis doctoral, puede proporcionar a las organizaciones una ayuda para asegurar la privacidad y el buen uso de los datos personales gestionados y el cumplimiento de la ley en su caso. El enfoque propuesto y la herramienta de soporte, han sido validados en varios casos de estudio reales, siguiendo el método de Investigación-Acción.
