Seguridad de la información: Lo último en estándares internacionales, como ISO 27001

Los ciberataques contra gobiernos y grandes empresas, o los escándalos que rodean el manejo de los datos por Facebook y Cambridge Analytica (la forma en que se manejan y se protegen los datos personales) son ahora mismo temas que están en el candelero. ¿Está segura nuestra información personal? ¿Están bien protegidos los sistemas que almacenan nuestros datos? ¿Existen estándares internacionales para estos temas?

El bufete británico Walter Morris, el Centro Técnico de la Gendarmería Nacional francesa, Vodafone en Alemania o la Cruz Roja de Bavaria tienen algo en común: Un certificado ISO/IEC 27001 reconocido internacionalmente que garantiza que una empresa u organización está cumpliendo los requisitos básicos en seguridad de la información y que su sistema de gestión de la información da la talla. Estos requisitos incluyen todas las medidas y documentos que son necesarios para proporcionar una protección óptima de los datos, salvaguardar la integridad de los datos de operaciones y garantizar la disponibilidad de los sistemas informáticos de la empresa, incluyendo sus planes de emergencia y análisis de riesgos.

Estos ejemplos de empresas demuestran lo importante que es cada vez más considerar la protección de los datos y especialmente la seguridad de los datos, y que los ejecutivos de todos los sectores se dan cuenta de ello. El nuevo Reglamento General de Protección de datos de la UE (vigente desde el 25 de mayo de 2018) estipula el derecho de decisión personal sobre los datos. Los certificados internacionales, como ISO/IEC 27001, ayudan a las empresas a valorar el estado actual de la seguridad de sus datos y sistemas informáticos, desarrollar estándares de seguridad efectivos y observar esos estándares en el día a día.

La seguridad de la información cada vez tiene más fans y necesita de estándares internacionales como ISO 27001. #jobwizards http://bit.ly/2yy6BsH

CLIC PARA TUITEAR

Pero antes de que profundicemos en este certificado, aquí tienes un recordatorio sobre seguridad y protección de datos, que son dos términos que no deben confundirse.

Protección de datos: El derecho a la decisión personal sobre los propios datos

El Reglamento General de Protección de datos de la UE (EU GDPR) regula los derechos básicos sobre proceso de los datos personales en Europa, estableciendo así un nuevo patrón internacional. La protección de datos tiene como objetivo garantizar que todo ciudadano tenga el derecho a la “decisión sobre los propios datos“ y proteger ese derecho contra el uso inadecuado de esos datos. Las empresas que operan en Europa tienen nuevas obligaciones en materia de transparencia e información. Los puntos principales son:

  • Confidencialidad de los datos (que no deben ser accesibles a terceras partes)
  • Integridad de los datos (que asegura que no puedan ser falsificados)

y

  • Disponibilidad de los datos, e información sobre lo robustos que son los sistemas y los servicios que los almacenan.

¿Cuál es la diferencia entre protección de datos y seguridad de los datos?

A diferencia de la protección de datos, la seguridad de los datos tiene como meta proteger a los datos contra su manipulación, pérdida y acceso no autorizado, sin importar si los datos pueden ser adscritos a una persona en concreto o no. La seguridad de los datos no se ocupa de cómo se adquieren y procesan los datos (que es la tarea de la protección de datos), sino de los pasos que se dan para proteger los datos una vez adquiridos. El término seguridad de la información abarca todo tipo de información almacenada.

Naturalmente, la protección de datos y la seguridad de los datos están estrechamente relacionadas. Mark Zuckerberg, CEO de Facebook, tuvo que defenderse recientemente contra acusaciones de uso inapropiado de datos e incluso ha alabado el Reglamento General de Protección de Datos de la UE, pero al mismo tiempo ha admitido que puede tardarse varios años en rectificar los problemas de datos existentes en su empresa.

El nuevo Reglamento General de Protección de Datos (EU GDPR): ¿Una protección global?

El nuevo Reglamento General de Protección de Datos de la UE ha asumido un papel de liderazgo global. Va a ser interesante ver cómo las empresas que operan en Europa implementan esta nueva ley, porque un principio fundamental de la protección de datos y el derecho a la decisión sobre los propios datos es la economía de los datos. Constance Bommelaer de Leusse, Directora de la International Internet Society (ISOC), asegura que éste precisamente es un punto en el que muchas empresas fallan: Para muchas de ellas la principal prioridad no es la protección de datos, sino su adquisición.

Es sabido que Facebook tiene datos de más de 2.000 millones de usuarios y que su sede central está ubicada en Irlanda. Las leyes de protección de datos europeas son ahora más estrictas que las de los Estados Unidos, así que ¿van a aplicarse a los usuarios de Facebook? Si las empresas no cumplen con la nueva regulación europea sobre protección de datos, se enfrentan a multas multimillonarias o hasta el 4% de sus ventas globales. Empresas como Facebook o LinkedIn han anunciado recientemente la reubicación de sus administraciones, y la responsabilidad de sus miembros, incluidos sus datos. Tratan con ello de evitar que sus usuarios no europeos ganen los derechos y oportunidades de litigio que tienen los ciudadanos de la UE. De sus 2.000 millones de usuarios, sólo los 370 millones europeos van a seguir alojados en su central en Irlanda.

Steps of the ISO-Certification-Process

Claro y estructurado: Cómo funciona el proceso de certificación ISO 27001. El estándar ISO/IEC 27001 describe los requisitos básicos de seguridad de la información que cumplen los sistemas de gestión de la información de una organización.

Los estándares de protección y seguridad de datos sólo se cumplirán si se cumplen internacionalmente

Lo cierto es que cada aplicación genera datos, y la cantidad de datos en todo el mundo es enorme. En tanto no existan unos estándares internacionales para la protección y seguridad de los datos que se apliquen a todas las empresas, la protección de datos seguirá siendo un problema, y su adquisición, almacenamiento y gestión seguirán siendo un riesgo de seguridad.

Lo que se necesita es una estructura internacional efectiva que convenza a las empresas a adherirse a estándares de seguridad fundamentales. Esto se hace especialmente importante en el contexto de los nuevos desarrollos de la Industria 4.0. Sólo estándares de seguridad reconocidos internacionalmente pueden asegurar permanentemente que los socios, clientes y consumidores confíen en los sistemas y tecnologías de la información.

Gestión de la seguridad de la información: ¿Qué organizaciones internacionales están trabajando activamente en pro de la seguridad de la información?

En este momento hay varias organizaciones internacionales que se dedican a la seguridad de la información, tanto en Europa como en el resto del mundo, y trabajan juntas e intercambian información. En primer lugar, las organizaciones e instituciones trabajan a un nivel nacional, como la Oficina Federal de Seguridad de la Información (BSI) de Alemania. A nivel europeo, la Agencia Europea para la Seguridad de la Información (ENISA) es un importante centro, y a nivel internacional contamos con la Organización Internacional de Estándares (ISO).

El concepto de seguridad de la información, por ejemplo, puede encontrarse en los catálogos de seguridad básica publicados por la Oficina Federal de Seguridad de la Información (BSI) y en la certificación internacional ISO 27001, y está dirigida expresamente a la protección de la información. Existen también otras certificaciones internacionales que se aplican tanto a personas como a productos (como el certificado de producto emitido de conformidad con los Criterios Comunes de Estándar Internacional).

La certificación ISO 27001 de ISMS: El liderazgo tiene sus ventajas

En 2013, un caso de estudio internacional llevado a cabo por ENISA examinó las prácticas de certificación de seguridad en Europa y encuestó a negocios de diferentes tamaños (entre 11 y 5.000 empleados). El estudio reveló que hay varias buenas razones por las que embarcarse en una certificación. Además de mejorar la calidad de la gestión de la información, otro incentivo importante es hacer que el personal sea consciente de la seguridad y refuerce con ello la posición de la empresa en el mercado. El estudio mostraba también que en la mayoría de los casos el coste de la certificación no excede los 10.000 €. Pero hay que tener en cuenta que el periodo de preparación, previo a la primera auditoría, que incluye un inventario, lleva normalmente de seis a doce meses, y supone gastos adicionales que dependen del sector de la actividad de la PYME y su nivel de avance digital. También puede ser necesaria formación, dependiendo del nivel de conocimiento del personal.

Es interesante saber que la mayoría de los negocios entrevistados afirmaron estar muy contentos de haber elegido a ISMS para obtener el certificado ISO 27001 y estaban convencidos de que los costes de la auditoría y certificación eran relativamente pequeños comparados con el nivel de beneficios para la empresa.

Entre 2015 y 2016 el número de certificaciones ISO/IEC 27001 que se han emitido en todo el mundo crecieron un 20% y, de acuerdo a ISO, ascienden ya a 33.290. Se trata de un desarrollo muy positivo, puesto que los estándares de seguridad reconocidos internacionalmente ayudan a crear soluciones sostenibles a los retos globales de la digitalización y la explosión de información.

Trabajo & Espacio