Mapeo de GDPR e ISO 27001: ¿Es suficiente la ISO 27001 para el cumplimiento del GDPR?

El GDPR y la ISO 27001 son dos estándares de cumplimiento significativos que tienen mucho en común. Ambos buscan fortalecer la data security y reducir el riesgo de data breaches, y ambos requieren que las organizaciones aseguren la confidencialidad, integridad y disponibilidad de los datos sensibles. La ISO 27001 es uno de los estándares de mejores prácticas más detallados, y de hecho, el Artículo 24 del GDPR especifica que la adhesión a códigos de conducta y certificaciones aprobadas, como la ISO 27001, puede utilizarse como un elemento para demostrar el cumplimiento. No es de extrañar que a menudo escuche preguntas como, “¿Estoy completamente en conformidad con el GDPR si ya estoy certificado en ISO 27001?”

Sin embargo, el GPDR tiene un alcance mucho más amplio y una comprensión más fundamental de la seguridad y privacidad de los datos. En esta entrada de blog, voy a responder varias preguntas frecuentes sobre ISO 27001 y GDPR, para que puedas entender mejor las similitudes y diferencias entre estas normas, y decidir cómo podrías usar el marco de ISO 27001 para pasar las auditorías de GDPR compliance:

• ¿Qué es el GDPR?
• ¿Qué es ISO 27001?
• ¿Cuáles son las similitudes entre ISO 27001 y GDPR?
• ¿El cumplimiento de ISO 27001 garantiza el cumplimiento del GDPR?

¿Qué es el GDPR?

El General Data Protection Regulation (GDPR) es una norma de cumplimiento que busca fortalecer la protección de datos; se aplica a todas las organizaciones — dentro o fuera de la UE — que almacenan o procesan datos personales de residentes de la UE. La norma entrará en vigor el 25 de mayo de 2018 y ya está cambiando la forma en que las empresas manejan la protección de datos. El GDPR amplía los derechos de los individuos con respecto a sus datos personales, exige nuevos enfoques (por ejemplo, protección de datos por diseño y por defecto) e implica grandes sanciones por infracciones.

Los requisitos más críticos del GDPR incluyen:

1. Alcance más amplio de los datos que requieren protección

El GDPR protege un amplio conjunto de datos, que incluye no solo información personal como nombres, identificaciones y números de Seguridad Social, sino también datos médicos, datos biométricos, opiniones políticas y más (Artículos 5–11).

2. Se requiere consentimiento explícito para el uso de datos

El artículo 6 del GDPR exige que las organizaciones obtengan consentimiento explícito para la recopilación y uso de los datos de los individuos. Para cumplir con este requisito, las organizaciones necesitan preservar evidencia documentada de que se otorgó el consentimiento y demostrar que todas las solicitudes de consentimiento son claras y concisas.

3. Derechos ampliados de los sujetos de datos

El Capítulo 3 proporciona una larga lista de reglas para ayudar a las personas a obtener un mejor control sobre sus datos. Los residentes de la UE tendrán el derecho a obtener información sobre si se está procesando sus datos personales (Artículo 15), transferir fácilmente sus datos entre proveedores de servicios (Artículo 20) y oponerse al procesamiento de sus datos (Artículo 21). Uno de los requisitos más significativos del GDPR es el “derecho al olvido” (Artículo 17), que otorga a las personas el poder de obligar a las empresas a borrar sus datos de todos los sistemas. El GDPR es posiblemente el único estándar de cumplimiento que otorga poder a los consumidores y pone sus intereses por encima de los intereses de las organizaciones, y las empresas que se están preparando para el GDPR ya notan la diferencia:

Kyle Reyes, Administrador de Sistemas de Infraestructura, Midland Information Resources

4. Multas enormes por incumplimiento

Fines for compliance failures are 2–4% of the company’s annual worldwide turnover or €10-20 million, whichever is higher. The most serious violations include accidental destruction, loss, change or transmission of personal data, as well as failure to demonstrate explicit consent for data processing (Articles 83–84).

5. Reglas estrictas de notificación de violación de datos

De acuerdo con el Artículo 33, los controladores de datos deben informar sobre las violaciones de datos a las autoridades supervisoras dentro de las 72 horas posteriores a su descubrimiento. Si una empresa no lo hace, debe proporcionar razones válidas para el retraso. Esto es significativamente menos tiempo del requerido por cualquier estándar de cumplimiento de EE. UU. (como HIPAA o SOX).

¿Qué es ISO 27001?

ISO 27001 (formalmente conocida como ISO/IEC 27001:2013) es una norma internacional de seguridad de la información que proporciona requisitos para implementar, mantener y mejorar un sistema de gestión de seguridad de la información (ISMS). Un ISMS es un marco de políticas y procedimientos que incluye los controles legales, técnicos y físicos involucrados en los procesos de IT risk management de una empresa. Los factores que afectan la implementación de un ISMS incluyen los objetivos de la organización, los requisitos de seguridad, el tamaño y la estructura.

Seguir las mejores prácticas de ISO 27001 ayuda a las organizaciones a abordar los riesgos de seguridad, proteger datos sensibles e identificar el alcance y las limitaciones de sus programas de seguridad. La norma se aplica a una amplia gama de organizaciones, como empresas, grupos gubernamentales, instituciones académicas y organizaciones sin fines de lucro.

Los requisitos más críticos de ISO 27001 incluyen:

1. Gestión de activos

Las organizaciones deben lograr y mantener una protección adecuada de los activos organizacionales, lo que significa que necesitan identificar sus activos y documentar reglas para el uso aceptable de la información (Controles A.8). Además, toda la información debe ser clasificada en términos de su valor, requisitos legales, sensibilidad y criticidad para la organización.

2. Seguridad operacional

Este amplio conjunto de controles describe procedimientos operativos básicos y responsabilidades, como la separación de los entornos de desarrollo, prueba y operación; la gestión de cambios; y la documentación de los procedimientos operativos (A.12).

3. Control de acceso

Esta familia de controles (A.9) proporciona pautas para controlar el uso de datos dentro de la organización y prevenir el acceso no autorizado a sistemas operativos, servicios en red, instalaciones de procesamiento de información y demás. Esto implica reglas para la gestión de acceso de usuarios, gestión de derechos de acceso privilegiado, responsabilidades de los usuarios, y control de acceso a sistemas y aplicaciones.

4. Gestión de incidentes de seguridad de la información

La familia de controles A.16 establece las normas para informar sobre eventos y debilidades de seguridad informática, gestionar incidentes de seguridad informática y mejorar estos procesos. Las organizaciones deben asegurarse de que los incidentes de seguridad se comuniquen de una manera que permita una respuesta oportuna y efectiva.

5. Seguridad de recursos humanos

La familia de controles A.7 requiere que las organizaciones aseguren que los empleados y contratistas estén conscientes de y cumplan con sus responsabilidades en materia de seguridad de la información. Las organizaciones necesitan proporcionar a los miembros del personal capacitación sobre concienciación y tomar medidas disciplinarias formales contra los empleados que cometan una violación de la seguridad de la información.

6. Continuidad del negocio

Este conjunto de controles (A.17) describe los aspectos de seguridad de la información del manejo de la continuidad del negocio. Las organizaciones necesitan determinar los requisitos para la continuidad de la gestión de seguridad de la información en situaciones adversas, documentar y mantener los controles de seguridad para asegurar el nivel requerido de continuidad y verificar estos controles regularmente.

Mapeo de ISO 27001 al GDPR: ¿Cuáles son las similitudes?

Existen muchas áreas donde ISO 27001 y el GDPR se solapan. La mayoría están relacionadas con la seguridad de la información: ISO 27001 especifica reglas similares para la protección de datos como las descritas en los artículos 5, 24, 25, 28, 30 y 32 del GDPR. Aquí hay solo algunos puntos que coinciden en ambos estándares:

Confidencialidad, disponibilidad e integridad de los datos

El Artículo 5 del GPDR especifica principios generales para el procesamiento de datos, como la protección contra el “procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño”. Se proporcionan pautas más detalladas en el Artículo 32, que establece que las organizaciones deben implementar, operar y mantener medidas técnicas y organizativas apropiadas para asegurar la seguridad de los datos, tales como el cifrado, la resiliencia de los sistemas y servicios de procesamiento, la capacidad de restaurar la disponibilidad de los datos personales de manera oportuna y más.

De manera similar, múltiples controles en ISO 27001 están dirigidos a ayudar a las organizaciones a asegurar la confidencialidad, disponibilidad e integridad de los datos. Comenzando desde la Cláusula 4, ISO 27001 requiere que las organizaciones identifiquen problemas internos y externos que podrían impactar en sus programas de seguridad. La Cláusula 6 les exige determinar sus objetivos de seguridad de TI y crear un programa de seguridad que les ayude a alcanzar esos objetivos. La Cláusula 8 establece normas para el mantenimiento continuo del programa de seguridad y requiere que las organizaciones documenten su programa de seguridad para demostrar el cumplimiento regulatorio.

Evaluación de riesgos

Tanto la ISO 27001 como el GDPR requieren un enfoque basado en el riesgo para la seguridad de los datos. El artículo 35 del GDPR exige que las empresas realicen evaluaciones de impacto de protección de datos para evaluar e identificar riesgos para los datos de los individuos. Esta evaluación de riesgos del GDPR es obligatoria antes de emprender el procesamiento de alto riesgo, como la monitorización sistemática de datos extremadamente sensibles.

La ISO 27001 también aconseja a las organizaciones realizar una evaluación de riesgos exhaustiva para identificar amenazas y vulnerabilidades que puedan afectar a sus activos (Cláusula 6.1.2), y seleccionar las medidas de seguridad de la información apropiadas en base a los resultados de dicha evaluación de riesgos (Cláusula 6.1.3).

Gestión de proveedores

La cláusula 8 de ISO 27001 requiere que las organizaciones identifiquen qué acciones de procesamiento se subcontratan y aseguren que puedan mantener esas acciones bajo control. La cláusula A.15 proporciona orientación específica sobre las relaciones con proveedores y requiere que las organizaciones supervisen y revisen la entrega de servicios del proveedor.

Cuestiones similares se tratan en el Artículo 28 del GDPR, que exige a los controladores de datos asegurar términos contractuales y garantías de los procesadores, creando un “acuerdo de procesamiento de datos”.

Notificación de brecha

De acuerdo con los Artículos 33–34 del GDPR, las empresas deben notificar a las autoridades dentro de las 72 horas posteriores al descubrimiento de una violación de datos personales. Los sujetos de los datos también deben ser notificados sin demoras indebidas, pero solo si los datos representan un “alto riesgo para los derechos y libertades de los sujetos de los datos”.

La cláusula A.16 de la ISO 27001, que aborda los controles de gestión de incidentes de seguridad de la información, no especifica un plazo exacto para la notificación de brechas de datos, pero sí indica que las organizaciones deben informar los incidentes de seguridad de manera pronta y comunicar estos eventos de una manera que permita que se tomen “acciones correctivas oportunas”.

Protección de datos por diseño y por defecto

El artículo 25 del GDPR establece que las empresas deben implementar medidas técnicas y organizativas durante la etapa de diseño de todos los proyectos para poder garantizar la privacidad de los datos desde el inicio ("protección de datos desde el diseño"). Además, las organizaciones deben proteger la privacidad de los datos por defecto y asegurar que solo se utilice la información necesaria para cada propósito específico del procesamiento ("protección de datos por defecto").

En la ISO 27001, se detallan requisitos similares en las Cláusulas 4 y 6. La Cláusula 4 exige que las organizaciones comprendan el alcance y el contexto de los datos que recopilan y procesan, mientras que la Cláusula 6 recomienda que realicen evaluaciones de riesgo de seguridad regulares para asegurar la efectividad de su programa de gestión de seguridad.

Registro de documentación

El artículo 30 del GDPR exige a las organizaciones mantener registros de sus actividades de procesamiento, incluyendo las categorías de datos, el propósito del procesamiento y una descripción general de las medidas de seguridad técnicas y organizativas pertinentes.

De manera similar, la ISO 27001 establece que las organizaciones deben documentar sus procesos de seguridad, así como los resultados de sus evaluaciones de riesgos de seguridad y el tratamiento de riesgos (Cláusula 8). De acuerdo con el Control A.8, se debe hacer un inventario y clasificación de los activos de información, asignar propietarios a los activos y definir procedimientos para el uso aceptable de los datos.

¿El cumplimiento de ISO 27001 garantiza el cumplimiento del GDPR?

Como puede ver, la certificación con ISO 27001 puede simplificar el proceso de lograr el cumplimiento del GDPR compliance. Sin embargo, hay varias diferencias entre estas normativas. El GDPR es un estándar global que proporciona una visión estratégica de cómo las organizaciones necesitan asegurar la privacidad de los datos. ISO 27001 es un conjunto de mejores prácticas con un enfoque específico en la seguridad de la información; ofrece consejos prácticos sobre cómo proteger la información y reducir las amenazas cibernéticas. A diferencia del GDPR, no cubre directamente los siguientes temas asociados con la privacidad de los datos, que se detallan en el Capítulo 3 del GDPR (Data Subject Rights):

• Consentimiento — Los responsables del tratamiento deben demostrar que los sujetos de los datos han consentido el procesamiento de sus datos personales (Artículos 7 y 8). La solicitud de consentimiento debe presentarse de forma fácilmente accesible, con el propósito del procesamiento de datos adjunto. Los sujetos de los datos también tienen el derecho de retirar su consentimiento en cualquier momento.
• Portabilidad de datos — Las personas tienen el derecho de obtener y reutilizar sus datos personales para sus propios fines a través de diferentes servicios, así como de transmitir esos datos a otro controlador sin que ello suponga un obstáculo para la usabilidad (Artículo 20).
• El derecho al olvido — Las personas tienen el derecho de hacer que sus datos personales sean borrados o detener su difusión sin demoras (Artículo 17).
• El derecho a la restricción del procesamiento — Las personas tienen el derecho de limitar la manera en que una organización utiliza sus datos personales si los datos han sido procesados ilegalmente o si la persona impugna la exactitud de los datos (Artículo 18).
• Derecho a oponerse — Los sujetos de datos tienen el derecho de oponerse al procesamiento de datos para marketing directo, desempeño de tareas legales o fines de investigación y estadísticas (Artículo 21).
• Transferencias internacionales de datos personales — Las organizaciones deben asegurarse de que las transferencias internacionales de datos se realicen de acuerdo con las normas aprobadas por la Comisión Europea (Artículo 46).

En resumen

Como podemos ver, el GDPR se centra en la privacidad de los datos y la protección de la información personal; exige que las organizaciones pongan más esfuerzo en obtener un consentimiento explícito para la recolección de datos y asegurar que todos los datos sean procesados de manera legal. Sin embargo, carece de detalles técnicos sobre cómo mantener un nivel apropiado de seguridad de los datos o mitigar amenazas internas y externas. En este sentido, la ISO 27001 es útil: Proporciona prácticas sobre cómo desarrollar políticas claras y comprensivas para minimizar los riesgos de seguridad que podrían conducir a incidentes de seguridad.

Aunque cumplir con la ISO 27001 no garantiza el cumplimiento del GDPR, es un paso valioso. Las organizaciones deberían considerar obtener la certificación ISO 27001 para asegurarse de que sus medidas de seguridad sean lo suficientemente fuertes para proteger los datos sensibles.