Cumplir el RGPD de forma proactiva. IS0 27001 y DPO

Según aparece indicado en el artículo 32, el RGPD requiere que las empresas pongan en marcha las medidas organizativas y técnicas necesarias para asegurar un alto nivel de seguridad de la información. Tanto en el RGPD como en la documentación del Grupo de Trabajo 29, se indican algunos ejemplos de controles y medidas de seguridad, pero por desgracia el RGPD no proporciona una guía detallada de como cumplir con lo exigido por este artículo.

En este punto es donde el RGPD enlaza con la norma ISO 27001. ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La versión más reciente de esta norma fue publicada en 2013 (ISO/IEC 27001:2013). La norma ISO 27001, entre otros describe los requisitos de las buenas prácticas para implantar un SGSI (Sistema de Gestión de Seguridad de la Información).

No hay texto alternativo para esta imagen

SGSI

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés (Information Security Management System). Podemos definir al SGSI, como un sistema de activos formados por: procesos, documentos, tecnología y personas que ayudan a proteger la información de la organización mediante un marco integrado de gestión de Sistemas de Información.

27001

Dentro del marco de la ISO 27001, podemos definir la información, como todo aquel conjunto de datos organizados que estén presentes en una organización, que posean valor para la misma. En función de su criticidad (que se determinará mediante un análisis de riesgos), se les aplicarán a dicho conjunto de datos (activo) medidas más seguras o menos.

Otro de los aspectos en relación con el SGSI, es que éste debe ser apoyado por la alta dirección de la entidad y estar incorporado dentro de la cultura de la organización. Este SGSI se gestiona mediante el ciclo de Deming manteniéndolo  controlado, actualizado y revisado de forma periódica.

La ISO 27001, se estructura alrededor de tres variables clave que se aplican a los activos de información. Estas tres variables son: Confidencialidad, Integridad y Disponibilidad.

No hay texto alternativo para esta imagen

La certificación ISO 27001 ha sido valorada y reconocida por las autoridades de control del RGPD por su capacidad de gestión proactiva, mejora continua y eficiencia de los Sistemas de Información para cumplir con la mejora continua que se demanda dentro del RGPD.

Controles de la norma ISO 27001 y análisis de riesgos

ISO 27001 establece una lista recomendada de 114 controles (descritos en el Anexo A de la norma) agrupados en 14 secciones diferentes.

Al igual que ocurre en el RGPD, en la implantación de la ISO 27001, hay que realizar un análisis de riesgos eficaz integrado dentro del SGSI. La diferencia fundamental, es que en el caso del RGPD el análisis de riesgos se circunscribe a activos que incluyan datos personales, mientras que en el caso de la ISO 27001, los activos sobre los que se realiza el análisis de riesgos incluyen además de datos personales, otro tipo de información, que la organización categorizada en función de la criticidad para la empresa.

  • Si quieres profundizar en el conocimiento de la norma ISO 27001 y del RGPD, te recomendamos los siguientes cursos:

Cursos ISO 27001: Fundamentos, Lead Implementer y Lead Auditor

Cursos para formarte como DPO. Cursos presenciales y semipresenciales



Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies