Puede parecer obvio considerar la seguridad de la información junto con la privacidad de los datos, pero ¿qué estipula exactamente el nuevo Reglamento General de Protección de Datos (RGPD), de próxima aparición?
En realidad, el RGPD no contiene requisitos de seguridad específicos. Según el artículo 32, titulado “Seguridad", sólo 135 palabras los describen:
“Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento deberán implementar apropiado medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras cosas, según corresponda:
(a) la seudonimización y cifrado de datos personales;
(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;
(c) la capacidad de restablecer la disponibilidad y el acceso a datos personales de manera oportuna en caso de un incidente físico o técnico;
(d) un proceso para probar, evaluar y evaluar la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de el procesamiento."
La palabra "apropiado" se menciona aquí tres veces. Si bien esto proporciona un cierto grado de flexibilidad a la hora de establecer los objetivos de la organización controles de seguridad, también conlleva el riesgo de que la opinión de un regulador difiera de la suya en lo que respecta a las medidas de seguridad que ha implementado.
Esto significa que debes estar preparado para demostrar y defender su enfoque y la eficacia operativa de los controles de seguridad establecidos.
Chris Zoladz*, fundador de asesores de información y privacidad, Navigate LLC, y ex presidente de la Asociación Internacional de Profesionales de la Privacidad (IAPP) ofrece…
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
1. Utilice un reconocido marco de seguridad — Si su organización aún no utiliza un marco de seguridad como ISO 27001/2 Para guiar su programa de seguridad, seleccione un marco o una combinación de marcos conocidos que informarán los componentes del programa de seguridad general.
2. Administrar la seguridadriesgos — No todos los riesgos de seguridad son iguales y no todos los riesgos pueden o deben eliminarse. Simplemente no es realista, rentable ni necesario. Afortunadamente, el RGPD reconoce esa realidad. Sin embargo, todavía necesitas evaluar los riesgos de seguridad y tomar medidas razonables para mitigar riesgos significativos, implementar controles compensatorios o justificar por qué se aceptará un riesgo no mitigado. Cada organización debe utilizar un marco de riesgo y tener un proceso para evaluar y controlar el riesgo. Si su organización no cuenta actualmente con un proceso formal para identificar, documentar y gestionar la seguridad riesgos, aproveche ISO 27001, NIST u otro marco para realizar mejoras. Esto no significa que su necesidades de la organización implementar cada elemento en un marco particular, sino que servirá como punto de partida o referencia para ayudar a garantizar que se aborden los elementos necesarios de la gestión de riesgos.
3. La documentación es tu amiga — Cuando hay una cuestión que da lugar a una investigación o auditoría, el éxito de la defensa de la organización estará directamente relacionado con la solidez del “mostrar y contar” que se presente al regulador o auditor. La documentación es la pieza de defensa que se puede utilizar para demostrar que existen controles de seguridad (por ejemplo, una lista de todos los empleados que completan la capacitación en seguridad) y que funcionan de manera efectiva (por ejemplo, el control de acceso Los registros muestran que se identificaron e investigaron intentos de acceso no autorizado a un sistema con datos personales). Mantener un nivel razonable de documentación para demostrar y defender los controles de seguridad establecidos.
4. Continuamente “leer y reaccionar” — La tecnología, los requisitos comerciales y los requisitos legales cambiarán continuamente con el tiempo. Como resultado, surgirán nuevos riesgos y se necesitarán controles de seguridad nuevos o diferentes. Este será un ciclo interminable y requiere que la organización esté continuamente adaptando y refinando sus Postura de seguridad para responder a nuevos riesgos.. La seguridad, al igual que la privacidad, es un proceso continuo, no un proyecto único.
Una sesión práctica adaptada a tus necesidades y objetivos.
Estándares como ISO 27001:2013 fomentan la continuidad es la mejora continua. Por externo auditoríaCon una certificación independiente, brindará a sus clientes la confianza que necesitan para comprobar que mantiene el SGSI y satisface los requisitos de revisiones periódicas y gestión continua.
Dado que es probable que los clientes también tengan puntos de vista diferentes sobre qué controles de seguridad son apropiados, implementar un estándar bien reconocido ayudará a evitar ser arrastrados en diferentes direcciones.
ISMS.online simplifica la descripción, demostración y defensa de la privacidad de sus datos y prácticas de seguridad de la información y controles.
Utilice nuestro prediseñado Marcos GDPR e ISO 27001, Políticas y controles ISO 27001 Junto con herramientas de gestión de riesgos y para gestionar otros procesos de trabajo requerido por el RGPD.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez