02 Jul Auditoria RGPD en grupo empresarial
En este post quiero compartir el último caso de éxito de Auditoria RGPD en grupo empresarial que he realizado, en concreto explicando las fases más importantes que en ella se han llevado a cabo y teniendo en cuenta el plan de acción final que el cliente se compromete a realizar para minimizar el riesgo de cada una de las NO conformidades detectadas.
Auditoria RGPD en grupo empresarial
En este caso la auditoria RGPD se ha centrado en las 6 empresas que forman el grupo, teniendo en cuenta que su realización ha cumplido con las siguientes fases:
- Evaluación de riesgos basada en la ISO27001
- Documentación de los Registros de Actividad.
- Procedimientos que la empresa requiere para cumplir con el RGPD.
- Análisis web y visibilidad, incluyendo legitimización de BD, medidas de seguridad y clausulas con terceros.
- Prioridades y plan de acción.
Seguidamente incluyo algunas de las prioridades reales que han surgido:
- Determinar DPD o responsable global.
- Revisar contratos con trabajadores, proveedores (cesión o tratamiento, formación, nominas, etc), clientes.
- Legitimar la BD.
- Mejorar las políticas de Backup, cifrado, etc.
- Políticas de acceso y contraseñas, rotación, etc.
- Formación continua.
- Control de activos.
- MDM y control de acceso a la información. (Audit). Gestión documental.
- ILM (ciclo de vida de la información) clientes, proveedores, contactos y rrhh.
- Involucrar TIC con proyectos. Desde el diseño y por defecto.
- Formulario de contacto en ferias potenciales tarjetas de contactos.
- … entre otras.
Conclusión
La realización de este tipo de auditorias requiere un esfuerzo importante ya que obliga a realizar reuniones con los key users, documentar, validar y priorizar, asi como formar a la propia empresa. Con este trabajo el cliente satisfecho continuara contando conmigo para siguientes mejoras del RGPD.
Luis Vilanova Blanco. Auditor Reglamento Protección de Datos. DPD. Auditor CISA.
606954593