Ventajas de certificar ISO 27001 de cara al cumplimiento del Reglamento General de Protección de Datos (RGDP)

Reglamento General de Protección de Datos

El más que afamado Reglamento General de Protección de Datos (RGPD), de aplicación común para todos los Estados miembros de la Unión Europea, afecta a aquellas organizaciones que tratan datos personales. Esto ha provocado que en prácticamente todas las empresas se haya tenido que hacer un gran esfuerzo por la adaptación del tratamiento de los datos de carácter personal que manejan. Este proceso, aun en plena efervescencia, se podría simplificar gracias a la implantación de un Sistema de Gestión de Seguridad de la Información según la certificación ISO 27001.

De esta manera, cada organización se ha visto obligada a evaluar los riegos de los datos personales e implantar así mecanismos necesarios para protegerlos. Partiendo de este objetivo de adaptación legal, muchas empresas han visto en la certificación ISO 27001 una guía adecuada para poder establecer e implementar un Sistema de Gestión de Seguridad de la Información adaptado a la normativa vigente.

El Reglamento General de Protección de Datos refuerza los derechos de los ciudadanos e introduce un nivel de seguridad sobre la información personal como nunca antes se había conocido.

En este caso, la figura del responsable del tratamiento de datos adquiere un papel muy importante en las empresas, ya que gran parte de las decisiones que se tomen sobre el procesamiento de los datos personales dependerá de su figura. Este ha sido un puesto que se ha tenido que crear de nueva en muchas compañías, debido a que anteriormente no se le ha prestado tanta atención a este tema.

El Reglamento General de Protección de Datos ha supuesto un antes y un después en la normativa de protección de datos tanto a nivel europeo como a nivel mundial. Su finalidad no es otra que la de regular la protección de la privacidad de la información personal de todos los ciudadanos residentes en la Unión Europea.

La ISO 27001 es la norma internacional por excelencia para la garantía de la seguridad de la información. Se basa en la norma británica BS 7799-2, publicada por primera vez en 2005. Son muchas las compañías que ven en la norma ISO 27001 el punto de partida para adaptarse de manera adecuada a las exigencias del Reglamento General de Protección de Datos.

Esta norma sigue las mejores prácticas internacionales para proteger la información personal tanto de las organizaciones como de las personas sujetas a ellas (personal, clientes, proveedores, etc.).

ISO 27001 es mucho más extensa de lo que establece el Reglamento General de Protección de Datos, ya que no sólo trata cuestiones relacionados con los datos de clientes, sino que también trata otros temas muy importantes como pueden ser los activos digitales o impresos de la empresa. Por este motivo, la norma ISO 27001 es el punto de partida ideal para dar cumplimiento al Reglamento General de Protección de Datos.

Certificación ISO 27001

Certificar la ISO 27001 permite a los responsables de datos salvaguardar la información personal de la organización de una manera muy correcta. Esta además contribuirá a mejorar la imagen de la organización de cara a los clientes que verán en las compañías que la certifiquen una distinción con respecto de la competencia, al tratar los datos de una manera segura, transparente y profesional. La certificación se centra en cuatro pasos fundamentales:

• Previo a la auditoría, se deberá aplicar las medidas adecuadas para que se inicie el proceso, es decir, obtener el apoyo de la alta dirección, definir el alcance del Sistema de Gestión de Seguridad de la Información, etc.
• Auditoría de revisión, cuando se solicita la certificación ISO 27001 es necesario que los auditores externos a la compañía se revisen toda la documentación existente.
• Auditoría principal, tan pronto los documentos se encuentren verificados se completará el proceso de certificación.
• Revisión, la certificadores debe realizar auditorías de forma periódica para velar por el buen funcionamiento del Sistema de Gestión de Seguridad de la Información durante tres años, como mínimo.

¿Cómo se certifica?

Conseguir la certificación en ISO 27001 puede resultar una tarea ardua, sobre todo para aquellas empresas que van realizar el proceso de implementación por primera vez.

Dependiendo de cada casuística, la obtención de la certificación puede llevar de tres meses a un año de trabajo. Será muy importante destacar que no existe un criterio único para implantar la norma ISO 27001 dentro de la empresa, sino toda una serie de directrices y orientación que le llevará a conseguir un buen resultado.

Se pueden establecer 9 pasos clave de cara a realizar un proyecto de implementación de la norma ISO 27001 que garantice el éxito:

• Encargo del proyecto
• Inicio del proyecto
• Inicio del SGSI
• Marco de gestión
• Criterios de seguridad de referencia
• Gestión del riesgo
• Implementación
• Medición, monitorización y revisión
• Certificación

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

El Software se encuentra compuesto por diferentes aplicaciones que, al unificarlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Este además de ayudar a una organización a certificar la ISO 27001 es una herramienta clave en la gestión de la seguridad de la información, de cara a cumplir los requisitos establecidos por el Reglamento General de Protección de Datos.