ISO, ISACA y RGPD: cóctel de seguridad con protección de datos

Esta entrada ha sido preparada por Mario J. Aranda Otero, abogado que comienza su andadura profesional en los ámbitos de protección de datos y ciberseguridad.

– Información al lector – Tiempo aproximado de lectura: 7 minutos

ISO, ISACA Y RGPD: un buen cóctel de seguridad.

¿Qué es ISO?

Todos los profesionales que hemos empezado en estas nuevas áreas del Derecho no hemos topado con la palabra ISO. Al principio no le solemos dar mayor importancia. Seguimos caminando erguidos hacía delante como si la cosa no fuese con nosotros: tenemos mucho campo que estudiar, tampoco será tan importante, pensamos. Pero, más tarde que temprano, nos damos cuenta que ya no podemos eludir la pregunta: ¿Qué es eso de la ISO? Ya no existe alternativa, y no me queda más remedio que ser valiente y enfrentarse a ella. Y os extrañaría saber que el momento más adecuado para saber (qué demonios o qué puñetas) es una ISO es a la hora de profundizar en el RGPD (el Reglamento General de Protección de Datos, de ese seguro que sí habréis oído, hablar ¿verdad?)

La ISO tiene una doble cara, por un lado, es una Organización y por otro, son normas.

En cuanto a lo primero, la ISO es la Organización Internacional para la Estandarización. Es una federación de alcance mundial integrada por cuerpos de estandarización nacionales, en principio uno por cada país. La ISO es una organización no gubernamental que fue establecida en 1947.

La misión fundamental de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionadas en el mundo, con la mira en facilitar el intercambio de servicios y bienes y para promover la cooperación en la esfera intelectual, científica, tecnológica y económica.

Desde otra perspectiva, en cuanto al segundo podemos entender la ISO como normas estándares de seguridad establecidas por la Organización Internacional para la Estandarización o ISO y también por la Comisión Electrotécnica Internacional o IEC que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales con el propósito de facilitar el comercio, el intercambio de información y contribuir a la transferencia de tecnologías.

Es interesante el origen de ISO. Lo primero que me sorprendió es la falta de correspondencia entre un supuesto acrónimo en inglés de la organización (que es a lo que nos tienen acostumbrados en un mundo de siglas) y la palabra ISO. ISO no es el acrónimo, sino que es una palabra que deriva del griego “isos” que significa “igual” y suele emplearse como raíz del prefijo para significar igualdad.

¿Se puede estandarizar la seguridad de la información?

Se puede y se debe. Voy a poner el foco en la familia ISO/IEC 27000. La familia ISO/IEC 27000 establecen los estándares de seguridad de la información y provee estándares y guías sobre buenas prácticas en sistemas de gestión de seguridad de la información generalmente aceptadas, en concreto voy a hablar sobre algunas en particular, comenzando por la 27000 que proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.

La ISO/IEC 27001 son las especificaciones para la creación de un sistema de gestión de seguridad de la información o SGSI.

La ISO/IEC 27002 es el código de buenas prácticas para la gestión de la seguridad de la información y describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI.

La ISO/IEC 27032, será una guía para la ciberseguridad.

Las normas ISO-IEC 27000 forman una amplia familia compuesta por muchos más miembros, en la actualidad gozan de una gran relevancia e importancia tanto por su uso y aplicación.

¿Qué es ISACA?

Otra gran organización es ISACA de su acrónimo en inglés “Information Systems Audit and Control Association” que fue conformada por personas que reconocieron la necesidad de contar con una fuente centralizada de información y guías en el creciente campo de la auditoría a los controles de los sistemas computacionales. Actualmente tiene más de 115.000 miembros en todo el mundo.

A nivel histórico, ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares, en concreto, auditar controles en los sistemas computacionales que se estaban haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones se sentaron a discutir la necesidad de tener una fuente centralizada de información y guías en dicho campo.

ISACA, ahora mismo, es un acrónimo (aquí sí es acrónimo) que refleja una amplia gama de profesionales en el gobierno de las tecnologías de la información a los que sirve. Otra de las fortalezas de ISACA en su red de capítulos ya que tiene más de 200 capítulos en más de 80 países en todo el mundo y dichos capítulos brindan a sus miembros educación, recursos compartidos, asesoría, red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local.

Los productos principales de ISACA son: Cybersecurity Nexus (CSX) y COBIT. El Cybersecurity Nexus (CSX) es un recurso integral y global en ciberseguridad, mientras que COBIT, es un marco de negocio para gobernar la tecnología de la empresa.

¿Qué tiene que ver ISO, ISACA con el RGPD?

Pero ¿pueden mezclarse todo ello con el RGPD …? ¿Vislumbráis su relación directa con la nueva normativa vigente sobre Protección de Datos?

La garantía de la privacidad en el tratamiento de datos personales y la seguridad de la información han dejado de ser una cuestión de mero cumplimiento para convertirse en una cuestión crítica para empresas, profesionales e instituciones y además, no solamente debemos pararnos solamente en la privacidad sino en la existencia de fenómenos crecientes como el robo de información, la ciberdelincuencia o la importancia y relevancia del “Big Data”. Todas estas nuevas realidades obligan a las entidades que traten datos (ya sean de carácter personal o no) a adoptar medidas que garanticen la seguridad de un activo esencial e importante como es la información.

El RGPD renueva la concepción de cómo debe plantearse la aplicación de la normativa de privacidad. Para empezar existe la obligación de cumplir de forma proactiva y con iniciativa, esto implica anticiparse a los riesgos e intentar evitar que ocurran incidencias: ya no nos sirve actuar de forma reactiva y pasiva una vez que hayan podido ocurrir. En cada actividad que desarrollemos ha de configurarse desde el diseño, desde el inicio y con el máximo respeto a los derechos de los interesados y con la máxima seguridad posible (dentro de las posibilidades de cada responsable del tratamiento) .

Aquí es donde surge con fuerza conceptos como ISO e ISACA … La relación cercana y directa entre el RGPD y las normas ISO e instituciones como ISACA es que se debe acreditar que realmente se aplica y cumple, y se cumple de forma efectiva por el responsable del tratamiento, todo lo previsto en la normativa de privacidad que exige una seguridad efectiva de protección en el tratamiento de la información.

El RGPD se entrelaza de forma natural con la labor de instituciones como ISACA, orientada a la normalización y estandarización de la auditoría, ya que para poder evitar y prevenir vulnerabilidades de los sistemas de información, la auditoría de sistemas emerge con especial transcendencia para comprobar la seguridad real y efectiva de la información y hacer un buen uso de las tecnologías presentes en la empresa.

Un coctel bueno y necesario.

La mezcla y la combinación de la estandarización de la seguridad de la información (ISO) y de la normalización de la auditoria (ISACA) con el RGPD, nos asegurará una mayor garantía en la efectividad de las medidas de seguridad, pues recordemos que el RGPD no nos lista o enumera cuáles van a ser dichas medidas (salvo algunas medidas a título de ejemplo como el cifrado o la seudonimización) sino que solamente nos pide que garanticemos la integridad, disponibilidad y la confidencialidad.

Además, también hemos de recordar que el surgimiento del propio RGPD fue la normalización de las distintas normativas de los países miembros de la Unión Europea, que habían traspuesto en sus respectivas normativas nacionales de forma muy dispar y desigual la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, y por ello, al RGPD tampoco le son ajenos los conceptos de normalización y estandarización.

En conclusión …

Resulta imprescindible saber que la normativa relativa a protección de datos personales y las normas u organizaciones internacionales pueden llegar a coincidir en algunos aspectos, de forma que su convivencia dentro de la organización o empresa debe estar en sintonía y de igual forma la remisión a ellas es en todo caso complementaria de la propia normativa de protección de datos.

Si sabemos combinar todos estos elementos, tendremos un buen cóctel.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *