POR PEDIR QUE NO QUEDE .................
En determinadas ocasiones, por cierto cada vez más, algunos de los terceros con los que habitualmente interactuamos nos acostumbran a solicitar, al igual que hacemos nosotros, un certificado o similar conforme nos hemos sometido a la auditoria bienal obligatoria que establece la LOPD. Hasta cierto punto es una petición razonable y comprensible como prueba o evidencia del «cumplimiento» (se supone) de los requisitos legales en esta materia. Del mismo modo, hay determinadas entidades que, enormemente comprometidas y preocupadas por la LOPD (es de agradecer!), se exceden en sus peticiones y llegan incluso a «exigir» una copia del informe de auditoría. En estas situaciones, pocas pero haberlas haylas, nos reservamos el derecho de entregar esa información y cortésmente así se lo exponemos.
Recuerdo un caso concreto en el que la petición se quedó entre Pinto y Valdemoro. Nos solicitaron una copia de las conclusiones, plan de acción o como queráis llamarle en el que se reflejasen las distintas deficiencias identificadas o como mínimo el ámbito de éstas. En esencia querían saber de que pie cojeábamos. Obviamente, la respuesta fue la misma que antes.
Normalmente aquí queda la cosa y nadie vuelve a insistir sobre este punto.
Os habéis encontrado en situaciones similares? Facilitaríais esta información? Es suficiente con el certificado? Es lícito pedir el informe? El hecho de no facilitarlo puede generar cierta desconfianza o recelo por parte del solicitante?
Hasta la fecha de hoy únicamente hemos tenido que mostrar o entregar el contenido del último informe de auditoria en el contexto de un proceso de revisión/auditoria del organismo oficial del cual dependemos. Al resto ni agua ........ 
CITA DEL DÍA: «Se pilla antes a alguien en feisbuk que a un cojo»
Barrapunto
CoRank Español
Delicious
Enchílame
Fresqui Ocio
Menéame
Technorati Favorites
2 comentarios
No hay trackbacks
RSS 2.0
Bloglines
Google Reader
Live
MyYahoo
Netvibes
Newsgator
Rojo
2 comentarios
hace 5 meses y 11 días
Imagino que muchos lo hacen porque así lo indica en la ISO 27002 en la parte de controles vinculada al seguimiento de terceros. Explícitamente el control «10.2.2 Control y revisión de los servicios por tercera parte» establece que «Los servicios, informes y registros proporcionados por la tercera parte deberían ser controlados y revisados regularmente, y también se deberían llevar a cabo auditorías regularmente.»
En este sentido, a menudo me plantean si en contratos con terceros pueden añadir cláusulas que les permitan auditar a sus proveedores. Como poder....por pedir que no quede pero todo va a depender del «poder de negociación» del que quiere contratar. No me veo a una pyme en un contrato ADSL que le cuele una cláusula así a una operadora.
Se supone (y digo bien con la palabra suponer) que una vez empiecen las empresas a gestionar seguridad y por ello, obtener la certificacion ISO 27001, la garantía será disponer de dicha certificación en lo que respecta a la diligencia y seguridad. Digo suponer si no pasa con esto lo mismo que con la calidad... que todo el mundo supone mucho y la realidad luego es diferente.
Es loable por ejemplo el paso dado por Microsoft al certificar sus «servicios-nube» con esta norma como ya conté en http://seguridad-de-la-informacion.blogspot.com/2009/12/microsoft-dando-ejemplo-en-la-nube.html
hace 5 meses y 10 días
Gracias por participar Javier.
Por supuesto, también el RD 1720/2007 en el artículo 20.2 (escribo de memoria) deja las puertas abiertas a este tipo de «supervisión», al menos en el caso de los encargados de tratamiento. Nosotros «colamos» cláusulas por defecto en todos los contratos aunque siempre hay alguno que pide matizaciones, establecer límites, etc. No obstante, la inmensa mayoría no pone ningún impedimento (se lo llegan a leer ??).
No sé, yo sigo sin tener claro que se pueda ceder un informe de auditoría de uso interno (detalle de sistemas, procesos, DEFICIENCIAS, etc.) a una entidad externa por mucha confianza y buena relación existente. Se supone que harán un buen uso (cuál?) pero........ una cosa es ser transparente, colaborativo y tener buena voluntad, pero otra es que te conozcan hasta en ropa interior....
Escribir un comentario
Si quieres añadir tu comentario a esta entrada, simplemente rellena el siguiente formulario:
* Campos requeridos
Puedes usar estas etiquetas XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>.
No hay trackbacks
Para notificar de una mención en tu blog a esta entrada, habilita la notificación automática (Opciones > Discusión en WordPress) o especifica esta url de trackback: http://www.eddasec.com/wp-trackback.php?p=228