¿ISO 27001 satisface los requisitos del PDG?
ISO 27001
Si la norma ISO 27001 se implementa en mi empresa, se deberán cumplir de forma plena en un Reglamento Europeo de Protección de Datos Generales (PDG).
El nuevo reglamento introduce un conjunto de normas que obligan a las empresas a implementar controles para proteger los datos personales. La implantación de la norma ISO 27001 ayudará a las empresas a responder a este requisito.
¿Mi organización tiene qué ser compatible con PDG?
Existen dos tipos de responsabilidades en materia de protección de datos personales:
- Controladores
- Procesadores de datos
Cualquier negocio que determina los fines y medios del tratamiento de datos personales se considera un controlador.
Cualquier negocio que trate datos personales por cuenta del responsable es considerado un procesador.
Las empresas que necesitan ser compatibles con la PDG son empresas que han sido establecidas, ofrecen bienes o servicios dentro de la Unión Europea.
¿Cómo se relacionan la PDG con la ISO 27001?
La norma ISO 27001 es un marco para la protección de la información. Según el acuerdo PDG, los datos personales son la información crítica que todas las empresas necesitan proteger. Por supuesto, existen algunos requisitos PDG que no se encuentran cubiertos de forma directa por la norma ISO 27001, como el apoyo a los derechos de los titulares de los datos personales: el derecho a ser informado, el derecho a que sus datos sean borrados y la portabilidad de dichos datos. Si la implementación de la norma ISO 27001 identifica todos los datos personales como un activo de seguridad de la información. La mayoría de los requisitos de la PDG se encuentran cubiertos.
La norma ISO 27001 proporciona diferentes medios para garantizar esta protección. Existen diferentes puntos en los que la norma ISO 27001 puede ayudar a las organizaciones a conseguir el cumplimiento de dicho reglamento. Éstos son sólo algunos de los más relevantes:
Evaluación de riesgos
Debido a las altas multas que se definen por la PDG y el mayor impacto financiero de las empresas. Es natural que el riesgo que ha sido detectado durante la evaluación de riesgos en relación con todos los datos personales sea demasiado alto como para que no sea tratado.
Uno de los nuevos requisitos de la PDG es la implementación de la protección de datos durante las evaluaciones de impacto. Las organizaciones tendrán que analizar los riesgos para su privacidad, el mismo que existe para la norma ISO 27001. Además de aplicar la norma ISO 27001, los datos personales deben ser clasificados como alta criticidad. La información debe ser clasificada en términos de requisitos legales, el valor, la criticidad y la sensibilidad a la divulgación o modificación no autorizada.
Cumplimiento
Mediante la implementación de la norma ISO 27001 es obligatorio contar con un listado de requisitos legislativos, legales, reglamentarios y contractuales pertinentes. Si la empresa tiene que ser compatible con el PDG, dicha regulación tiene que ser parte de dicha lista. Si la organización no está cubierta por el PDG, se deberá guiar por la implementación de una política de datos y la protección de la información personal identificable.
Brecha a la notificación
Las organizaciones deberán notificar a las autoridades los datos del centro en 72 horas después de una violación de datos personales. La aplicación de la norma ISO 27001 asegura que se realice un enfoque coherente y eficaz de la gestión de incidentes de seguridad de la información, incluyendo la comunicación de eventos de seguridad. Los interesados deberán ser comunicados, pero sólo si los datos plantean un alto riesgo para los derechos de los interesados y la libertad. La aplicación de la gestión de incidencias, lo que resulta en la detección y la notificación de incidentes de datos personales, esto generar una mejora en las empresas.
Gestión de activos
La norma ISO 27001 conduce la inclusión de los datos personales como activos de la seguridad de la información y permite a las empresas que comprendan los datos personales de los que se trata y dónde deben ser guardados.
Relaciones con los proveedores
La norma ISO 27001 requiere de la protección de los activos de la empresa que son accesibles a los proveedores. Según el acuerdo con PDG, el procesamiento y almacenamiento de datos personales de los delegados de la organización de los proveedores. Se exigirá el cumplimiento de los requisitos de la regulación mediante los acuerdos formales.
¿Es suficiente la norma ISO 27001?
Los controles adoptados, la documentación estructurada, el monitoreo y la mejora continua se aplican con la norma ISO 27001. Dicha norma promueve la cultura y el conocimiento de los incidentes de seguridad en las empresas. Los trabajadores de estas empresas son más conscientes y deben tener más conocimiento para ser capaz de detectar y reportar los incidentes de seguridad. La seguridad de la información no sólo trata de acercar la tecnología, se trata de personas y procesos.
La norma ISO 27001 es un marco excelente para el cumplimiento de la PDG. Si la empresa ya ha implementado la norma, que es por lo menos la mitad del camino para asegurar la protección de los datos personales y minimizar los riesgos de una fuga, de la que el impacto financiero y la visibilidad pueden ser catastrófica para la empresa. La primera cosa que una empresa debe hacer es realizar un Análisis GAP para determinar lo que queda por hacer para cumplir con los requisitos, y después estos requisitos se pueden agregar de forma fácil mediante el Sistema de Gestión de Seguridad de la Información que ya se encuentra establecido por la norma ISO 27001.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.