A pesar de la velocidad y el creciente impacto comercial de las brechas de seguridad, la mayoría de las instituciones aún controlan la seguridad digital de una manera diseñada para enfrentar los ataques de ayer mediante el uso de restricciones onerosas que obstaculizan la innovación.

Adiciones

ISO 27001 establece un marco para proteger la información valiosa de la organización, incluidos los datos personales, de una manera segura y creíble. La norma define los requisitos para un sistema de gestión de la seguridad de la información (SGSI) destinado a proteger contra, entre otras cosas, la eliminación, la fuga o la pérdida de acceso a los datos. Al mismo tiempo, garantiza que las empresas mantengan esfuerzos de seguridad continuos, donde la evaluación de riesgos y el manejo de eventos crean una protección contemporánea de la información. Está en línea con el texto legislativo del RGPD, que, entre otras cosas, pide a las organizaciones que implementen medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad que corresponda al riesgo. A continuación se enumeran 5 áreas donde ISO 27001 cumple directamente con los requisitos de GDPR:

Primera documentación

La transición a GDPR significa que las empresas ahora deben poder documentar su cumplimiento de la ley. Esto también es un requisito previo para el cumplimiento de los requisitos de ISO 27001: si no se puede documentar, no se considera que se cumplan los requisitos. Ergo: Debe haber una visión general de los datos personales, un informe sobre la evaluación de riesgos, un registro de eventos, etc.

2ª Visión general de los datos personales

Una visión general de los datos críticos y sensibles de la empresa es en ISO 27001 la clave para designar las medidas de seguridad relevantes. Este es también un requisito para los datos personales en GDPR para controlar dónde, cómo y cuánto tiempo se almacenan los datos, quién puede acceder a ellos, etc.

Tercera evaluación de riesgos

GDPR requiere que las empresas lleven a cabo evaluaciones de riesgos para identificar los riesgos de comprometer los datos personales de los ciudadanos de la UE. Esto también se aplica a la implementación de nuevos sistemas o al establecimiento de nuevos procesos comerciales. Del mismo modo, la ISO 27001 requiere que las empresas establezcan una respuesta de seguridad relevante a través de la gestión de riesgos, es decir. evaluar la probabilidad de diferentes eventos e identificar la consecuencia correspondiente para los datos de los interesados.

4º Descansos

GDPR requiere que las empresas informen a las autoridades dentro de las 72 horas de una posible interrupción de datos. También puede incluir la notificación a los interesados. Del mismo modo, ISO 27001 establece requisitos para el manejo de la desviación y propone procesos de manejo de eventos.

5ª Evaluación y mejoras continuas

Es un precedente subyacente para el cumplimiento de GDPR, que las organizaciones establezcan algunos flujos de trabajo que garanticen la protección continua de los datos personales, independientemente del panorama de amenazas, los nuevos tratamientos o los cambios en los procesos comerciales. Aquí, la ISO 27001 proporciona una caja de herramientas de actividades que garantizarán una protección adecuada de la información incluso cuando cambie el contexto. La evaluación de los controles de seguridad, las auditorías internas y la evaluación de la gestión son componentes clave para mantener y mejorar continuamente la protección de datos.

Valor

Las empresas pueden establecer los mecanismos de defensa más estrictos contra los activos de información clave. Ayudamos a los clientes a decidir qué proteger y cuánto necesitan a través de una combinación de ISO27000 que ayuda a las empresas a priorizar sus riesgos y activos comerciales, así como estrategias y planes tácticos que ajustan las capacidades de riesgo de la empresa.