Muchas compañías se preguntan si es estrictamente necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI) para poner en marcha el Reglamento General de Protección de Datos que, recordamos, se aplicará en todos los Estados miembros de la UE a partir del próximo 25 de mayo de 2018.
Un gran número de organizaciones cree que basta con incorporar las medidas técnicas necesarias para cumplir con el artículo 32 del RGPD. Sin embargo, desde IT Governance creemos que hace falta mucho más para cumplir con el Reglamento.
Por un lado, el artículo 32 sustituirá el título VIII de la actual Ley Orgánica de Protección de Datos de Carácter Personal, que cubre la seguridad del tratamiento de los datos personales. Por otro, ISO 27001 es la norma internacional por excelencia que garantiza la privacidad de la información personal –no solo desde el punto de vista técnico– sino desde una cobertura más amplia.
Debido a la magnitud del artículo 32 del Reglamento General de Protección de Datos, garantizar un buen sistema SGSI alineado con ISO 27001 es un gran punto de partida para empezar a preparar el RGPD.
A continuación, explicamos 4 razones por las que creemos que incorporar solamente medidas técnicas no es suficiente para prevenir una infracción de datos:
1. Hay riesgos que no se tienen en cuenta
Los controles técnicos evalúan solo la parte técnica del riesgo, dejando a un lado los de carácter administrativo o los derivados de errores humanos o fallos durante el proceso. Un Sistema de Gestión de Seguridad de la Información es capaz de detectar los campos de mejora dentro de la empresa y si existe algún tipo de desconocimiento o mala práctica por parte de la plantilla.
2. La información está interconectada
Garantizar el buen uso de los datos debe formar parte de la cultura empresarial. Y para ello, la parte humana es tan importante como la técnica. Todo empleado debe ser consciente de la importancia que supone trabajar con datos personales, especialmente la alta dirección que debe ser un ejemplo para sus trabajadores.
Certificar la norma ISO 27001 es una buena práctica para minimizar esfuerzos, ahorrar costes y tiempos de trabajo y conseguir una mayor rentabilidad.
3. Las amenazas en la red varían con el tiempo
Cada día hay más –y nuevas– amenazas cibernéticas, y la única manera de proteger los datos personales frente a ellas es contar con un programa de prevención adecuado.
Un conjunto de medidas técnicas permite controlar la información personal durante un periodo de tiempo. Sin embargo, los programas informáticos se quedan obsoletos y pueden no proteger los datos durante todo el tiempo que están almacenados. Por el contrario, un buen SGSI se revisa y actualiza constantemente, lo que garantiza que la información personal esté siempre a salvo.
4. Los controles no siempre se implementan correctamente
Incluso los mejores profesionales pueden cometer errores o no seguir el procedimiento más eficaz para realizar un determinado trabajo. De ahí la importancia de obtener la certificación ISO 27001 y que una entidad externa evalúe si las medidas establecidas dentro de la compañía son las más adecuadas para asegurar el éxito del tratamiento de los datos personales.
En IT Governance ayudamos cada día a cientos de empresas de todo el mundo a certificar la norma ISO 27001 porque creemos que un SGSI es clave para asegurar la transparencia de una empresa y que el mercado confíe en ella.
Echa un vistazo a esta infografía (solo disponible en inglés) sobre el RGPD y la norma ISO 27001 >>
Además, recomendamos la lectura de este best-seller en español Nueve pasos para el éxito: Una visión de conjunto para la aplicación de la ISO 27001:2013 para entender esta norma internacional y facilitar la implementación del RGPD.
No dudes en conseguir este libro de referencia y aprender cómo proteger los datos personales, la información corporativa y la propiedad intelectual.
Haz clic aquí y obtén los Nueve pasos para el éxito gracias a ISO 27001 >>
No Responses