ISACA Madrid celebró en el Auditorio Bankia el 20 de marzo el primer Congreso de Auditoría y GRC como lugar de encuentro, de intercambio de ideas y experiencias entre los profesionales de la seguridad de la información, tratándose, en esta jornada, temas de actualidad que van desde la adaptación de las empresas al RGPD o GDPR, hasta el rol de la auditoría en las nuevas tecnologías como la transformación digital y el blockchain, pasando por la realidad en la implantación de las herramientas y marcos (como COBIT5 ) de gestión de gobierno de las TIC.

Me gustaría compartir el interesante contenido de las ponencias relacionadas con dos temas de gran interés:

 

Adecuación al GDPR

 

Las ponencias sobre la adecuación al RGPD tuvieron un marcado carácter legal haciendo hincapié, sobre todo, en las bases para la legitimidad del tratamiento así como en la portabilidad como nuevo derecho y en la obligación de la responsabilidad proactiva para la protección del dato sobre la que planea la duda en caso de una fuga de información por considerarse la culpabilidad de la compañía hasta que se demuestre lo contrario.

 

Además, se apuntó la importancia de los aspectos técnicos y organizativos que acompañan al marco legal como es la necesidad de funcionar en equipo teniendo en cuenta a todas las partes interesadas de la organización, la elaboración de un análisis de riesgos sobre los sistemas que tratan los datos personales para aplicar las medidas de protección adecuadas.

 

Cabe destacar el reto lanzado por la presidenta de la APEP a los asistentes en aras de la proactividad como ciudadanos que participan de las instituciones comunitarias, haciendo llegar nuestros comentarios a través de los canales adecuados y participando en las distintas consultas sobre ámbitos de la privacidad lanzadas desde Bruselas.

 

Implementación de herramientas de GRC

 

En la implementación de herramientas de GRC, los ponentes de varios sectores (seguros, consultoría y restauración) coincidieron en la importancia de poner el foco en el factor humano debido a la transformación cultural que supone la adopción de una herramienta de esta índole, así como en el apoyo indiscutible de la alta dirección. Al hilo de esto, resulta imprescindible la elaboración de planes de formación adaptados a cada área de la organización junto con un seguimiento adecuado para verificar en qué medida las personas han adoptado los principios de seguridad y de buen gobierno de TI en sus procesos del día a día.

 

Me gustaría terminar señalando la idea lanzada por el presidente de ISACA-Medellín, sobre la importancia de tener en cuenta la idiosincrasia de cada organización a la hora de implantar el marco COBIT y así evitar perderse entre líneas de procedimientos teóricos que no se van a poner en práctica; esto requiere de mucho sentido común e implicación de todos los estamentos para sincronizar los principios y acciones del marco en los procesos de la organización.

 

 

Manuela Ramírez

GRC Department

Áudea Seguridad de la Información