Aquí el texto completo del artículo publicado en la revista del Parque Tecnológico de Valencia al respecto de las ventajas de la implantación de la ISO-27001 al respecto del cumplimiento del nuevo Reglamento de Protección de datos.
Que ventajas aporta la implementación de la ISO-27001 a la hora de cumplir el RGPD
El nuevo Reglamento General de Protección de Datos (RGPD), común para toda Europa, afectará a todas las Personas Jurídicas o Físicas, Autoridades Públicas, Servicios u otros organismos que determinen los fines y medios del tratamiento de datos de las personas físicas, independientemente de su tamaño, tipo o área de actividad.
A partir del 25 de mayo de 2018 será de obligado cumplimiento este Reglamento, derogando a la LOPD, la protección de datos será un hecho ineludible para cualquier organización que trabaje con información personal de residentes en cualquier Estado miembro de la Unión Europea.
En primer lugar, cada empresa deberá evaluar los riesgos de sus datos personales e implementar los mecanismos necesarios para protegerlos. Con esta finalidad, son muchas las empresas que ven en la norma ISO 27001 la guía adecuada para llevar a cabo su Sistema de Gestión de Seguridad de la Información (SGSI).
La norma ISO 27001
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO), publicada por primera vez en 2005 y que en estos momentos la versión que está en vigor es la de 2013.
Es la norma principal de seguridad de la información ya que protege la totalidad de los datos que se utilizan en una empresa, en especial todos los datos personales y todos aquellos que contempla la diferente legislación sectorial.
Esta norma de gestión tiene requisitos de carácter general como:
- Análisis del contexto
- Liderazgo y responsabilidades
- Establecimiento de objetivos sobre la protección de la información
- Los recursos materiales, humanos, las competencias de las personas que trabajan en la organización
- Auditorías internas
- Revisión por la dirección
- Gestión de las no conformidades y acciones correctivas
Y de carácter específico sobre la gestión y seguridad de la información y los datos
- Análisis de los riesgos
- Apreciación de los riesgos
- Tratamiento de los riesgos
- Plan de contingencias para la continuidad del negocio
- Protocolos y procedimientos de actuación para prevenir y reducir los riesgos en la seguridad de la información.
- La gestión de los activos de la organización
- Control de accesos
- Relación con los proveedores
Entre otros
¿Cómo implementar la norma ISO-27001?
Lograr y mantener la certificación ISO 27001 puede resultar una tarea complicada, especialmente para aquellas empresas que no estén familiarizados con normas similares y de más largo recorrido en el tiempo (ISO-9001 / ISO-14001).
Los pasos que damos desde Compliance – Consigno para colaborar con nuestros clientes en el proceso de implementación son:
- Análisis de la situación de la empresa con respecto a la seguridad de la información, que datos maneja, el soporte principal de la información, si se dispone de medios automatizados …
- Nombrar al responsable de seguridad de la información.
- Determinar los procesos que sigue la información y los datos, elaborar el análisis de riesgos de la seguridad de la información
- Desarrollo de las políticas, los procedimientos y las instrucciones de trabajo para reducir / eliminar los riesgos sobre la seguridad de la información
- Formación a las personas implicadas
- Realización de la auditoria Interna
- Preparación y asistencia a la auditoria de certificación
VENTAJAS DE LA CERTIFICACIÓN
A nivel interno:
- Establecimiento de una metodología de gestión de la Seguridad de la Información clara y estructurada.
- Reducción del riesgo de pérdida, robo o corrupción de información.
- Las auditorías internas y externas ayudan periódicamente a identificar las debilidades del sistema y las áreas a mejorar.
- Los riesgos y sus controles son continuamente revisados.
- Saber como nos debemos proteger de ataques externos.
- Evitar multas / sanciones por parte de la administración y proveedores de softwar
A nivel comercial / clientes:
- Los clientes tienen acceso a la información a través y con medidas de seguridad.
- Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
- Confianza de clientes y socios estratégicos por la garantía de calidad y la confidencialidad comercial.
- La certificación en la norma genera valor añadido elemento diferenciador con la competencia y mejora de la imagen de la empresa.
A nivel legal:
- Conformidad con la legislación vigente sobre información personal, propiedad intelectual