Ajuntament de Barcelona | Capital humàEl web de l'Ajuntament de Barcelona

Inici  > Fitxes Ocupacionals

Coneix aquesta ocupació

Altres denominacions

Auditor/a de seguretat informàtica i protecció de dades personals

Descripció

L'auditor de seguretat informàtica comprova que les mesures de seguretat i control dels sistemes informàtics s'adeqüin a la normativa que s'ha desenvolupat per a la protecció de les dades; identifica les deficiències, i proposa mesures correctores o complementàries.

Per exercir aquesta ocupació s'ha de tenir un ampli coneixement de les Tecnologies de la Informació i la Comunicació (TIC) i s'ha de conèixer la legislació: Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), i la normativa que se'n deriva.

L'auditor té el compromís de guardar confidencialitat de tot el que veu, i no pot auditar una empresa amb la qual tingui alguna relació comercial, familiar, etc.

Tasques

De les diverses tasques que desenvolupa l'auditor de seguretat informàtica i protecció de dades personals, se'n poden distingir dues de principals: la verificació del sistema de protecció de dades, a través dels procediments utilitzats per manipular-les, i la verificació de la seguretat dels sistemes lògics (software) i físics (hardware, equips, local, etc.). Cal destacar que, encara que les tasques són les mateixes per a qualsevol sistema d'informació, la dificultat prové de les característiques pròpies de cada sistema (nombre d'usuaris, plataforma de treball, quantitat de registres).

Així doncs, l'auditor de seguretat informàtica i protecció de dades personals:
  • Verifica el compliment de la legislació aplicable a l'àmbit informàtic pel que fa a protecció de dades personals, de correu electrònic, dels proveïdors de serveis de certificació, etc.
  • Verifica que s'han realitzat i s'apliquen correctament els procediments que requereix el sistema de protecció de dades que sol·licita la normativa.
  • Comprova que s'han notificat a l'Agencia de Protección de Datos els fitxers que es tinguin.
  • Verifica l'assignació del nivell de seguretat del sistema d'informació en relació amb la confidencialitat de les dades que emmagatzema.
  • Comprova que s'ha elaborat i implantat el document de seguretat. La normativa estableix que les normes de seguretat -com, per exemple, les peticions d'accés o la rectificació o cancel·lació de les dades- han d'estar dins d'aquest document.
  • Verifica que s'obté el consentiment requerit de la persona que cedeix les dades. S'ha d'informar i demanar permís a les persones que cedeixen les dades a l'empresa.
  • Comprova que es fa la comunicació de les dades a tercers. Es regula com es poden cedir les dades que es tenen a terceres persones (físiques o jurídiques).
  • Verifica que es fa el manteniment del registre d'incidències produïdes amb el sistema d'informació de l'empresa. Per exemple, controla si una persona demana que se l'esborri de la base de dades, o bé si vol consultar les seves dades o les vol modificar.
  • Verifica la seguretat de les dades. L'auditor comprova que el sistema d'informació que ha organitzat l'empresa garanteix la seguretat i la integritat de les dades i, en particular, verifica que no es puguin alterar, perdre, tractar o fer-hi accessos no autoritzats. Per realitzar aquesta tasca:
    Analitza el tipus de sistema que s'utilitza (xarxa, servidors, ordinadors personals, etc).
    Comprova la seguretat de les connexions remotes del sistema. Si es fa per una xarxa de comunicacions, l'accés de les dades ha de garantir un nivell equivalent als accessos en mode local.
    Comprova que les mesures de seguretat associades a cada nivell de seguretat dels fitxers són les adequades i compleixen les funcions previstes, com per exemple:
    El procediment d'assignació de contrasenyes al personal autoritzat a treballar amb el sistema.
    El control d'accessos a les dades de les persones de l'organització en funció del que s'ha definit en el document de seguretat.
    La gestió dels suports informàtics com les cintes, discos, CD, cintes DAT, etc., amb què es guarda la informació a mà.
    El sistema de còpies de seguretat i recuperació de dades. S'ha de garantir la recuperació de les dades en cas que hi hagi alguna incidència amb el sistema d'informació.
    El sistema de registres que es necessita va en funció del nivell de seguretat requerit.
  • Contrasta la situació de la empresa auditada amb la jurisprudència de les sancions aplicades per les Agencies de Protecció de Dades.

Accessos ràpids i copyright:

Centre per al desenvolupament professional Porta22

Barcelona Treball (Porta22)
Llacuna, 156-162, 08018 Barcelona
bcn.cat/treball

900533175
De dilluns a divendres de 9 a 18 h

Generalitat de Catalunya
Unió Europea FEDER
Unió Europea FSE