Privacidad de la información: clave en la transformación digital de la era COVID-19

Los datos y su privacidad han adquirido una especial relevancia ante la actual situación de alerta sanitaria provocada por el COVID-19. No solo de su análisis y manejo dependen la información y el conocimiento necesarios para poder hacer frente a esta enfermedad.

La calidad y la seguridad de los datos es determinante para poder hacer seguimiento de los casos actuales, y también para poder predecir la evolución que tendrá la pandemia. Pero es justamente la privacidad de los datos personales la que tiene un carácter prioritario y fundamental ante esta situación, y debe ser garantizada.

El escenario de pandemia ha obligado a tomar decisiones para dar continuidad y seguridad a la actividad laboral, lo que ha acelerado la adopción de soluciones TIC en las organizaciones y sus empleados, para poder trabajar en remoto (teletrabajo) a través de herramientas colaborativas. Esto ha generado a la misma velocidad riesgos en los sistemas de información de las organizaciones y sus datos, que deben ser debidamente gestionados para que su seguridad y privacidad se vean afectadas lo menos posible, y así ser productivos y eficaces cumpliendo los objetivos de negocio.

Pero los riesgos de una crisis sanitaria, junto con las medidas de confinamiento que los diferentes gobiernos han adoptado para evitar la expansión del COVID-19, son los que afectan directamente a las personas. Y es que, debido a esta situación, no pueden acceder a sus puestos de trabajo y deben realizar, en el mejor de los casos, su actividad desde sus hogares poniendo en muchos casos en riesgo la seguridad y privacidad de sus datos y de los clientes que gestionan.

Además hay que considerar que la entrada en vigor en mayo de 2018 del Reglamento General de Protección de Datos (RGPD) – UE 2016/679, y su posterior adaptación a la legislación española con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) a finales de 2018, ha incluido la posibilidad de ayudar a las organizaciones a verificar que cumplen con las leyes de privacidad y demostrar el principio de responsabilidad proactiva (art. 24 RGPD) a través de estándares o buenas prácticas, así como de certificaciones (art. 42 RGPD).

Esta es la realidad en el mundo, en lo que podemos llamar la era COVID-19, donde la confianza se refuerza como un activo fundamental. Las organizaciones que sean capaces de generar una relación de confianza con sus empleados, clientes, stakeholders (y por supuesto con los ciudadanos), se recuperarán mucho más rápido.

Un elemento necesario para conseguirlo será la capacidad de transmitir certeza en la seguridad y privacidad de los datos. Y es que cada vez más, la sociedad reclama a las organizaciones demostrar con convicción la diligencia debida en la gestión de sus datos personales.

En este escenario, AENOR ha diseñado la Plataforma de Confianza TIC Proteger la Seguridad y Privacidad de los datos, que agrega las soluciones de certificación del modelo de CIberseguridad y Privacidad basado en estándares/normas internacionales ISO con las mejores prácticas, así como en las actuales leyes y reglamentaciones españolas y europeas en materia de privacidad y seguridad.

Y en el contexto actual, es importante considerar que las organizaciones que deseen acceder a los fondos de Next Generation EU -el instrumento de la Unión Europea para hacer frente a la recuperación de los daños del COVID-19- relacionados con los pilares de digitalización tendrán una posición muy ventajosa si previamente demuestran, con estas certificaciones TIC, su seguridad y privacidad.

1 Estas soluciones son extensiones complementarias o bundles con ISO/IEC 27001, como la ISO 27017-27018 (Seguridad y Privacidad en Cloud), ENS (RD 3/2010 Esquema Nacional de Seguridad), IEC 62443-2-1 (Seguridad en entornos industriales OT-IoT)

En la figura se pueden ver diferentes soluciones de Ciberseguridad y Privacidad que tienen como core para la prevención, defensa y gestión de la ciberseguridad al veterano estándar internacional ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la Información (SGSI), que cumple 15 años desde su publicación como norma ISO.

Como es sabido, la ISO/IEC 27001 establece un Sistema de Gestión de Seguridad de la Información ya considerado internacionalmente como un commodity en la seguridad para las organizaciones. En este sentido, hay que recordar que AENOR fue pionera en obtener la acreditación de la Entidad Nacional de Acreditación (ENAC) para certificar de acuerdo a esta norma en el año 2008.

Su objetivo es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC y la mejora continua; e implantando los controles y procedimientos más eficaces y coherentes en consonancia con la estrategia de negocio para minimizar los riesgos identificados. Esta gestión eficaz de la ciberseguridad permite garantizar:

• Su confidencialidad, asegurando que solo quienes estén autorizados puedan acceder a la información.
• Su integridad, asegurando que la información y datos, así como sus métodos de proceso, son exactos y completos.
• Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

Los controles que hay que aplicar se enumeran en el Anexo A. de la ISO/IEC. Constituyen una síntesis de los dominios, objetivos de control y controles de la ISO/IEC 27002.

El objetivo de la ISO/IEC 27701 es la gestión de la privacidad de la información, teniendo en cuenta a los responsables y encargados de tratamientos de datos de carácter personal, bajo el análisis de riesgos de privacidad y la mejora continua.

Es importante indicar que la ISO/IEC 27701 se construye de forma paralela o a partir de un sistema de gestión de seguridad de la información según la ISO/IEC 27001 implantada o certificada. AENOR ha sido la primera entidad certificadora en España que ha concedido un certificado ISO/IEC 27701 a una multinacional española, a través de un proyecto piloto de evaluación de la conformidad durante más de seis meses.

La ISO/IEC 27701 se compone de ocho apartados y seis nexos. La estructura y relación de las ISO/IEC 27701 e ISO/IEC 27001 se refleja en la Tabla 1.

La Norma ISO/IEC 27701 tiene muchos aspectos relevantes, entre los que se pueden destacar:

• Análisis de Riesgos considerando la privacidad de la información.
• Declaración de Aplicabilidad con los nuevos controles para privacidad.
• Refuerzo de controles relacionados con la criptografía, copias de seguridad y respuesta a incidencias/brechas de privacidad.
• Los requisitos y controles relacionados con los responsables y encargados de tratamiento de los datos:
  • Evaluación de Impacto en la Privacidad (Anexo A. 7.2.5).
  • Información sobre el tratamiento de datos personales (Anexo A. 7.3.3).
  • Registro de Actividades de Tratamiento (Anexo A. 7.2.8).
  • Privacy by design/default (privacidad desde el diseño y por defecto) (Anexo A.7.4 Y Anexo B.7.4)
  • Registro de actividades de tratamiento (Anexo B. 8.2.6)
  • Gestión del consentimiento (Anexo B. 8.2)

Asimismo, cualquier organización que implanta la ISO 27701 y posteriormente obtiene la certificación por una entidad como AENOR, con una dilatada experiencia en la auditoría TIC e ISO 27001, obtiene los siguientes beneficios:

1. Integra la gestión de riesgos de seguridad y privacidad de la información aplicando mejora continua y orientado a objetivos de negocio.
2. Alinea los sistemas de gestión con la ley/normativa en materia de protección de datos del país correspondiente. Por ejemplo, en México con la Ley Federal de Protección de Datos, en Europa con el RGPD y España con la LOPDGDD. (ver extracto en tabla 2, según Anexo D ISO/IEC 27701.).
3. Refuerza el principio de responsabilidad proactiva (accountability) en la organización, al poder demostrar que se dispone de un sistema de gestión de privacidad certificado que ayuda al cumplimiento de la legislación de protección de datos.
4. Implementa mecanismos y controles eficaces para la notificación de incidencias/brechas de seguridad/privacidad.
5. Posible moderación de la sanción económica o ausencia de dolo ante un incumplimiento en materia de protección de datos.
6. Demuestra transparencia y eficacia a los clientes y accionistas a la hora de gestionar los tratamientos de datos personales y la relación de la seguridad de la información y la privacidad como pilares de la protección de datos, como se refleja el RGPD en su artículo 5.

La ISO/IEC 27001 junto con la ISO/IEC 27701 son las herramientas de gestión más eficaces para el Chief Information Security Officer (CISO) o responsables de seguridad de las organizaciones y los Delegados de Protección de Datos (DPD). Deberán trabajar de forma coordinada y en equipo, pues la privacidad  y seguridad de la información y los datos es prioritario para las organizaciones en sus procesos de transformación digital en esta era COVID-19.

En definitiva, la nueva ISO/IEC 27701, como parte del Modelo de Ciberseguridad y Privacidad integrado en la nueva plataforma de confianza de AENOR Proteger con Seguridad y Privacidad, ayuda a las organizaciones a hacer frente a los riesgos y amenazas de privacidad y seguridad alineado a la legislación vigente en materia de protección de datos.

El objetivo es generar y devolver la confianza a las organizaciones y, por ende, a las personas y la sociedad en una era COVID-19 donde la seguridad y la privacidad de los datos personales tienen más importancia que nunca.

Son más de 600 las organizaciones que ya han confiado en AENOR y han obtenido certificados incluidos en la plataforma de confianza de AENOR Proteger con Seguridad y Privacidad, ayudando a dar una respuesta eficaz a esta crisis, al disponer de un sistema de gestión auditado anualmente por AENOR.

La seguridad y la privacidad son dos conceptos tan diferentes como relacionados y en muchos casos, lamentablemente confundidos. Por ello, es relevante que GMV Soluciones Globales Internet ha implantado un Sistema de Gestión de Privacidad de la Información basado en la Norma ISO/IEC 27701, siendo además la primera empresa española en certificar en el ámbito internacional su cumplimiento obteniendo el certificado de AENOR.

La Norma ISO/IEC 27701 es la extensión del conocido estándar de Gestión de Seguridad ISO/IEC 27001 para cubrir los requisitos de protección de los datos personales que les son exigibles a las empresas. Estos requisitos aumentaron recientemente con la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Esta ley pide a las empresas análisis de riesgos, medidas de protección adecuadas, canales de comunicación y otras acciones con el objetivo de garantizar a los ciudadanos la protección de sus datos personales.

Para GMV, la implantación de la Norma ISO/IEC 27701 y su posterior certificación confirma su estrategia de entrega de servicios de alto valor añadido. Todas las líneas de negocio de GMV (ciberseguridad, consultoría, desarrollo, test de penetración, Servicios SOC y CERT, big data, inteligencia artificial, plataformas eHealth, digitalización y automatización de la industria) estaban incluidas dentro del alcance de la certificación ISO/IEC 27001, emitida hace 16 años, como también ahora lo están en la ISO/IEC 27701.

Así, los clientes, proveedores, empleados y entidades con las que GMV colabora saben que sus datos están siendo protegidos de acuerdo con sus necesidades y a las mejores prácticas del mercado en seguridad y en privacidad; en cualquier proyecto y para cualquier tipo de datos. GMV además recibe valor adicional de este certificado para el cumplimiento del artículo 42 del RGPD y con las auditorías de la ISO/IEC 27001 e ISO/IEC 27701 por parte de AENOR.

AENOR y GMV, de nuevo pioneros en el mercado TIC.