En 2019, la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional IEC, trabajaron en el proyecto de un nuevo estándar que hoy se conoce como ISO 27701. El objetivo principal de este trabajo era ofrecer a las organizaciones un nuevo elemento para potenciar la capacidad de la ya reconocida ISO 27001, para cumplir con lo dispuesto en normativas como GDPR.
Hoy, tres años más tarde, ISO 27701 se constituye en el pilar para muchas organizaciones que esperan, de la mano de ISO 27001, alcanzar la conformidad con GPDR. Pero lo cierto es que a pesar de haber sido publicada hace tres años, la norma ISO 27701:2019 no ha tenido la difusión esperada.
Son muchas las organizaciones que planifican su crecimiento con base en procesos de transformación digital que aún no implementan el nuevo estándar. Este tipo de desarrollo conlleva nuevos riesgos para la seguridad de la información, especialmente información privada, razón por la que dedicamos este espacio a explicar el contenido de la norma, su estructura, sus requisitos, su relación con ISO 27001, y otros temas vinculados como los controladores y procesadores PII.
¿Qué es ISO 27701?
Esta norma es una extensión de ISO 27001, que aborda el tema de la privacidad de los datos. Este estándar ayuda a las organizaciones a implementar sistemas adecuados y conformes con el Reglamento General de Protección de Datos (GPDR) en la Unión Europea, y otras normas que persiguen los mismos propósitos en otros continentes.
ISO 27701 adopta un enfoque integral para la gestión de la privacidad de la información, facilitando a las organizaciones cumplir con los requisitos de protección de información personal, pero también ayudándolas a:
- Definir roles y responsabilidades sobre la seguridad de la información privada en las organizaciones.
- Generar confianza en la capacidad de la organización para administrar información personal, de clientes, empleados, socios y otros terceros.
- Apoyar el cumplimiento de GDPR y otras regulaciones de privacidad aplicables.
- Facilitar acuerdos con socios comerciales donde los controles y procesadores de PII – Información de Identificación Personal – sean relevantes para ambas partes.
¿Quiénes deberían implementar ISO 27701?
El estándar es aplicable a todo tipo de organizaciones, de todos los tamaños, del sector público o privado u organizaciones sin ánimo de lucro. La norma, sin embargo, resulta de especial utilidad para las organizaciones que son responsables de controladores y procesadores PII, dentro de un Sistema de Gestión de Seguridad de la Información.
#ISO27701 es el nuevo estándar ISO que representa el futuro de la gestión de información privada. Conoce su enfoque y las novedades que introduce #SeguridadInformación #Privacidad Share on XNovedades y requisitos en ISO 27701
Una de las novedades, que sobresale en la lectura de este texto es la aparición de tres nuevos términos: PII, Controladores y Procesadores. El primero, PII –Información de Identificación Personal-, es lo que para GDPR es “Datos Personales”.
Lo que se conoce bajo el ámbito de GDPR como “Controlador de Datos”, es entonces “Controlador de PII”. Lo mismo sucede con la expresión “Procesador de Datos” que en el glosario del estándar ISO 27701 pasa a ser “Procesador de PII”.
Así, y de un modo muy general, podemos identificar 6 requisitos principales aplicables a controladores y procesadores:
Confidencialidad: las personas autorizadas para acceder a PII deben firmar y aceptar la conformidad con un acuerdo de confidencialidad.
Análisis de riesgos: la norma exige realizar una evaluación de riegos de privacidad, para identificar amenazas de procesamiento de PII.
Vigilancia: las organizaciones designarán personas responsables de desarrollar, implementar, mantener, monitorear, evaluar y mejorar el Sistema de Gestión de Seguridad de la Información.
Capacitación: es preciso identificar las necesidades de capacitación y proporcionar los programas adecuados a los empleados que tienen acceso a PII.
Procesos Internos: la organización adoptará políticas y procedimientos, así como planes de respuesta a incidentes de violaciones de PII.
Mantenimiento de registros: la norma solicita a las organizaciones mantener registros de todas las actividades de procesamiento de PII, incluidas las transferencias entre diferentes jurisdicciones y la divulgación a terceros.
Diplomado en Seguridad de la Información ISO/IEC 27001
ISO 27701 es una extensión de ISO 27001, lo que implica que, para obtener el mejor rendimiento del nuevo estándar, es preciso haber implementado la norma sobre Gestión de Seguridad de la Información.
El Diplomado en Seguridad de la Información ISO/IEC 27001 de la Escuela Europea de Excelencia, es un programa de Alto Nivel diseñado por profesionales reconocidos a nivel internacional, para profesionales que se ven enfrentados a los retos que hoy plantea la protección de la privacidad de la información y la seguridad de la información en general.
Este programa aporta un valor adicional: certificación de Diplomado de la Escuela Europea de Excelencia, certificación de Auditor Interno de Sistemas de Gestión de la Información y la posibilidad de obtener la certificación del Registro Europeo de Auditores Certificados –ERCA-. Esta última faculta a nuestros estudiantes para ejercer su profesión en cualquier país de la Unión Europea o de América Latina.
La Seguridad de la Información es un tema que compete a los líderes de una organización. Y tú puedes ser uno de ellos: inscríbete aquí.