¿Cómo puede ayudar la norma ISO 27001 al cumplimiento del Reglamento General de Protección de Datos (RGDP)?
Reglamento General de Protección de Datos
El nuevo Reglamento General de Protección de Datos (RGPD), común para toda Europa, afectará a las empresas que traten datos personales. Desde el 25 de mayo de 2018, la protección de datos será un hecho ineludible para cualquier empresa que trabaje con información personal de residentes en cualquier estado miembro de la Unión Europea.
Cada organización deberá evaluar los riegos de los datos personales e implantar los mecanismos necesarios para protegerlos. Con esta finalidad, muchas organizaciones ven en la norma ISO 27001 una guía adecuada para establecer su Sistema de Gestión de Seguridad de la Información.
El Reglamento General de Protección de Datos refuerza los derechos de los ciudadanos e introduce un nivel de seguridad sobre la información personal como nunca antes se había conocido.
La figura del responsable y encargado del tratamiento de datos adquieren un papel muy importante, ya que gran parte de las decisiones que se tomen sobre el procesamiento de los datos personales dependerá de ellos.
El Reglamento General de Protección de Datos supone un cambio muy significativo en la normativa de protección de datos a nivel europeo y mundial en los últimos 20 años. La finalidad que persigue es la protección de la privacidad de la información personal de todos los ciudadanos residentes en la Unión Europea.
La norma ISO 27001 es la norma internacional por excelencia para garantizar la seguridad de la información. Se desarrolla basándose en la norma británica BS 7799-2 y publicada por primera vez en 2005, muchas empresas ven en la certificación de la norma ISO 27001 el primer punto de partida para cumplir con el Reglamento General de Protección de Datos.
La norma ISO 27001 sigue las mejores prácticas internacionales para proteger la información personal de las organizaciones. No sólo ampara los datos de clientes sino también todos los activos digitales o impresos de la empresa. Por este motivo, la norma ISO 27001 es el punto de partida perfecto para dar cumplimiento al Reglamento General de Protección de Datos. El Sistema de Gestión de Seguridad de la Información se encuentra centralizado, basado en los resultados de una evaluación de riesgos formal, evita brechas de seguridad y será un proceso más eficiente para realizar controles de seguridad independientes.
Certificación ISO 27001
La certificación de la norma permite salvaguardar la información personal de la organización y será un gran signo de transparencia para el mercado y para los clientes. La certificación ISO 27001 se centra en cuatro pasos:
- Previo a la auditoría, se deberá aplicar las medidas adecuadas para que se inicie el proceso, es decir, obtener el apoyo de la alta dirección, definir el alcance del Sistema de Gestión de Seguridad de la Información, etc.
- Auditoría de revisión, cuando se solicita la certificación ISO 27001 es necesario que los auditores externos a la compañía se revisen toda la documentación existente.
- Auditoría principal, tan pronto los documentos se encuentren verificados se completará el proceso de certificación.
- Revisión, la certificadores debe realizar auditorías de forma periódica para velar por el buen funcionamiento del Sistema de Gestión de Seguridad de la Información durante tres años, como mínimo.
Es la norma principal de seguridad de la información ya que protege la totalidad de los datos personales y asegura que solo las personas se encuentran autorizadas para acceder a ellos. En la actualidad, y debido a su última revisión publicada en el año 2013, el nombre de la norma es ISO/IEC 27001:2013.
¿Cómo se certifica?
Conseguir y mantener la certificación acreditada en ISO 27001 puede resultar una tarea muy complicada, de forma especial para aquellos que tienen que realizar el proceso de implementación por primera vez.
Dependiendo del caso, obtener la certificación puede suponer desde tres meses de trabajo a un año. Es necesario destacar que no existe un criterio único para implantar la norma ISO 27001 dentro de la empresa, pero si una serie de directrices y orientación que le llevará a conseguir un buen resultado.
Hoy en día sabemos que existen 9 pasos clave que seguir a la hora de realizar un proyecto de implementación de la norma ISO 27001 que garantiza el éxito. Siendo los siguientes:
- Encargo del proyecto
- Inicio del proyecto
- Inicio del SGSI
- Marco de gestión
- Criterios de seguridad de referencia
- Gestión del riesgo
- Implementación
- Medición, monitorización y revisión
- Certificación
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.