GUÍA DE IMPLANTACIÓN ISO/IEC 27701

50,000GLOBALLYCERTIFICATES 90TRANSPARENT

Desde 2016 y en un breve periodo de tiempo, las normas sobre protección de datos han sido aprobadas para Reino Unido y la Unión Europea, incluyendo los requisitos necesarios para asegurar la privacidad de información personal por parte de las organizaciones. Tanto el Reglamento General de Protección de Datos (RGPD) de la UE como la Ley de Registro de Personas del Reino Unido (DPA) son de aplicación a toda organización, independientemente del sector, en el caso de Reino Unido. La rapidez del establecimiento de estas normativas ha dejado atrás a algunas organizaciones y ya han tenido lugar algunas infracciones.

A pesar del anuncio de ambas normas, ninguna regulación proporciona asesoramiento específico sobre qué medidas se deben tomar para asegurar el cumplimiento con los requisitos. Además, la mayoría de normas existentes no tienen un conjunto de cláusulas o controles para asegurar que la privacidad de la información se gestiona integralmente a través de la implantación de sistemas de gestión.

La Organización Internacional de Normalización (ISO ) y la Comisión Electrotécnica Internacional (CIE) han desarrollado una nueva norma para proporcionar asesoramiento a negocios con el fin de gestionar efectivamente la privacidad de la información y asegurar la conexión entre los actuales requisitos para sistemas de gestión y la legislación sobre protección de datos.

GESTIÓN DE INFORMACIÓN PERSONAL ISO/IEC 27701

RGPD – Resumen sobre la legislación

El RGPD fue adoptado por la UE en abril de 2016 y remplazó a la Directiva Sobre Protección de Datos UE 95/46/EC. Esta nueva legislación obliga a las organizaciones ha tomar responsabilidades sobre el procesamiento de datos y también es aplicable a organizacionbes fuera de la UE. Las multas por incumplimiento pueden llegar a ser graves, alcanzando hasta un 4% de la facturación anual global o 20 millones de euros para organizaciones que no cumplan con la norma.

El objetivo principal de la norma puede verse como una regulación de la privacidad de la información en la UE. No obstante, también afecta a cualquier organización fuera de la UE que ofrezca sus bienes o servicios a individuos dentro de la UE. Los sectores empresariales con requisitos de procesamiento de datos personales importantes se ven afectados de manera única y es fundamental garantizar la conformidad con la legislación.

Se requiere que las organizaciones confirmen el consentimiento explícito e inequívoco de los clientes, con base a propósitos específicos para el uso de sus datos y por períodos de tiempo específicos. Las personas tienen derecho a solicitar una copia de todos los datos que se encuentran en ellos, incluida una explicación de cómo se utilizan dichos datos y si es accesible por terceros. Las personas pueden solicitar que su perfil de datos pase a otro procesador de datos. Además, las personas también tienen derecho a retirar el consentimiento y a solicitar el borrado de sus datos.

Ahora se requiere que los procesos o individuos responsables de los datos tengan controles de seguridad adecuados para garantizar la confidencialidad de los datos que poseen o procesan y que tengan mecanismos para medir esa efectividad.

Las notificaciones sobre infracciones deben enviarse a la autoridad supervisora dentro de 72 horas posteriores a su reconocimiento. El ICO es la autoridad independiente del Reino Unido creada para defender los derechos de información, promoviendo la apertura por parte de los organismos públicos y la privacidad de los datos para las personas. Otras normas internacionales de transferencia de datos de la Directiva Sobre Protección de Datos continúan dentro del RGPD. Los datos personales pueden transferirse fuera de la UE, pero solo a países que que tengan mecanismos de protección comparables.

¿QUÉ ES LA ISO 27701 Y PORQUÉ ES NECESARIA?Como ya comentamos, no ha habido orientación sobre cómo implementar los procesos dentro de la estructura existente de una organización para adherirse al RGPD. La ISO 27701: 2019 es una extensión de privacidad del estándar internacional de gestión de seguridad de la información, ISO 27001 (ISO 27701Técnicas de seguridad - Extensión a ISO 27001 e ISO 27002 para la gestión de información de privacidad - Requisitos y directrices).

La ISO 27701 detalla los requisitos y brinda la orientación necesaria para el establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de información confidencial (SGIC). El estándar se basa en los requisitos, objetivos de control y controles del estándar ISO 27001 e incluye un conjunto de requisitos de privacidad, controles y objetivos de control.

Los conceptos de seguridad de la información son familiares para las organizaciones que ya tienen un SGSI operativo. El nuevo SGIC garantizará que las organizaciones tengan una gobernanza de datos integral y universal que se corresponda directamente con los requisitos legislativos.

Ya se han publicitado casos de violaciones del RGPD y han afectado a organizaciones nacionales y globales. Un informe reciente de Capgemini revela que hasta el 70% de las organizaciones creen que actualmente no cumplen con los requisitos del RGPD. La severidad de las sanciones por incumplimiento ha requerido la creación de esta norma.

ÉNFASIS EN LA ISO 27001La ISO 27701 es ligeramente diferente, dado que requiere de un sistema de gestión ya implantado. No todas las cláusulas y controles son aplicables en todas las instancias.

Los requisitos de la norma se dividen en 4 grupos que se exponen a continuación:

1. Requisitos del SGIC relacionados con la ISO 27001se detallan en la cláusula 5.

2. Requisitos del SGIC relacionados con la ISO 27002se detallan en la cláusula 6.

3. Orientación sobre el SGIC para la Ios Controladoresde Información Personal se detallan en la cláusula 7.

4. Orientación SGIC para Procesadores de Información Personal se detallan en la cláusula 8.

Adicionalmente, el anexo pone de manifiesto controles

aplicables para construir el cuerpo principal de la norma.

Puede utilizar los siguientes puntos a modo de guía:

1. Anexo A: controles sobre información personal (IP).2. Anexo B: controles para procesadores de IP.3. Anexo C: Esquematiza las provisiones de la ISO

27701 respecto a la ISO 29100.4. Anexo D: Esquematiza las provisiones de

la ISO 27701 respecto al RGDP.5. Anexo E: Esquematiza las provisiones de la ISO

27701 respecto a ISO 27018 e ISO 29151.6. Anexo F: proporciona orientación sobre la

aplicación de la ISO 27701 respecto a la ISO 27001e ISO 27002.

En la mayoría de casos, las organizaciones certificadas en ISO 27001 deberán comenzar con el Anexo F para comprender la aplicación del SGIC en el sistema ISO 27001. Este anexo hace referencia a 3 instancias para la aplicación de la norma para la privacidad de la información al procesar datos personales:

• Aplicación de normas de seguridad.• Añadidos sobre normas de seguridad.• Mejora sobre normas de seguridad.

Las cláusulas del SGIC amplían los requisitos de ISO 27001 para incorporar consideraciones de información confidencial. La cláusula 5 proporciona un conjunto de guías específicas de SGIC sobre los requisitos de seguridad de la información en ISO 27001 apropiados para una organización que actúa como controlador o procesador de datos personales.

Las subcláusulas resumen los requisitos detallados. Esta es quizás el área más pertinente para aquellas organizaciones con SGSI existentes, dado que les permitirá considerar los requisitos.

A continuación se detallan las consideraciones adicionales dentro de la cláusula 5 de la norma ISO 27701 que se pueden considerar como adicionales a los requisitos del SGSI existente:

5.1 Los requisitos de ISO 27001 deben extenderse a la protección de la privacidad y procesamineto de información personal. El Anexo F proporciona una tabla con indicaciones visuales sobre esto.

5.2.1 Un requisito adicional a la cláusula 4.1 de ISO 27001 es describir que una organización determinará su papel como controlador y/o procesador de información personal. Además,se deben indicar los factores externos e internos que son relevantes para el contexto y afectan a la capacidad de lograr resultados del SGIC. Esto incluye cualquier legislación relevante ya establecida dentro del SGSI existente o los requisitos contractuales que hasta ahora se habían identificado en diferentes cláusulas o controles del anexo de ISO 27001.

Cuando una organización tenga identificados los roles de controlador y procesador de información personal, se deben determinar roles separados, cada uno de los cuales estará sujeto a un conjunto de controles diferentes.

5.2.2 Una consideración adicional a la cláusula 4.2 de ISO 27001 es el requisito de incluir a las partes interesadas con responsabilidades sobre el procesamiento de infromación personal. Esto puede incluir clientes, algo no considerado previamente por la ISO 27001. Los requisitos relevantes para el procesamiento de información personal pueden determinarse por requisitos legales, obligaciones contractuales u objetivos autoidentificados.

5.2.3 El alcance del SGSI está regulado por la cláusula 4.3 de ISO 27001. Los factores adicionales del SGIC para el alcance incluyen el procesamiento de información personal. La determinación del alcance del SGIC, puede requerir una revisión del SGSI debido a la extensión sobre la seguridad de la información en la cláusula 5.1 de ISO 27701.

5.2.4 Además de la cláusula 4.4 de ISO 27001, la nueva norma requiere que una organización establezca, mantenga y mejore continuamente el SGIC acorde a las cláusulas 4-10 de la ISO 27001:2013 y añadiendo los requisitos de la cláusula 5.

5.3 Dentro de ISO 27001, las organizaciones deben demostrar su compromiso con el SGSI a través de iniciativas de liderazgo y la creación de políticas, roles y responsabilidades y orientación. Del mismo modo, el SGIC requiere del compromiso de la gerencia y de interpretaciones específicas del SGIC, tal y como se indica en la cláusula 5.1 de la ISO 27701, que cubre todos los requisitos reflejados en la cláusula 5 del SGSI.

5.4.1 Los requisitos de la ISO 27001 para abordar riesgos y oportunidades requieren considerar la cláusula 5.1 de la ISO 27701. Además, las evaluaciones de riesgos de seguridad de la información identificadas en la ISO 27001 son aplicables con los siguientes requisitos adicionales:

1. La organización debe aplicar el proceso de evaluación de riesgos de seguridad de la información para identificarriesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad, dentro del alcance del SGIC.

2. La organización debe aplicar el proceso de evaluación de riesgos de privacidad para identificar los riesgosrelacionados con el procesamiento de información personal, dentro del alcance del alcance del SGIC.

3. La organización debe garantizar a lo largo de los procesos de evaluación de riesgos que la relación entre laseguridad de la información y la protección de la información personal se gestiona adecuadamente.

Este puede constituir un proceso integrado de evaluación de riesgos o procesos paralelos que se controlan por separado, depende de lo que la organización quiera.

Además, la cláusula 6.1.2.d de la ISO 27001 se refina para incluir una evaluación de las posibles consecuencias ,tanto para la organización como para los gestores de infromación personal, que resultarían si los riesgos identificados durante el 6.1.2.c (ISO 27001) se materializaran.

Se dan más consideraciones a la Declaración de Aplicabilidad generada por la organización al implementar el SGSI según la ISO 27001. El enfoque de "exclusión y justificación" de la declaración de aplicabilidad se aplica del mismo modo en el SGIC, no todos los objetivos de control y controles enumerados dentro de las áreas del anexo deben incluirse durante la implementación de dicho sistema. Se debe identificar la justificación de la exclusión cuando los controles no se consideren necesarios.

5.4.2 Deben considerarse los objetivos de seguridad de la información contenidos en la cláusula 6.2, aumentando la interpretación de la cláusula 5.1 de la norma ISO 27701.

5.5 Las consideraciones de soporte de la ISO 27001 en la cláusula 7 son aplicables junto con la interpretación adicional especificada en la cláusula 5.1 de la ISO 27701.

5.6 La cláusula 8 de la ISO 27001, incluida la planificación del tratamiento de riesgos, también es requerida por la ISO 27701 junto con información adicional que se identifica a través de la cláusula 5.1 de la ISO 27701.

5.7/5.8 Las consideraciones de seguimiento/medición y mejora del SGSI existente requieren un aumento adicional de las consideraciones dadas en la cláusula 5.1 de la ISO 27701.

Los procesos identificados anteriormente indicaron que la cláusula 5.1 del nuevo estándar es un punto clave para la implementación del SGIC. La extensión de protección de la privacidad dada por el procesamiento de información personal es un elemento clave para la implementación y sirve como guía para abordar las cláusulas adicionales de la ISO 27701.

CONSIDERACIONES ADICIONALES

La siguiente tabla proporciona una descripción de la información de la página anterior:

Cláusula ISO 27001 Extensión de ISO 27701

5.15.25.37.17.4

Compromiso de la gerencia con respecto a política de privacidad e integración del SGIC en el SGSI, incluyendo:

1. Externalización/establecimiento de roles.2. Comunicación (interna y externa).3. Anticipación de resultados.4. Control y orientación.5. Mejora continua del SGIC.

6.2 Objetivos de privacidad/SGIC.

7.2 Perfiles de competencia de los individuos asignados con requisitos de privacidad.

7.3 Concienciación sobre la política del SGIC y cómo contribuye el personal al establecimiento y mejora del sistema.

7.5 Documentación del SGIC, con consideraciones adicionales sobre la información y documentación no orgánica de la organización.

8.1 Activación del tratamiento de riesgos del SGIC.

8.2 Proceso de evaluación de riesgos del SGIC.

8.3 Plan de tratamiento de riesgos del SGIC, incluyendo correcciones en los registros de riesgos existentes.

9.19.29.3

Desempeño del SGIC y análisis de la efectividad del SGIC, incluyendo:

1. Auditoría interna.2. Revisión por la dirección.

10 Consideraciones de mejora continua del SGIC.

www.nqa.com