Legislación y proyectos normativos - Internacional

Nuevos estándares de seguridad de la información: la familia 27000

Artículo de Gilberto Hernández, Director de Ciberseguridad en Bancamía

La revolución digital ha provocado que la información en general y la recopilación y procesamiento de datos personales en concreto, sea una necesidad para el correcto funcionamiento de las organizaciones. Esta información es el combustible no solo para la trasformación del negocio y su operatividad diaria, sino además para la adecuada toma de decisiones estratégicas. Por ello, la International Organization for Standardization (ISO), junto con la International Electrotechnical Commission (EIC), han creado una serie de estándares de seguridad de la información: la familia 27000.

Atendiendo a los nuevos retos a los que deben hacer frente las organizaciones y a la necesidad de adoptar medidas adecuadas para salvaguardar tan valioso activo, los órganos legislativos han aprobado diversas normas encaminadas al cumplimiento de proteger esta información tan susceptible: nos identifica y que permite conocer algunos de los elementos propios de la identidad de la persona como lo es su tipo ideológico, cultural, personal, etc. Así, hablamos del Reglamento General de Protección de Datos (RGPD) en la Unión Europea y que fue adaptada a la legislación española con la ley orgánica de protección de datos y garantía de los derechos digitales (LOPDGDD) o el caso de Colombia, la ley 1581 de protección de datos personales.

En este contexto, y con el fin de guiar a las organizaciones en cuanto al cumplimiento de esta normativa y demostrar que están realizan un correcto tratamiento de protección de los datos de sus clientes y colaboradores, se aprobaron los estándares de seguridad de la información (SGSI) de la línea 270001. Entre ellos, destacan la ISO 27001 y la ISO 27002 cuyo propósito es la aplicación de los principios de confidencialidad, integridad y disponibilidad. Estas líneas son aplicables a todo tipo de información considerada crítica y sensible para las organizaciones, pero también fue tomada como punto de partida para el desarrollo de controles que garanticen el cumplimiento del RGPD.

Asimismo, en el año 2019 se creó una extensión adicional a la línea de normas 27001 y 27002, con la ISO/IEC 27701 Security techniques, una norma que permite la gestión específica de la información correspondiente al dato personal, apoyando los retos de salvaguardar estos nuevos derechos legales y garantizando de manera adecuada el tratamiento de los datos de carácter personal que poseen las organizaciones para sus estrategias de negocio y operativas sobre una sociedad de la información.

Como punto importante y diferenciador de la norma 27701 sobre las anteriormente citadas 27001 y 27002, destacan los siguientes objetivos y alcances:

#

  • Establece diferentes requisitos en función del rol que desempeñe la organización, ya sea como responsable o como encargado del tratamiento de datos personales.
  • Permite certificar el cumplimiento de las buenas prácticas en materia de gestión de datos de carácter personal.
  • Facilita el cumplimiento de las normativas legales vinculadas a los datos de carácter personal como el RGPD y la LOPDGDD.

Atendiendo a estos objetivos, las organizaciones deberán implementar y actualizar sus SGSI con directrices y controles que brinden las medidas adecuadas para proteger la información del dato personal, incluyendo en todo caso:

  • Creación de una política relativa a la privacidad de la información.
  • Análisis de riesgos vinculando el dato de carácter personal
  • Acciones de concienciación y formación específicas a la privacidad de la información
  • Violaciones sobre el dato personal incluidas en el proceso de gestión de incidentes
  • Integración de la información el dato de carácter personal en sus sistemas de clasificación
  • Controles que aseguren el dato personal en tránsito y en reposo.
  • Controles de acceso a la información que se refieran al dato personal.
  • Acuerdos de tratamiento de la información de acuerdo a su rol con terceras partes.
  • Garantía a los propietarios de los datos personales del ejercicio de sus derechos sobre aquellos.

1 Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y su posterior adaptación a la legislación española con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), se incluyó la posibilidad de ayudar a empresas y organizaciones a verificar que cumplen con las leyes y demostrar el principio de responsabilidad proactiva (art. 24 RGPD) a través de estándares o recomendaciones, así como certificaciones. En este sentido, la International Organization for Standardization, conocida como ISO, junto con la International Electrotechnical Commission o EIC, han creado una serie de estándares de seguridad de la información (la familia 27000)