EXPOSICION GTA G5 GRUPO 8

Vista previa del material en texto

Gerente y Auditoría
Riesgos de privacidad
PROFESOR	: Ing. CARLOS GONZALEZ ASPAJO.
MATERIA: AUDITORIA INFORMATICA
INTRODUCCIÓN
01
PRINCIPIOS Y MARCOS DE PRIVACIDAD
02
PRIVACIDAD Y NEGOCIOS
03
PRIVACIDAD DE AUDITORÍA
04
RESUMEN
Uno de los muchos problemas de gestión de riesgos desafiantes y formidables que enfrentan las organizaciones hoy en día es proteger la privacidad de la información personal de los clientes y empleados. Como consumidores, nos preocupa cómo las empresas y organizaciones usan y protegen esta información.
Como dueños o gerentes de negocios, queremos satisfacer las necesidades y expectativas de nuestros clientes y empleados, cumplir cualquier promesa que les hayamos hecho en forma de políticas y avisos de privacidad, y cumplir con las leyes y regulaciones de seguridad y privacidad de datos aplicables. Cuando se gestiona mal, la confianza y la confianza se erosionan rápidamente. La privacidad es un problema mundial.
Muchos países han adoptado leyes de privacidad a nivel nacional que rigen el uso de información personal, así como la exportación de esta información a través de las fronteras. La reciente legislación de privacidad del sector industrial de los Estados Unidos incluye la Ley Gramm-Leach Bliley para la industria financiera y la Ley de Portabilidad y Responsabilidad de Seguros Médicos para la industria del cuidado de la salud. Los titulares de los artículos han demostrado que la privacidad y la protección de la información personal no es absoluta.
Privacidad personal – Privacidad física y psicológica.
Privacidad del espacio – Libre de vigilancia.
Privacidad de la comunicación: libertad de vigilancia e intercepción.
Privacidad de la información: control sobre la recopilación, el uso y la divulgación de información personal por parte de terceros.
Fuente: Instituto Canadiense de Colegiados
Contadores (CICA), 2002
 
¿Qué es la privacidad?
La privacidad puede tener varios significados y, a menudo, se analiza en muchos contextos. La privacidad se ha considerado durante mucho tiempo como un derecho humano básico en la mayoría de las sociedades. Puede significar estar libre de la atención no deseada de otros o estar libre de observación o vigilancia. En su forma más simple, la privacidad se ha definido como «el derecho a que lo dejen en paz» . Las definiciones de privacidad en el entorno empresarial varían ampliamente según el país, la cultura, el entorno político y el marco legal. En muchos países, la privacidad está íntimamente ligada a la protección de datos.
En el contexto comercial actual, la privacidad a menudo se refiere a la privacidad de la información personal sobre un individuo y la capacidad del individuo para:
Saber cómo se maneja su información personal.
Controlar la información recopilada.
Controlar para qué se utiliza la información.
Controlar quién tiene acceso a la información.
Modificar, cambiar y eliminar la información. 
La privacidad de la información, que combina la privacidad de las comunicaciones y los datos, generalmente se puede describir mediante los derechos y obligaciones de las personas y las organizaciones con respecto a la recopilación, el uso, la retención y la divulgación de información personal sobre una persona identificable que incluye cualquier información fáctica o subjetiva, registrada o no, en cualquier forma. En otras palabras, la privacidad de la información se puede mantener asegurando un tratamiento y protección adecuados de la información personal.
Información personal
La información personal son datos que se pueden vincular o utilizar para identificar a una persona, ya sea directa o indirectamente. Algunos ejemplos de información personal son:
• Nombre.
• Domicilio o dirección de correo electrónico.
• Identificadores como Seguridad Social, seguros sociales, pasaporte o números de cuenta.
• Características físicas.
• Registros de crédito.
• Historial de compras del consumidor.
• Archivos de empleados. 
Información sensible
Parte de la información personal se considera información confidencial. Los ejemplos de información personal confidencial incluyen:
• Registros médicos.
• Información financiera.
• Origen racial o étnico.
• Opiniones políticas.
• Creencias religiosas o filosóficas.
• Afiliación sindical.
• Información relacionada con delitos o condenas penales.
La información anónima sobre personas no se puede asociar con individuos específicos. Tal información se denomina información no personal. Esto incluye información personal estadística o resumida para la cual se desconoce la identidad del individuo o se ha eliminado el vínculo con el individuo. Cuando la identidad de una persona no puede determinarse a partir de la información que queda, se considera "desidentificada" o "anonimizada". . 
Información Anonimizada
•Titular de los datos–Persona física cuyos datos personales se controlan.
•Control de datos – Organismo o entidad que controla los datos personales.
•oficial de privacidad–La función de contacto y supervisión de la privacidad de una organización.
•comisionado de privacidad–La autoridad de supervisión gubernamental, generalmente a nivel federal o estatal.
•Proveedores de servicio–En circunstancias en las que terceros estén 
Los Roles de Privacidad
La protección de la privacidad puede considerarse un proceso de establecimiento de un equilibrio adecuado entre la privacidad y múltiples intereses en competencia. Para minimizar la intrusión, maximizar la equidad y crear expectativas de privacidad legítimas y exigibles, en las últimas décadas ha evolucionado un conjunto de principios que rigen el procesamiento de la información personal de un individuo y un modelo de los roles de privacidad involucrados «Los roles de privacidad». 
Protección de la privacidad
Involucrados en el procesamiento de datos la forma en que una organización administra la información personal sobre clientes y empleados que recopila, usa, distribuye, almacena y protege es el núcleo del problema de privacidad para las empresas. Incidentes recientes de robo de identidad, mala gestión de la información personal y violación de los principios de privacidad han aumentado la presión regulatoria y de los consumidores sobre las organizaciones para desarrollar controles apropiados en relación con la privacidad, la gestión de datos y la seguridad de la información. Los controles adecuados pueden minimizar o evitar los riesgos para todas las partes involucradas.
Gestión de riesgos de privacidad
La privacidad es un problema de gestión de riesgos para las empresas y las organizaciones sin fines de lucro. Las encuestas continúan mostrando que los consumidores están preocupados por cómo las empresas usan su información personal.
Controles de privacidad
Proporcionar un gobierno y una supervisión adecuados por parte de los directores y la gerencia es un control esencial para abordar los riesgos de privacidad que enfrenta la organización. Además, la organización debe evaluar el cumplimiento de la privacidad y las prácticas y debilidades del manejo de datos y compararlas con las políticas internas, las leyes y los reglamentos y las mejores prácticas.
•	Gobernanza de la privacidad y responsabilidad.
•	Una declaración de privacidad.
•	Políticas y procedimientos escritos.
•	Controles y procesos.
•	Funciones y responsabilidades.
•	Capacitación y educación de los empleados.
•	Seguimiento y auditoría.
•	Prácticas de seguridad de la información.
•	Planes de respuesta a incidentes.
•	Leyes y reglamentos de privacidad.
•	Planes de respuesta a problemas detectados y 
•	acciones correctivas.
Es fundamental que la organización implemente un programa de privacidad efectivo que incluya:
Controles de privacidad
Los auditores internos pueden contribuir al buen gobierno y la rendición de cuentas al ayudar a una organización a cumplir sus objetivos de privacidad. Las actividades específicas que los auditores internos podríanrealizar en esta área incluyen:
•Trabajar con un asesor legal para determinar qué leyes y reglamentos de privacidad serían aplicables a la organización.
•Trabajar con la administración de tecnología de la información y los propietarios de procesos comerciales para evaluar si los controles de seguridad de la información y protección de datos están implementados y se revisan periódicamente.
•Realización de evaluaciones de riesgos de privacidad o revisión de la eficacia de las políticas, prácticas y controles de privacidad en toda la organización.
•Identificar los tipos de información personal recopilada, la metodología de recopilación utilizada y si el uso de la información por parte de la organización es de acuerdo con su uso previsto. 
MATRIZ DE RIESGOS Y ACCIONES DE PRIVACIDAD
El deseo de privacidad surge de necesidades divergentes, según el tiempo, el lugar y el interés de un individuo u organización
Principios y marcos de privacidad
Las organizaciones de hoy tienen el beneficio de varias décadas de experiencia con conceptos de privacidad en un mundo computarizado y interconectado globalmente. Los auditores internos desempeñan un papel para garantizar que se implementen los controles adecuados, que los controles funcionen de manera confiable, pero también que las organizaciones utilicen la información de manera eficiente y efectiva para lograr sus objetivos
Principios de privacidad
1968, La ONU encarga la investigación de las amenazas informáticas, para comprender su impacto y prever posibles contramedidas.
1973, En Suecia se adoptan las primeras leyes federales integrales de privacidad
1978, Alemania también emplea esta nueva conciencia.
1980, La OCDE establece las prácticas y restricciones sobre la recopilación, uso y divulgación de información personal.
Fechas Importantes
El enfoque de los principios de privacidad varía: los regímenes transnacionales tienen una perspectiva más de derechos humanos, como la presentan las Naciones Unidas (ONU) y el Consejo de Europa (CoE), o una lógica más orientada al libre comercio, como la presentan la Organización para la Cooperación y el desarrollo Económico (OCDE) y la Cooperación Económica Asia-Pacífico (APEC).
Principios de privacidad
Los principios de privacidad de la OCDE	 son las siguientes:
Limitar la recopilación y el uso de información personal para los fines previstos. 
Garantizar la calidad y precisión de los datos.
Establecimiento de salvaguardas de seguridad.
Ser abierto y transparente sobre las prácticas y políticas relativas a los datos personales.
Permitir el acceso de las personas a sus datos personales y la posibilidad de corregirlos.
Identificar a las personas responsables del cumplimiento de estos principios.
Principios de PIPEDA
Marcos de privacidad
Desde 1968 han surgido diferentes marcos de privacidad; sin embargo, los individuos y organizaciones son libres de aplicar el marco o legislación como mejor se adecue a su situación.
Las normas de privacidad se pueden dividir de acuerdo a la tipología y alcance.
Marcos de privacidad
A continuación, se mencionan algunos marcos de privacidad:
Marcos transnacionales no vinculantes
Marcos transnacionales jurídicamente vinculantes
Legislación nacional
Marcos no gubernamentales
Organismos de Normalización
Marcos profesionales
Marcos comerciales
Sellos de privacidad
Marcos transnacionales no vinculantes
Se establecieron inicialmente para garantizar el libre flujo de información entre los países afiliados a las organizaciones.
En 1990, la Asamblea General de la ONU emitió sus Directrices sobre los archivos informatizados de datos personales, basadas en los derechos humanos, que los estados miembros deben tener en cuenta al implementar la legislación nacional de protección de datos.
En 2004, se desarrolló el Marco de Privacidad de APEC y es consistente con los valores fundamentales de las directrices de la OCDE. Su objetivo es brindar orientación y dirección a las empresas en las economías de APEC sobre problemas comunes de privacidad y el impacto que estos problemas tienen en la forma en que se realizan los negocios.
Marcos transnacionales jurídicamente vinculantes
El Convenio 108 del Consejo de Europa y la Directiva 95/46/CE de la UE, son claros ejemplos de instrumentos jurídicos vinculantes.
El convenio 108 creado en 1981, obliga a más de 30 signatarios a implementar los principios de privacidad del convenio en su legislación nacional. Luego, las personas pueden apelar ante un tribunal del CoE en caso de que sus derechos no estén suficientemente protegidos a nivel nacional.
La Directiva 95/46/CE tiene como objetivo homogeneizar los regímenes nacionales de los estados miembros de la UE para simplificar transferencias de datos y fortalecer los derechos de los individuos.
Legislación nacional
La legislación nacional se produce en forma de leyes ómnibus y regulación sectorial.
Las leyes ómnibus son generalmente leyes del sector público o privado, debido a que se debe salvaguardas a los ciudadanos frente a las acciones gubernamentales intrusivas para mantener en equilibrio el interés privado.
Cada país tiene su propia legislación, por lo que los auditores deberán comprender las leyes que aplican y ser capaces de comparar las prácticas existentes con todos los marcos legales.
Marcos no gubernamentales
Una amplia variedad de marcos se originan en asociaciones profesionales, proveedores de servicios, vendedores, organismos de estandarización y otros grupos de interés. Algunas leyes de privacidad, como las de Australia, prevén que los organismos de supervisión respalden códigos de privacidad autorreguladores que pueden volverse legalmente vinculantes después de su revisión y publicación. Las leyes también pueden sugerir auditorías de privacidad y sellos para sistemas o servicios, como la Ley Federal de Privacidad de Alemania de 2003.
Organismos de Normalización
La Organización Internacional de Estandarización (ISO), el Instituto Nacional Estadounidense de Estándares (ANSI), la Asociación de Estándares de Canadá, Standards Australia y muchos otros organismos han desarrollado diferentes marcos de privacidad.
En conclusión, todos los elementos clave del código de privacidad de los diferentes marcos de privacidad se han incorporado en los principios de PIPEDA canadiense.
Marcos profesionales
Dentro de estos marcos existen los GAPP, que son los principios de privacidad generalmente aceptados, que tiene como objetivo ayudar a las organizaciones con sus programas de privacidad.
El marco GAPP se desarrolló desde una perspectiva comercial y hace referencia a importantes regulaciones de privacidad nacionales e internacionales. Los GAAP son útiles para quienes supervisan y controlan los programas de privacidad e implementan y administran la privacidad o la seguridad. También se pueden utilizar para la evaluación comparativa, el diseño y la implementación de políticas y la medición del desempeño. 
Así como las GAAP, también existe la ISAE que son nomas procedimentales básicas sobre requisitos éticos, control de calidad, aceptación y continuación de trabajo entre otros.
Marcos comerciales
ISTPA es un ejemplo de alianza global de empresas y proveedores que proporcionan investigaciones y evaluaciones objetivas de estándares, herramientas y tecnologías de privacidad.
Sellos de privacidad
Los sellos de privacidad son utilizados por muchas empresas y organizaciones en línea para demostrar confianza con sus clientes, ya que es un símbolos identificable otorgado a un operador web por un programa de aplicación de terceros para indicar que el operador web ha implementados prácticas de privacidad y las mantiene en cumplimiento.
Estos sellos de privacidad deben incluir: adopción ubicua; suficiente exhaustividad para abordar información confidencial y no confidencial; accesibilidad al usuario; y asequibilidad.
Algunas organizaciones relevantes que brindan sellos de privacidad solo las otorgan a aquellas empresas que cumplen conciertos requisitos de evaluación:
Publicar un aviso de privacidad en línea
Completar una evaluación integral de la privacidad. 
Participar en el sistema de resolución de disputas del consumidor del programa.
Privacidad y Negocios
Las organizaciones utilizan la información personal de un individuo para diversas actividades comerciales, como estudios de mercado, calificaciones de clientes, gestión de derechos, marketing directo y comercio de datos.
Los riesgos de privacidad resultan de la recopilación, el uso, la retención y la divulgación de la información personal de las personas en sus roles de consumidor, cliente, socio, cliente, trabajador, paciente, beneficiario, afiliado o ciudadano que puede ser recopilada y utilizada por gobiernos nacionales y extranjeros, competidores, empleados descontentos, piratas informáticos, terroristas cibernéticos, saboteadores, ladrones de identidad y similares. 
Las amenazas y los riesgos de privacidad se pueden analizar mediante un modelo en capas que representa a la organización, las partes interesadas, el individuo y la sociedad. 
Amenazas y Riesgos
Amenazas a Organizaciones
Las organizaciones enfrentan la amenaza y el riesgo más tangibles: se dan cuenta de las consecuencias de las fallas en la privacidad casi de inmediato. Pueden soportar costos adicionales, experimentar discriminación o tener opciones limitadas a menos que pongan su esfera privada bajo un riesgo excesivo al ofrecer sus datos a vendedores y proveedores de servicios. El impacto a nivel organizacional a menudo alcanza un alto nivel de asistencia de la prensa, las autoridades supervisoras y los guardianes de la privacidad. 
Amenazas a las partes interesadas
Si bien la implementación de prácticas y controles de privacidad excesivos puede restringir las eficiencias de procesamiento interno y externo de una organización, las partes interesadas generalmente enfrentan riesgos mucho mayores debido a daños en la reputación y litigios, lo que reduce el valor y la rentabilidad de su inversión. 
Amenazas y Riesgos
Amenazas a Individuos
Las personas a menudo se enfrentan a las consecuencias directas de las amenazas a la privacidad. Si bien las amenazas y los riesgos de privacidad limitan la capacidad de desempeño de una organización, se puede obtener una ventaja competitiva al administrar las amenazas y los riesgos de privacidad de manera efectiva. 
Amenazas a la sociedad
El desarrollo económico y social requiere un grado relativamente alto de libertad individual. La mayor amenaza para la sociedad sería el control sobre los ciudadanos individuales, derrotando el progreso social, la adaptación y los mecanismos de estabilización
 Problemas del sector y la industria
Es fundamental que los auditores comprendan el marco legal en el que opera la organización y tengan en cuenta todas las leyes, reglamentaciones y otras orientaciones sectoriales pertinentes. 
•Buscar impulsores de riesgo de privacidad, incluida la identificación de la información personal recopilada, las consecuencias específicas para la organización y un marco de privacidad para aplicar.
•Identificar prácticas o marcos de actividades comparables del sector público o privado que podrían aplicarse.
•En consulta con el asesor legal interno, determinar si la recopilación y el intercambio de información personal es excesivo y está más allá de los límites del propósito del procesamiento.
Gobierno y Ciudadano
Por lo tanto, los auditores del gobierno deben concentrarse en una amplia variedad de registros y programas, por ejemplo, registros de bienes raíces, registros de votantes, censos y encuestas de opinión, registros de impuestos, archivos de seguridad nacional e información recopilada para programas de bienestar y trabajo social, educación, y aplicación de la ley.
Vida Comunitaria y Seguridad Social
Muchas instituciones de seguridad social mantienen bases de datos importantes y sensibles para realizar sus actividades. En muchos casos, se aplicarían regulaciones generales del sector público o privado. Los datos confidenciales se almacenan y procesan en muchos casos. Las comunidades tienen un alto riesgo de perder la confianza de sus miembros cuando tratan los datos personales de manera inapropiada. A menudo, existen reglas, leyes y acuerdos específicos que determinan en qué circunstancias y en qué medida es legítimo comparar y compartir datos.
Servicios financieros
Las organizaciones de servicios financieros como bancos, emisores de tarjetas de crédito, fondos y aseguradoras mantienen una gran cantidad de información personal confidencial, que incluye calificaciones crediticias, ingresos, patrones de gastos, lugar de residencia e historial crediticio. Como resultado, existen muchas regulaciones y/o órganos de control activos. 
Comunicación y Medios
La comunicación y la privacidad de los medios incluyen la capacidad de mantener la confidencialidad de la información personal, así como la libertad de acceder a los medios y canales de comunicación. La totalidad de dichos datos se puede utilizar para derivar preferencias y perfilar a las personas. Esto puede causar problemas, como SPAM, espionaje, divulgación inesperada de comunicaciones y contenido, y vigilancia gubernamental excesiva.
Servicios públicos, transporte y viajes
Sin embargo, los sistemas actuales son sofisticados y están interconectados. Estos sistemas integrados pueden generar perfiles detallados de personas al comparar los datos de los sistemas de control de tráfico y acceso con más información transaccional. 
Salud e Investigación
La información personal es necesaria para la investigación clínica, los servicios médicos, las pruebas médicas y el control de enfermedades.
Negocios Internacionales
Muchas leyes y reglamentos exigen que la información personal de las personas no salga de la zona regulada. Estas reglas ayudan a abordar la preocupación sobre la pérdida de control cuando la información personal se transfiere a otra jurisdicción legal. Las organizaciones que transfieren dichos datos están sujetas a vergüenza significativa, daño a la reputación o pérdidas financieras si la información no se administra correctamente.
 Marco de Control de Privacidad
Las actividades básicas del marco de control de la privacidad incluyen el establecimiento de objetivos, el establecimiento de políticas y procedimientos, y el establecimiento de mecanismos de seguimiento y mejora. El establecimiento de objetivos es importante para garantizar que una organización sea consciente de sus necesidades de privacidad y pueda implementar y monitorear los procedimientos requeridos en todos los niveles.
Aplicación de modelos de control a la gestión de la privacidad
Muchas organizaciones utilizan marcos de control como el del Comité de Organizaciones Patrocinadoras de la Comisión Treadway de 1992 Control Interno — Marco Integrado su mejora de 2004, Gestión de riesgos empresariales: marco integrado.
 Marcos de control ampliamente utilizados
• COSO de 1992Control Interno — Marco Integrado.
• COSO de 2004Gestión de riesgos empresariales: marco integrado.
• Criterios de Control (CoCo) de CICA de 1995.
• Objetivos de control de 2005 del IT Governance Institute para la información y la tecnología relacionada (CobiT).
• ISO/Comisión Electrotécnica Internacional (IEC) 27001 (BS 7799).
 Determinación de buenos y malos desempeños
El nivel de rendimiento de una organización se puede determinar mediante el empleo de un modelo de madurez, así como mediante la comparación con los principios generales, un marco de control o las mejores prácticas. 
Indicadores de posibles problemas de privacidad
Los posibles problemas de privacidad se vuelven visibles cuando se realiza una evaluación comparativa de alto nivel de las prácticas de privacidad de una organización frente a cada conjunto de principios básicos de privacidad. Por ejemplo,los ocho principios de la OCDE en la “Indicadores de problemas de privacidad”
Rol de la Auditoría Interna en el Marco de Privacidad
En el entorno empresarial actual, los controles de privacidad son legales y los requisitos comerciales y las políticas y prácticas generalmente aceptadas están evolucionando. El órgano de gobierno de una organización es responsable de establecer un marco de privacidad adecuado, y la auditoría interna puede evaluar ese marco, identificar riesgos significativos y hacer recomendaciones apropiadas. 
•Políticas y pautas internas de privacidad. 
•Políticas de privacidad destinadas a los clientes y al público.
•La madurez de los controles de privacidad de la organización.
El papel del auditor incluye realizar evaluaciones de riesgos de privacidad y brindar garantías sobre los controles de privacidad en toda la organización.
•Supervisión de la gestión.
•Políticas y controles de privacidad.
•Avisos de privacidad aplicables.
•Tipos y adecuación de la información recopilada.
•Sistemas que procesan información personal.
•Metodologías de recolección.
•Usos de la información personal de acuerdo con la intención declarada, las leyes aplicables y otras reglamentaciones.
•Prácticas de seguridad que cubren la información personal.
Cuando los auditores internos asumen una parte de la responsabilidad de desarrollar e implementar un programa de privacidad, su independencia puede verse afectada.
 Priorización y clasificación de datos
Los datos privados de una organización pueden considerarse un activo corporativo, y su valor puede ser positivo o negativo en función del control que se ejerza sobre ellos. Los datos personales divulgados se convierten en una responsabilidad, lo que reduce la confianza del cliente y aumenta el riesgo de actividad legal y regulatoria. Un programa de clasificación corporativa para datos protegidos por privacidad ayudará a priorizar los datos.
Evaluación del riesgo
Se deben abordar cuatro áreas principales de riesgo a lo largo de la planificación de la auditoría y al preparar la asignación de riesgo individual: legal y organizacional, infraestructura, aplicaciones y procesos comerciales.
 Riesgos Legales y Organizacionales
El cumplimiento de las leyes y reglamentos aplicables es la base de la mayoría de los programas de privacidad. Cada organización también debe designar a una persona que sea el coordinador principal o el contacto y tenga la responsabilidad principal de los problemas de privacidad. Muchas organizaciones han establecido un director de privacidad, que depende directamente del director ejecutivo o de la junta directiva.
Riesgos de Infraestructura
Un principio básico de la seguridad de la información es proporcionar confidencialidad, integridad y disponibilidad de los datos, lo que se superpone a muchos de los objetivos de un programa de privacidad. La parte más difícil simplemente puede ser identificar cómo la información protegida entra y sale de la organización. Los auditores deben revisar el ciclo de vida de la información personal que maneja la organización y determinar si se maneja con el cuidado adecuado en cada paso.
 Riesgos de la aplicación
Descubriendo no solo OMS, pero qué maneja su información se vuelve críticamente importante al identificar los riesgos de privacidad. El software puede ofrecer velocidad y precisión a muchas funciones manuales propensas a errores. Desafortunadamente, los sistemas de software pueden ser complejos, con fallas y comportamientos no deseados. Evaluar las funciones del software no es simple, porque las organizaciones a menudo usan una combinación de software desarrollado internamente, software comercial listo para usar (COTS) personalizado y soporte de middleware y sistemas operativos para procesar, compartir y distribuir sus dato.
Riesgos de procesos de negocio
A pesar de los esfuerzos de los técnicos para proteger, encriptar y asegurar los datos privados, el proceso comercial eventualmente requerirá que los datos se utilicen para el propósito previsto. A medida que se utilizan los datos, es importante que las personas los traten con el nivel de cuidado correspondiente a su clasificación de datos. Las medidas para proteger la información impresa deben seguir los mismos principios utilizados para clasificar y proteger los datos electrónicos.
Secciones del programa de auditoría de privacidad
Los enfoques para desarrollar un programa de auditoría de privacidad se identifican en varias publicaciones. En Manual de privacidad y se basa en los principios canadienses PIPEDA de 2001 de la Oficina de Información y Privacidad de Ontario. En el Apéndice se incluye información adicional sobre estas y otras guías del programa de auditoría.
Responsabilidad.
Identificación del propósito.
Recopilación.
Consentir.
Uso, divulgación y retención.
Exactitud.
Salvaguardias.
Apertura.
Acceso individual.
Impugnación del cumplimiento
 Comprender el procesamiento de datos personales
Es importante darse cuenta de que el cumplimiento de las leyes y regulaciones aplicables es un tema fundamental que debe abordarse al realizar una evaluación integral de riesgos de privacidad para una organización.
•Identificar las reglas que rigen los datos que procesa la organización.
•Determinar los reglamentos y organismos gubernamentales responsables de hacer cumplir las normas de privacidad.
Identificar las amenazas
La amenaza es el individuo o proceso que, intencionalmente o no, hace públicos los datos privados de una organización. Ya sea por malicia o por descuido, estas personas tienen la capacidad de hacer públicos casi cualquier tipo de datos comerciales. Si los datos protegidos por privacidad se comparten con socios comerciales y contratistas, se deben evaluar las amenazas adicionales para y dentro de sus operaciones y procesos.
Identificar los controles y contramedidas
Solicitud y revisión de la documentación: Revise el programa de privacidad tal como se implementa en políticas, procedimientos y memorandos. 
Entrevistar y observar el procesamiento de datos en acción: Siéntese con los empleados en primera línea y determine si son conscientes del impacto de sus acciones en el manejo de datos personales. Además, determine si existen controles no documentados y si el espíritu y la letra del programa de privacidad motivan las decisiones del personal.
Revisión de contratos y contactos de terceros: La profundidad de la revisión dependerá de cómo se clasifiquen los contratistas y los datos que manejan en la matriz de amenazas, pero el auditor debe realizar, como mínimo, una revisión del lenguaje que cumpla con las leyes y regulaciones aplicables.
Para determinar qué está haciendo la organización para proteger los datos personales de las peores amenazas, los auditores deben profundizar en los controles activos utilizados en el programa de privacidad de la organización.
Realización de la evaluación
Los pasos comunes a lo largo de una auditoría se describen en detalle. En los IIA Internacional Marco de Prácticas Profesionales: cuando los organizacionales objetivos de la nación, los tipos de datos que se manejan y la legales entiende el marco, se debe desarrollar y aprobar un programa de auditoría que incluya el alcance, los objetivos y el momento de la auditoría. Los pasos comunes a lo largo de una auditoría se describen en detalle. El equipo de auditoría recopilará información, realizará pruebas y analizará y evaluará el trabajo de prueba para preparar el informe y las recomendaciones.
Privacidad AICPA/CICA Criterios de gestión
Principio 1: La entidad define, documenta, comunica y asigna responsabilidades por sus políticas y procedimientos de privacidad.
Políticas y Comunicaciones
• Políticas de privacidad.
• Comunicación al personal interno.
Procedimientos y Controles
• Revisión y aprobación.
• Coherencia de las políticas y procedimientos de privacidad con las leyes y reglamentos.
• Coherencia de los compromisos con las políticas y procedimientos de privacidad.• Gestión de infraestructuras y sistemas.
• Recursos de apoyo.
• Calificaciones del personal.
• Cambios en los entornos regulatorios y de negocios.
Evaluaciones de vulnerabilidad y pruebas de penetración
Las evaluaciones de vulnerabilidad generalmente se enfocan en la identificación de vulnerabilidades potenciales en los sistemas de información. Las evaluaciones identifican y priorizan vulnerabilidades en la configuración, administración y arquitectura de los sistemas de información. Las pruebas de penetración llevan las evaluaciones de vulnerabilidad un paso más allá, explotando las vulnerabilidades identificadas. Las evaluaciones de vulnerabilidad y las pruebas de penetración requieren un conjunto de habilidades que el auditor interno deberá adquirir, ya sea a través de un contrato o capacitación.
 Pruebas de ingeniería social
La ingeniería social es la técnica de obtener acceso no autorizado a través del engaño no técnico. En otras palabras, ¿puede un individuo obtener datos personales simplemente solicitándolos? El auditor podría hacerse pasar por ejecutivos, administradores de red u otros usuarios autorizados para «estafar» o «hablar dulcemente» de contraseñas o información privada de los empleados que actúan como contramedidas clave.
Gestión de privacidad y auditoría
Los IIA Internacional Marco de Prácticas Profesionales recuerda a los auditores para tener en cuenta las regulaciones y los riesgos de privacidad al planificar, realizar y reportar asignaciones de aseguramiento y consultoría. Debido al creciente riesgo de daño a la reputación y litigios, el DEA debe tener en cuenta un espectro significativo de problemas de privacidad y ramificaciones al administrar la función de auditoría. Al contratar auditores, existe una necesidad aún mayor de diligencia debida para garantizar que los auditores recién contratados actúen de acuerdo con las leyes y políticas pertinentes cuando utilicen información personal durante compromisos de aseguramiento o consultoría.
GRACIAS