El Reglamento General de Protección de Datos –GDPR– abre un nuevo escenario para la protección y privacidad de la información a nivel mundial, al que no es ajeno a la serie ISO 27000. Aunque algunos profesionales del área se preguntan para qué implementar ISO 27001 si con ello no se alcanza la conformidad con el GPDR, lo cierto es que, cuando se comprende la serie ISO 27000, uno se da cuenta de la verdadera relevancia de esa norma para alcanzar el cumplimiento con este Reglamento General de Protección de Datos.
La serie ISO 27000, conformada en esencia por la ya conocida ISO 27001, su anexo de comprensión ISO 27002 y la menos conocida, hasta el momento, ISO 27701, definen una estructura normativa que protege a la organización de cualquier incumplimiento en materia de seguridad y privacidad de la información.
Comprendiendo la serie ISO 27000
El primer concepto que debe quedar claro es que los tres elementos de la serie ISO 27000 que hemos mencionado no son excluyentes. Se diría que son complementarios, y que la adopción de uno no elimina la posibilidad o la necesidad de implementar los otros.
Hecha esta observación, abordemos cuál es el objetivo de cada uno de estos estándares, para finalmente entender la relación entre ellos y el GDPR.
ISO 27001
ISO 27001 es un estándar internacional que establece requisitos para la implementación de un sistema de gestión de seguridad de la información con un enfoque basado en el riesgo. Tiene alcance sobre las personas, los procesos, los activos de la información y la tecnología.
La certificación ISO 27001 ofrece a los clientes de la organización y a todas las partes interesadas la seguridad de que sus datos y su información se protegen de forma adecuada.
Esta norma tiene una estructura compatible con algunos de los estándares más populares de ISO, como ISO 9001, ISO 14001, e ISO 45001, lo que la hace fácilmente integrable con ellos. Además, dado lo específico del objetivo de la norma, esta incorpora un Anexo A, conformado por 114 controles de seguridad, que no son todos obligatorios para todas las organizaciones. Es aquí donde aparece el segundo componente de la serie ISO 27000.
La serie #ISO27000 cuenta con 3 normas que ofrecen protección para la información, ¿cuáles son estas normas y cómo se relacionan? Share on XISO 27002
ISO 27002 no es en la práctica un estándar o una norma de gestión. Más bien se trata de un conjunto de directrices y buenas prácticas que pretenden básicamente explicar y ayudar a comprender quiénes deben aplicar o no, y de qué manera, los controles de seguridad contenidos en el Anexo A de ISO 27001.
Por supuesto, la adopción o no de ISO 27002 no es un requisito formal de ISO 27001. Eso sí, sirve para apoyar la implementación y, sobre todo, para comprender los controles del Anexo A y su funcionamiento.
ISO 27701
Esta norma sirve para extender la gestión de la información que comienza ISO 27001. Si el anterior estándar tenía como propósito implementar un sistema de gestión de seguridad de la información, el objetivo de ISO 27701 es abordar la privacidad de esta.
Este estándar de seguridad, publicado en 2019, proporciona orientación a las organizaciones que buscan establecer sistemas que, además de sus objetivos primarios, aseguren el cumplimiento con GDPR y con otros requisitos de privacidad de datos que han entrado en vigor recientemente.
Por eso, ISO 27701 es conocido como un sistema PIMS – Sistema de Gestión de Información de Privacidad –, ya que describe un marco para los llamados Controladores de Información Personal y los Procesadores de Información Personal. Logra así reducir el riesgo para la privacidad de la información de las partes interesadas en un sistema de gestión de seguridad de la información.
La relación entre ISO 27001, ISO 27002 e ISO 27701
Desde el punto de vista normativo y de cumplimiento, y de acuerdo con lo que hemos expresado hasta este punto, las organizaciones que implementan ISO 27701, y que previamente han debido implementar ISO 27001, pueden estar seguras de que cumplen con el Reglamento Europeo de Protección de Datos.
Entonces, la relación entre las tres normas de la serie ISO 27000 es complementaria, pero no obligatoria. Aunque bien es cierto que en primera instancia ISO 27001 se vuelve necesaria, ya que las otras dos dependen de la implementación de esta. Y solo la implementación de las tres garantiza el cumplimiento total con el GDPR.
Como vemos, el comienzo de este interesante conjunto de normas está en ISO 27001 y el conocimiento profundo de este estándar resulta fundamental.
Diplomado de Seguridad de la Información ISO 27001
El conocimiento sobre ISO 27001 y sus requisitos es el primer paso para la construcción de un sistema de seguridad y privacidad de la información, que, además, asegure el cumplimiento del GDPR.
En este camino, los profesionales cuentan con el Diplomado de Seguridad de la Información ISO 27001. A través de este programa formativo, que sigue la modalidad e-learning y cuenta con interesantes recursos, los profesionales adquieren las competencias necesarias para implementar y auditar un sistema de gestión basado en dicha norma.
Ya puedes reservar plaza para este diplomado, y no te olvides de comprobar si puedes beneficiarte del programa de becas de la Escuela Europea de Excelencia.