Está muy bien tener buenas intenciones para mantener seguros los datos personales, pero para realmente cumplir con las normas, las organizaciones deben asegurarse de utilizar las medidas técnicas y organizativas adecuadas.
Con el primer cambio real en la Ley de Protección de Datos en 20 años, echemos un vistazo a lo que significa el Reglamento General de Protección de Datos. (GDPR) dice sobre los principios de seguridad.
El seguridad de datos personales no es nada nuevo. El Protección de Datos (DPA) de 1998 recomienda que las mejores prácticas incluyan la evaluación del riesgo para la información y la implementación de medidas de seguridad adecuadas. Pero con la llegada del RGPD, estas recomendaciones son ahora un requisito legal.
En el nuevo reglamento, el artículo 5(1)(f) habla de integridad y confidencialidad de los datos personales, ahora conocido como el 'principio de seguridad' del RGPD:
"Procesados de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas".
El propósito del principio de seguridad es garantizar que las medidas de seguridad de su organización ayuden a evitar que los datos personales que posee se pierdan, sean robados o se vean comprometidos de alguna manera. Entonces cuando hablamos de seguridad de la información, también incluimos la seguridad cibernética, física y organizacional.
La Oficina del Comisionado de Información (ICO) recomienda que el principio de seguridad se considere junto con el artículo 32 del RGPD, específicamente el artículo 32 (1).
“Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el controlador y el procesador deberán implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo”.
Si las organizaciones y los individuos no siguen seguridad de la información procesos y principios, el riesgo para la propiedad y la vida puede ser significativo. Algunos ejemplos de daño incluyen:
Por encima de todo, la seguridad de la información es un requisito legal que también le ayuda a practicar una buena gobernanza de datos y demostrar a sus clientes cadena de suministro y clientes en los que se puede confiar.
Además, cuanto más trabajo haga aquí, mejor, ya que el ICO evalúa las medidas técnicas y organizativas que tiene implementadas al considerar una multa, si sucediera lo peor.
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
Con ISMS.online, los desafíos relacionados con el control de versiones, la aprobación y el intercambio de políticas son cosa del pasado.
Como ya hemos mencionado, los principios de seguridad incluyen todos los aspectos del procesamiento de datos personales (cibernéticos y físicos).
Por lo tanto, las medidas de seguridad garantizarán que solo personas autorizadas puedan acceder a los datos personales con fines de divulgación o eliminación. Las medidas garantizarán que los datos sean precisos y completos y que sigan siendo accesibles y utilizables. Esto se refiere al principio de "confidencialidad, integridad y disponibilidad".
Aunque el RGPD no hace recomendaciones ni definiciones específicas de sus medidas de seguridad, se espera que su organización implemente un nivel de seguridad "apropiado". Para determinar qué se considera apropiado para usted, primero debe medir el riesgo y evaluar el valor de los datos personales.
Una medida organizativa incluiría la realización de un evaluación de riesgos de la información. Además, construir una cultura de la información y seguridad cibernética en su organización es esencial para llevar a cabo los principios en el día a día. Esto puede ser responsabilidad de un Oficial de Protección de Datos (DPO) u otro miembro del personal que sea responsable de comunicar la concienciación sobre seguridad.
La ICO también sugiere incluir lo siguiente al tomar medidas para satisfacer el principio de seguridad:
- coordinación entre personas clave de su organización (por ejemplo, el director de seguridad necesitará saber cómo poner en marcha y deshacerse de cualquier equipo de TI);
- acceso a instalaciones o equipos otorgados a cualquier persona ajena a su organización (por ejemplo, para mantenimiento de computadoras) y las consideraciones de seguridad adicionales que esto generará;
- continuidad del negocio acuerdos que identifican cómo protegerá y recuperará cualquier dato personal que tenga; y
- controles periódicos para garantizar que sus medidas de seguridad sigan siendo apropiadas y actualizadas.
Una sesión práctica adaptada a tus necesidades y objetivos.
El primer paso para cumplir con el principio de Confidencialidad, Integridad y Disponibilidad es saber dónde están todos sus datos personales. Afortunadamente ISMS.online tiene una solución para eso.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez