Seleccionar página

Impacto del RGPD en el ámbito de la seguridad de la información

5 Jun, 2018 | Seguridad | 0 Comentarios

Insights -> Tendencias y Actualidad

El pasado 25 de Mayo concluyó el plazo de adaptación al Reglamento General de Protección de Datos (RGPD) sustituyendo a la Directiva Europea 94/46/CE, así como a la normativa vigente relacionada.

Una de las principales novedades es la introducción de la gestión de riesgos dentro del mismo, lo que probablemente impulsará a una gran cantidad de organizaciones al establecimiento y potenciación de una cultura de seguridad cercana o equiparable en muchos casos a lo establecido en la norma ISO 27001 (establecimiento, implementación, revisión y mejora del Sistema de Gestión de Seguridad de la Información).

Esta situación plantea un escenario donde la información es un activo cada vez más valorado y las amenazas concernientes a la seguridad de la información se encuentran en creciente evolución. Dentro de dicho escenario, es previsible una “globalización” de la gestión de riesgos como herramienta transversal en procesos de certificación.

Igualmente, el RGPD incluye en su articulado referencias clave como la resiliencia, las dimensiones de confidencialidad, integridad y disponibilidad. Dichas referencias pueden entenderse como ejes principales de aplicación la norma ISO 27001.

El escenario global en lo que respecta al tráfico de datos personales ha cambiado radicalmente desde 1995, año de publicación de la ya derogada Directiva. De esta manera, uno de los grandes objetivos del RGPD es la adaptación a dicho escenario, en el que las amenazas a la seguridad de la información, las brechas de seguridad, robos de datos o criptomonedas, ataques por denegación de servicio, además de un largo etcétera, están a la orden del día y no pueden ser ignoradas.

Otra gran diferencia del RGPD frente a la Directiva de 1995 es la aplicación directa, esto es, la antigua Directiva precisaba de una normativa específica para su trasposición, desarrollo o aplicación, mientras que lo dispuesto en el RGPD es directamente aplicable y sustituye a lo expuesto en la normativa nacional. No obstante, la ley que sustituirá a la actual LOPD podrá precisar algún aspecto permitido por el RGPD.

La hoja de ruta de adaptación al RGPD, elaborada por la Agencia Española de Protección de Datos (AEPD) se basa en las siguientes claves:

  1. Designación del Delegado de Protección de Datos, o en caso de no ser aplicable, designar a la/s persona/s responsables de coordinar la adaptación.
  2. Elaborar el registro de actividades de tratamiento.
  3. Realizar un análisis de riesgos.
  4. Revisar las medidas de seguridad a la luz de los resultados del análisis de riesgos.
  5. Establecer mecanismos y procedimientos de notificación de quiebras de seguridad
  6. A partir de los resultados del análisis de riesgos, realizar en su caso una evaluación de impacto en la Protección de Datos

Las interrelaciones entre el RGPD y la norma ISO 27001 afectan a una gran cantidad de artículos y realizar un mapa de correspondencias entre el articulado del RGPD y los epígrafes de la norma excedería sobradamente el ámbito del presente artículo. Dicho esto, y desde un punto de vista estrictamente técnico, parece de vital importancia centrar el foco en el artículo 32 del RGPD, en el que se especifica lo siguiente:

el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”

A la vista tanto de la hoja de ruta de la AEPD como del citado artículo, se puede apreciar una fuerte correlación entre el objetivo principal de la norma ISO 27001: el establecimiento, implementación, revisión y mejora del Sistema de Gestión de Seguridad de la Información, y una de las principales novedades del RGPD, la introducción de la gestión de riesgos dentro del cumplimiento.

Es bastante probable que la introducción de la gestión de riesgos dentro del RGPD conlleve una “globalización” de la misma.

Esto es, los términos que se usan habitualmente en el ámbito de la gestión de riesgos, la concienciación en torno a cómo el impacto en la seguridad de la información puede afectar a la continuidad de negocio deben ser explicados en un lenguaje más accesible, a la vista del posible crecimiento del número de organizaciones que tengan que incluir la gestión de riesgos dentro de sus procedimientos.

Dentro del artículo 32 del RGPD podemos encontrar correspondencia directa con los epígrafes de la norma ISO 27001, así como los controles establecidos en la ISO 27002:

  • Elaboración del análisis de riesgo: Se trata de uno de los pasos principales en la creación del SGSI (Epígrafe 4.2.1). Igualmente en este epígrafe encontramos referencia a la evaluación del impacto en las dimensiones de confidencialidad, integridad y disponibilidad.
  • Revisión de medidas de seguridad: Abarca la práctica totalidad de lo establecido en la supervisión y revisión del SGSI (Epígrafe 4.2.3).
  • El registro de actividades está fuertemente relacionado con el Control de registros (Epígrafe 4.3.3).
  • La notificación de quiebras de seguridad está incluida en los controles de Gestión de incidentes de seguridad de la información (Control 13.1).
  • El cifrado es una de las principales herramientas presentes en la política de uso de controles criptográficos (Control 12.3.1).
  • La restauración de la información tras un incidente de seguridad es clave para entender la gestión de incidentes de seguridad de la información (Control 13) y la Gestión de continuidad de negocio (Control 14). Resulta de gran relevancia que el RGPD incluya la resiliencia permanente de los sistemas.
  • Como punto final, el cumplimiento de la normativa vigente en materia de Protección de Datos es en sí un control específico (Control 15.1.4).

Estas correspondencias son sólo un esbozo de la fuerte relación entre el RGPD y la norma ISO 27001. Existen puntos comunes igualmente dentro de los Controles de la norma ISO 27002 sobre Aspectos Organizativos (Control 6) en lo que respecta al procedimiento de autorización de acceso, asignación de responsabilidades, confidencialidad y contacto con autoridades y terceros. También está presente en la seguridad ligada a los recursos humanos (Control 8) y en el control de de acceso (Control 11) la gestión de accesos a la información, un aspecto crucial en la gestión organizativa.

En conclusión, el horizonte cercano muestra un panorama en el que las organizaciones están llamadas a tomar mayor conciencia de la gestión del riesgo, así como de incluirla dentro del engranaje de su propio funcionamiento. De igual manera, se puede entender que cumplir el RGPD va a conllevar implementar gran parte de los procedimientos establecidos en la norma ISO 27001. Como aperitivo, te recomendamos leer nuestro artículo “8 pasos para implantar con éxito la norma ISO 27001“.


Panel es una empresa certificada en la norma ISO 27001 desde el año 2016, con renovaciones anuales. Puedes consultar nuestras certificadas en la sección Calidad y metodología.

 

Iván Campos

Iván Campos

Iván es Ingeniero de Consultoría y Desarrollo en Panel Sistemas. Visita su perfil en Linkedin o contacta con él vía e-mail en esta dirección.

Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This