{"id":4112,"date":"2018-12-28T12:26:38","date_gmt":"2018-12-28T11:26:38","guid":{"rendered":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/?p=4112"},"modified":"2023-12-26T17:53:58","modified_gmt":"2023-12-26T16:53:58","slug":"la-iso-27001-como-herramienta-para-cumplir-con-el-gdpr","status":"publish","type":"post","link":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/la-iso-27001-como-herramienta-para-cumplir-con-el-gdpr\/","title":{"rendered":"La ISO 27001 como herramienta para cumplir con el GDPR"},"content":{"rendered":"

REGLAMENTO (UE) 2016\/679 relativo a la protecci\u00f3n de las personas f\u00edsicas<\/strong><\/p>\n

Art\u00edculo 24 \u2013 Responsabilidad del responsable de tratamiento<\/em><\/p>\n

    \n
  1. Teniendo en cuenta la naturaleza, el \u00e1mbito, el contexto y los fines del tratamiento as\u00ed como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas f\u00edsicas, el responsable del tratamiento aplicar\u00e1 medidas t\u00e9cnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisar\u00e1n y actualizar\u00e1n cuando sea necesario.<\/em><\/li>\n<\/ol>\n

    Cuando se aprob\u00f3 el Reglamento Europeo de Protecci\u00f3n de Datos (GDPR)<\/strong> y los diferentes Responsables de Seguridad de las empresas leyeron el p\u00e1rrafo con el que comienzo este art\u00edculo, y m\u00e1s en especial el extracto de \u201cel responsable del tratamiento aplicar\u00e1 medidas t\u00e9cnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento\u201d<\/em>, se les apoder\u00f3 una sensaci\u00f3n de incertidumbre que no hab\u00edan experimentado en aquellas \u00e9pocas en las que la Ley Org\u00e1nica de Protecci\u00f3n de Datos 15\/1999 (LOPD) \u00a0<\/em>reg\u00eda en lo relativo a la protecci\u00f3n de los mismos y se preguntaron: \u201c\u00bfqu\u00e9 tenemos que hacer ahora para proteger los datos?\u201d.<\/p>\n

    Y se hicieron esa pregunta debido a que, a diferencia de la mencionada LOPD<\/strong> en la que se indicaba claramente qu\u00e9 cat\u00e1logo medidas de seguridad ten\u00edan que aplicar las empresas seg\u00fan el tipo de informaci\u00f3n que manejaban, en el GDPR no se indica nada al respecto, dejando al libre albedr\u00edo de cada Organizaci\u00f3n c\u00f3mo proteger la informaci\u00f3n. Y esta decisi\u00f3n debe estar basada en relaci\u00f3n al riesgo identificado, hecho que por otro lado bajo mi humilde opini\u00f3n me parece bastante acertado debido a que no todas las Organizaciones est\u00e1n sometidas a los mismos riesgos y por lo tanto las medidas de seguridad tanto t\u00e9cnicas como organizativas que deben aplicar no tendr\u00edan por qu\u00e9 ser las mismas.<\/p>\n

    \u00bfY ahora qu\u00e9 medidas aplicamos? \u00bfMe vale con las medidas que estaba aplicando con la LOPD? \u00bfTengo que aplicar alguna adicional? \u00bfMe sobra alguna de las que llevaba aplicando? Pues lamento comunicaros que, si hab\u00edais venido a este art\u00edculo con la intenci\u00f3n de obtener una respuesta a estas preguntas, dicha respuesta no existe y variar\u00e1 en funci\u00f3n la criticidad de la informaci\u00f3n que disponga una Organizaci\u00f3n, de las amenazas a las que est\u00e9 sometida y de otros factores como son los requisitos de seguridad que nos pueden marcar ciertos clientes con los cuales intercambiamos informaci\u00f3n o tratamos sus datos. Lo que s\u00ed puedo comentaros es un enfoque que me parece muy adecuado y que adem\u00e1s es el camino que cada vez m\u00e1s Organizaciones est\u00e1n tomando, y es la implantaci\u00f3n de la ISO 27001, not\u00e1ndose un fuerte repunte en este hecho, siendo que se encontraba bastante estancado desde hace aproximadamente una d\u00e9cada.<\/p>\n

    La ISO 27001<\/strong> es un est\u00e1ndar internacional para gestionar la seguridad de la informaci\u00f3n y que, complementada con la ISO 27002 relativa a las buenas pr\u00e1cticas para la implementaci\u00f3n de controles de seguridad, cubre un amplio abanico de \u00e1reas de las cuales depende la seguridad de las Organizaciones. Y no debemos olvidarnos que la seguridad no debe limitarse \u00fanicamente a los aspectos meramente t\u00e9cnicos, sino que puntos como disponer de unos buenos procesos definidos e implantados, la formaci\u00f3n de las personas o gestionar adecuadamente las relaciones con nuestros proveedores son tan importantes para mantener la seguridad como implantar las \u00faltimas medidas en materia tecnol\u00f3gica.<\/p>\n

    Para que os hag\u00e1is una idea, \u00e9stas son las \u00e1reas<\/strong> en las cuales est\u00e1n divididos los 133 controles de seguridad:<\/p>\n

      \n
    • Pol\u00edticas de Seguridad<\/li>\n
    • Organizaci\u00f3n de la seguridad de la informaci\u00f3n<\/li>\n
    • Dispositivos m\u00f3viles y teletrabajos<\/li>\n
    • Seguridad relativa a los recursos humanos<\/li>\n
    • Gesti\u00f3n de activos<\/li>\n
    • Control de acceso<\/li>\n
    • Criptograf\u00eda<\/li>\n
    • Seguridad f\u00edsica y del entorno<\/li>\n
    • Seguridad de las operaciones<\/li>\n
    • Seguridad de las comunicaciones<\/li>\n
    • Adquisici\u00f3n, desarrollo y mantenimiento de los sistemas de informaci\u00f3n<\/li>\n
    • Relaci\u00f3n con proveedores<\/li>\n
    • Gesti\u00f3n de incidentes de seguridad de la informaci\u00f3n<\/li>\n
    • Aspectos de seguridad de la informaci\u00f3n para la gesti\u00f3n de la continuidad de negocio<\/li>\n
    • Cumplimiento<\/li>\n<\/ul>\n

      Como pod\u00e9is comprobar, se combinan \u00e1reas con componentes m\u00e1s t\u00e9cnicos con otras en las que el componente de gesti\u00f3n es el predominante. Aunando todas ellas conseguiremos cubrir todo el espectro de la seguridad de la informaci\u00f3n<\/strong> y dispondremos de una base de medidas de seguridad perfectamente v\u00e1lida para proteger la informaci\u00f3n con el objetivo de ir evolucion\u00e1ndola en a\u00f1os sucesivos en base a las nuevas amenazas y riesgos que vayan apareciendo (porque aparecer\u00e1n). Con la aplicaci\u00f3n de todas estas medidas de seguridad daremos cobertura a los requisitos que nos marca el GDPR relativos a la protecci\u00f3n de la informaci\u00f3n.<\/p>\n

      Me gustar\u00eda a\u00f1adir tambi\u00e9n que el hecho de implantar una ISO 27001 no implica la necesidad de que esa Organizaci\u00f3n tenga que certificarse en ella, pudiendo obviar ese proceso y centr\u00e1ndose \u00fanicamente en el que deber\u00eda ser siempre el objetivo principal de su implantaci\u00f3n: mejorar la seguridad. Pero tambi\u00e9n os digo que, una vez recorrido el camino de la implantaci\u00f3n, el dar el paso final de la certificaci\u00f3n es un hecho que, una vez que se obtenga, va a provocar que aumentemos la confianza y la credibilidad ante nuestros clientes<\/strong>.<\/p>\n

      Sinceramente, espero que estos brotes que se est\u00e1n vislumbrando en la implantaci\u00f3n de la ISO27001 en diferentes Organizaciones puedan llegar a armonizar el nivel de seguridad que tenga implantado el tejido empresarial no s\u00f3lo a nivel nacional, sino en un marco global, ya que realmente considero que la seguridad debe ser uno de los aspectos claves en los cuales se deben centrar las Organizaciones durante los pr\u00f3ximos a\u00f1os.<\/p>\n\n

      Art\u00edculo redactado por Miguel Ib\u00e1\u00f1ez<\/p>\n","protected":false},"excerpt":{"rendered":"

      REGLAMENTO (UE) 2016\/679 relativo a la protecci\u00f3n de las personas f\u00edsicas Art\u00edculo 24 \u2013 Responsabilidad del responsable de tratamiento Teniendo en cuenta la naturaleza, el \u00e1mbito, el contexto y los fines del tratamiento as\u00ed como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas f\u00edsicas, el responsable del tratamiento […]<\/p>\n","protected":false},"author":92,"featured_media":9713,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[336],"tags":[],"class_list":{"0":"post-4112","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-seguridad","8":"entry"},"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/4112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/users\/92"}],"replies":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/comments?post=4112"}],"version-history":[{"count":0,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/4112\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media\/9713"}],"wp:attachment":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media?parent=4112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/categories?post=4112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/tags?post=4112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}