Cómo abordamos nuestra auditoría ISO 27701 y tuvimos éxito por primera vez

A finales de 2022, pasamos por el proceso de obtención simultánea de la certificación para ISO 27701, el estándar de privacidad de datos y la recertificación para ISO 27001, el estándar de seguridad de la información. Este último certificado lo hemos mantenido con éxito durante más de diez años. Y ahora estamos encantados de compartir que logramos ambas certificaciones con éxito y sin no conformidades. 

¿Por qué buscamos cumplir y alcanzar dos de los estándares más desafiantes que existen al mismo tiempo? ¡Te escuchamos preguntar! Decidimos poner nuestro dinero en lo que decimos y utilizar nuestra nueva plataforma que ofrece, SPoT. Diseñamos SPoT para facilitar la implementación de ISO 27001 e ISO 27701 a través de la combinación perfecta de un Sistema de gestión de seguridad de la información (ISMS) y un Sistema de gestión de información de privacidad (PIMS) en un "Punto único de verdad", o SPoT para abreviar. Puede obtener más información sobre SPoT en nuestro blog anterior. 

Durante la ejecución y auditoría del proyecto, nuestro equipo mantuvo diarios sobre sus experiencias y pensamientos sobre el establecimiento del PIMS y la recertificación de nuestro ISMS, por lo que decidimos compartir esas experiencias con usted. Esperamos que le resulte útil y revelador y, si tiene preguntas, póngase en contacto; Nos encanta conversar sobre todo lo relacionado con el cumplimiento. 

¿Qué es ISO 27701? 

Antes de adentrarnos en las experiencias vividas al crear, preparar y auditar un SGSI y un PIMS, es mejor preparar el escenario y desglosar exactamente qué es la norma ISO 27701. 

ISO 27701 es una extensión de privacidad del estándar ISO 27001, un marco reconocido internacionalmente para la gestión de la seguridad de la información. El estándar ISO 27701 proporciona pautas y requisitos para implementar y mantener un Sistema de gestión de información de privacidad (PIMS) dentro de un marco de Sistema de gestión de seguridad de la información (SGSI) existente.

¿Por qué las organizaciones deberían intentar implementar la norma ISO 27701? 

Aunque es relativamente nuevo en la escena (se introdujo en agosto de 2019), ha disfrutado de un rápido aumento en popularidad en todo el mundo, y muchas organizaciones han optado por implementar el estándar en lugar de regulaciones geográficamente regionales como GDPR y POPIA que se pueden acomodar en gran medida dentro de los controles de ISO 27701.  

En pocas palabras, la tasa de crecimiento de la transformación digital ha resultado en que se almacene y comparta en línea más información confidencial que nunca. A medida que ese volumen de datos prolifera, se convierte en un objetivo lucrativo para los ciberdelincuentes y en una preocupación clave para los consumidores y las empresas para garantizar su seguridad. Al mismo tiempo, el crecimiento de las regulaciones globales, como GDPR, CCPA y la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, por sus siglas en inglés), significa que las organizaciones también tienen la responsabilidad legal de proteger los datos privados de sus clientes. En conjunto, existe un movimiento evidente hacia un panorama de cumplimiento en el que ya no es posible tener seguridad de la información sin privacidad de los datos.

Los beneficios de adoptar ISO 27701 también van más allá de ayudar a las organizaciones a cumplir con los requisitos normativos y de cumplimiento. Estos incluyen demostrar responsabilidad y transparencia a las partes interesadas, mejorar la confianza y la lealtad de los clientes, reducir el riesgo de violaciones de la privacidad y los costos asociados, y aumentar la competitividad en el mercado global. 

Cómo nos preparamos eficazmente para nuestra auditoría ISO 27701 

La preparación, como ocurre con cualquier proyecto, es fundamental. La mayor parte de lo que haga como organización durante esta fase influirá en el éxito de su auditoría de certificación final. Sam Peters, nuestro DPO, lo sabía, ya que había pasado más de diez años preparándose y ejecutando auditorías para ISO 27001. Sin embargo, buscar una nueva norma, ISO 27701, y recertificar la ISO 27001 simultáneamente era un terreno nuevo para él y para la organización. , el auditor y el organismo de certificación. Sam admite libremente que "esto fue estresante". 

• Cada viaje comienza con un primer paso

El primer paso para Sam fue acordar un cronograma para el proyecto y el presupuesto. Para nosotros, fue un cronograma de 6 meses y un plazo ajustado, pero esto también garantizó que nuestro equipo de liderazgo, que impulsó el proyecto, estuviera completamente involucrado desde el principio, incorporando la importancia del cumplimiento de la privacidad de los datos desde lo más alto del negocio. . También consideró que la organización todavía necesitaba trabajar como de costumbre durante el proyecto. Establecer un ISMS y PIMS no tiene por qué ser un trabajo de tiempo completo, especialmente con la plataforma tecnológica adecuada que respalde a su gente y sus procesos en el camino. 

• La fase de descubrimiento

El siguiente paso para nosotros fue incorporar los nuevos controles de ISO 27701 a nuestro SGSI existente. No empezamos desde cero porque estábamos usando nuestro producto con todo el contenido disponible en el mercado. Fue sencillo adaptar ese contenido a las necesidades específicas de nuestra organización. Uno de los beneficios importantes de trabajar con la plataforma ISMS.online es que las herramientas que contiene le permiten tomar la delantera en el juego desde el primer momento. 

Luego comenzamos conversaciones detalladas con todos los equipos relevantes dentro de nuestro negocio, desde RRHH, Finanzas y Marketing hasta Ventas y Éxito, para comprender los datos que teníamos, cómo se movían a través de la empresa y los sistemas utilizados. Como ya teníamos un SGSI, teníamos un inventario de activos que fue una herramienta muy útil para iniciar esas conversaciones con cada equipo. También cumplíamos con el RGPD, por lo que habíamos completado una parte de la actividad para crear un registro de actividad de procesamiento (ROPA), lo que nuevamente nos ayudó al hablar con todos los equipos dentro del negocio y nos aclaró que, según ISO 27701, nuestro ROPA Necesitamos más detalles de los que teníamos actualmente, lo que nos da un flujo de trabajo claro en el que centrarnos de inmediato. 

Las conversaciones internas nos ayudaron a identificar casi de inmediato áreas en las que podríamos realizar mejoras y agilizar y simplificar los procesos, como dónde almacenamos los datos y los sistemas que utilizamos para acceder y utilizar esos datos. Esto también nos hizo comprender los beneficios adicionales de utilizar marcos como ISO 27701, ya que el proceso resultó en la optimización de los flujos de trabajo, mejorando aún más nuestra eficiencia operativa. 

• El acrónimo

La ROPA actualizada de este trabajo nos permitió pasar a las evaluaciones de impacto en la privacidad de los datos (DPIA), donde las implementamos en comparación con los procesos que habíamos implementado. Esto resultó en algunos aprendizajes beneficiosos sobre cómo lo hicimos como organización, ya que no es algo que la gente haga con frecuencia. Nos dimos cuenta de que contar con un enfoque basado en plantillas para que cualquiera que tuviera que hacerlo pudiera elegir la plantilla y entregar una EIPD valiosa y procesable con experiencia limitada era esencial para el éxito. Esto también democratizaría quién podría realizarlas y reduciría la carga de trabajo de los miembros más amplios de nuestro equipo de seguridad de la información. 

Para Sam, este proceso también le hizo comprender la importancia de pensar en la privacidad dentro de un trabajo o proyecto lo antes posible. Es mucho más fácil planificar teniendo en cuenta la privacidad que volver después e intentar cambiar o arreglar algo cuando es posible que la información ya esté en un sistema o que haya firmado un contrato con un proveedor. 

La idea de privacidad desde el diseño es integral para cualquier organización que busque incorporar una cultura de privacidad y cumplimiento de la creciente legislación sobre privacidad. Ahora forma parte de los controles ISO 27001 y 27701.

• Poder para el pueblo

El trabajo realizado hasta este momento nos llevó naturalmente a la formación del personal. El marco ISO 27701, al igual que el marco ISO 27001, es más que simplemente garantizar protecciones técnicas. Su objetivo es incorporar una cultura de privacidad y seguridad dentro de una organización. Y, de hecho, si va a hacer el trabajo de crear un PIMS, faltaría un truco considerable para no asegurarse de que sus empleados comprendan su papel a la hora de ofrecer una privacidad de datos eficaz. También es probable que no pase una auditoría si el auditor llama a un miembro del personal a participar y este no puede responder con confianza a las preguntas sobre los procesos que está implementando con su PIMS. 

Para Sam, hacer que la privacidad de los datos fuera relevante para el personal y sus funciones fue fundamental para el éxito. Era esencial capacitar al personal para que viera cómo son responsables y cómo se ven afectados por la privacidad de los datos. Contextualizar las políticas y procedimientos de la organización para gestionar la información de privacidad y mantener la confidencialidad y la privacidad dentro de roles específicos fue un trabajo que, aunque llevó mucho tiempo, mejoró la comprensión y la ejecución en toda la empresa. Esta actividad luego se extendió a la educación externa, actualizando nuestra política de privacidad y creando políticas de privacidad específicas para el personal y los candidatos potenciales durante la contratación. 

• Cuéntanos lo que realmente piensas

El penúltimo paso que dimos antes de la auditoría fue realizar una auditoría interna de nuestros PIMS. Este proceso fue esencial para garantizar que el PIMS funcionara según lo previsto, cumpliera con los requisitos de la norma ISO 27701 e identificara áreas para futuras mejoras antes de la auditoría de certificación. Nuestro DPO, Sam, pidió que el auditor interno fuera especialmente duro con nosotros, y ciertamente lo fue. Esta fue una oportunidad invaluable para solucionar cualquier problema y poder abordar con confianza la auditoría de certificación, sabiendo que nuestro PIMS cumplía con los requisitos rigurosos y entregaría lo que el auditor estaría buscando. 

Finalmente, en preparación para la auditoría, pensamos exactamente cómo presentaríamos nuestro PIMS al auditor y cómo traeríamos a otras personas dentro de la empresa a la auditoría según fuera necesario, asegurándonos de que los miembros críticos estuvieran disponibles e informando al público en general. empresa sobre lo que podrían esperar que se les pidiera hacer, asegurándose de que se sintieran informados y preparados en caso de que se les pidiera.

Qué esperar durante una auditoría ISO 27701 

Durante la auditoría, el auditor querrá revisar algunas áreas clave de su PIMS, como por ejemplo:

1. Las políticas, procedimientos y procesos de su organización para la gestión de datos personales
2.  Evalúe sus riesgos de privacidad y los controles apropiados para evaluar si sus controles son efectivos para mitigar los riesgos identificados.
3. Evalúe su privacidad la gestión de incidencias. ¿Es suficiente su capacidad para detectar, informar, investigar y responder a incidentes de privacidad?
4. Examine la gestión de privacidad de sus terceros para asegurarse de que existan controles adecuados para gestionar los riesgos de terceros.
5. Verifique que su programa de capacitación en privacidad eduque adecuadamente a su personal sobre cuestiones de privacidad
6. Revise las métricas de desempeño de su organización para confirmar si cumplen con los objetivos de privacidad.

Además de estas áreas consistentes de revisión, hay otros puntos a considerar, como la forma de trabajar con el auditor. Ellos están ahí para identificar el cumplimiento y usted está ahí para mostrarles cómo cumplir esos requisitos. Por lo tanto, liderar la conversación y guiarlos a través de las áreas clave será útil para el auditor y le permitirá identificar las rutas y actividades adicionales que desean revisar. Debería ser un proceso colaborativo. 

Por qué ISO 27701 nunca debería ser un proceso de marcar casillas 

Parte de los SGSI.online El espíritu es que la seguridad de la información y la privacidad de los datos son simples y sostenibles y se logran a través de personas, procesos y tecnología. Un enfoque exclusivamente tecnológico nunca tendrá éxito. 

El cumplimiento por sí solo no garantiza una gestión eficaz de la privacidad. Un enfoque exclusivamente tecnológico se centra en cumplir los requisitos mínimos del estándar en lugar de gestionar eficazmente los riesgos de privacidad de los datos a largo plazo. Su gente y sus procesos, junto con una configuración tecnológica sólida, lo colocarán a la vanguardia y mejorarán significativamente la efectividad de la privacidad de sus datos en comparación con aquellos que dependen de la tecnología para obtener una solución rápida pero temporal. 

Lo que podría denominarse un enfoque de casillas de verificación a menudo:

• Implican una evaluación de riesgos superficial, que puede pasar por alto riesgos importantes para la privacidad.
• Ignorar las preocupaciones de privacidad de las partes interesadas clave 
• Ofrecer formación genérica sobre privacidad que no se adapte a las necesidades específicas de la organización.
• Ejecutar monitoreo y revisión limitados de los controles de privacidad, lo que puede resultar en incidentes de privacidad no detectados.

Todo esto abre a las organizaciones a infracciones potencialmente dañinas, sanciones financieras y daños a la reputación. 

Hoja de ruta ISO 27701: descargar ahora

Hemos creado una hoja de ruta práctica de una página, dividida en cinco áreas de enfoque clave, para abordar y lograr la norma ISO 27701 en su negocio. No es necesario completar ningún formulario. Descargue el PDF hoy para comenzar su viaje hacia una privacidad de datos más efectiva. 

Descargar Ahora

Cómo desbloquear nuestra ventaja de cumplimiento de ISO 27701 por primera vez

Lograr la certificación ISO 27701 y la recertificación ISO 27001 por primera vez, sin no conformidades, fue un momento significativo para nosotros aquí en ISMS.online. No solo habíamos logrado ser pioneros en la industria, sino que también habíamos tenido éxito al utilizar nuestra nueva plataforma que ofrecemos, SPoT. 

Pero no todo fue acerca de nosotros en este proceso. Se trataba de nuestro "por qué". ¿Por qué hacemos lo que hacemos? La seguridad sencilla, segura y sostenible debería ser posible para todos. Es por eso. Entonces, ¿qué mejor manera de mostrarle a cualquiera que desee lograr una privacidad de datos y una seguridad de la información más efectivas que es posible que a través de la acción? Hemos vivido el proceso y queremos compartir esas experiencias, aprendizajes y herramientas con otros.

Podríamos analizar las muchas formas en que SPoT nos proporcionó todos los materiales y herramientas que necesitábamos para tener éxito, desde su ventaja inicial del 81%, el 'Método de Resultados Garantizados', el catálogo de documentación que se puede adoptar, adaptar, agregar o nuestro entrenador virtual siempre está disponible, pero en su lugar lo invitamos a verlo usted mismo y darse cuenta de los beneficios de primera mano: solicite una llamada con uno de nuestros expertos hoy.

Hable con un experto