1 oct. 2019

ISO/IEC 27701:2019: Manejo de Información Privada integrada en ISO 27001

Con la publicación de la ISO/IEC 27552 (ahora renombrada a 27701), contamos con un documento público formal que nos permite reconocer el avance en temas de privacidad en los que el ISO JTC1/SC27 continúa trabajando.
Un cambio en las reglas de ISO para la numeración de sus normas internacionales ha provocado una demora en la publicación de la norma "Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines" y principalmente esta relacionado con la numeración de las normas que contienen requisitos.

Este cambio no solo ha retrasado hasta agosto la publicación de la norma, también ha requerido el cambio en su numeración pasando de 27552 a 27701, por lo que la nueva norma ahora es "ISO/IEC 27701 Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines". Cabe señalar que el cambio solo aplica a la numeración de la norma pero no a su contenido, el cual se mantiene sin mayores cambios.

Una consulta frecuente cuando tratamos temas sobre privacidad es el de la integración con ISO/IEC 27001:2013, esto ahora tendrá una respuesta con el nuevo estándar ISO/IEC 27701 que estádisponible en la web de ISO y que esta en consulta a los miembros de ISO.

El ISO/IEC DIS 27701 incorpora requerimientos adicionales para el SGSI de modo que cubra también los aspectos específicos sobre privacidad y que puedan extender el sistema de gestión para que la organización genere evidencias de un adecuado cumplimiento de las leyes y regulaciones locales en materia de privacidad o protección de datos personales.

El resultado de la aplicación de ISO/IEC 27701 será la transformación de un SGSI en un PIMS (Privacy Information Management Sistem) que aporte valor a la organización no solo en la protección de la información organizacional sino en el cumplimiento de sus responsabilidades sobre privacidad, tanto si se trata de un titular de banco de datos personales o un encargado de tratamiento.

Un PIMS implementado con base en ISO/IEC 27001 e ISO/IEC 27701 gestiona la información de las personas y la privacidad, entendiendo por privacidad la información relacionada con los aspectos íntimos de las personas, elevando los niveles de cumplimiento normativo y generando confianza para son las personas involucradas en las actividades de la organización (Clientes, usuarios, proveedores, colaboradores, etc).

Alineado con la estructura de alto nivel para sistemas de gestión (HLS) incluido en el Anexo SL de las directivas de ISO, podemos integrar el PIMS con otros sistemas de gestión ISO (como ISO9001, ISO/IEC 20000-1, ISO55001, ISO 14001, etc) y pretende ser implementado por organizaciones de cualquier tamaño, sector o tipo.

Sin duda un estándar que cobra alta relevancia en un entorno global donde el flujo y transferencia de información personal no solo se facilita sino de que los riesgos a los que esta afecto se incrementan y pueden tener impactos muy peligrosos para los titulares de datos personales (personas).

Pero la ISO/IEC 27701 no solo agrega requerimientos al SGSI, sino que también aborda recomendaciones adicionales a ISOIEC 27002, con lo cual también tiene una relación con otras normas como ISO/IEC 29100, ISO/IEC 27018, ISO/IEC 29134 e ISO/IEC 29151.

En la web de GTDI han publicado una nota sobre este nuevo estándar, donde incluyen la estructura, lo cual nos da una idea de como este borrador aborda sus objetivos. La estructura actual del estándar es clara sobre su objetivo y nos da una visión clara de su contenido, donde, al margen de que al ser solo el primer borrador se convierte en un documento que despierta interés en los profesionales de las áreas relacionadas a privacidad ( datos personales como es conocido en algunas jurisdicciones) y de seguridad de la información (principalmente en los que toman ISO/IEC 27001 como referencia).

Estructura del ISO/IEC DIS 27552 (ahora 27701)

  1. Introducción
  2. Alcance
  3. Referencias normativas
  4. Términos y definiciones
  5. Generalidades
  6. Requisitos específicos de PIMS relacionados con ISO / IEC 27001
  7. Orientaciones específicas de PIMS relacionadas con ISO / IEC 27002
  8. Guía adicional ISO / IEC 27002 para controladores PII
  9. Guía adicional ISO / IEC 27002 para procesadores de PII
  • Anexo A (normativo) Objetivos de control y controles de referencia específicos de PIMS (Controladores de PII).
  • Anexo B (normativo) Objetivos de control y controles de referencia específicos de PIMS (procesadores PII).
  • Anexo C (informativo) Mapeo con el Reglamento General de Protección de Datos
  • Anexo D (informativo) Mapeo con ISO / IEC 29100
  • Anexo G (informativo) Cómo aplicar ISO / IEC 27701 a ISO / IEC 27001 e ISO / IEC 27002
  • Bibliografía
Con 72 páginas este borrador de un nuevo estándar internacional aborda requerimientos y recomendaciones adicionales a las normas ISO/IEC 27001 e ISO/IEC 27002 ( sistemas de gestión de seguridad de la información y código de practica de controles de seguridad de la información ) para incorporar aspectos específicos referidos a privacidad, transformando el Sistema de gestión de seguridad de la información en un nuevo Sistema de Gestión de Información sobre Privacidad (Privacy Informatión Management Sistem - PIMS).

ISO/IEC 27701 tendrá un fuerte impacto en el marco global sobre protección de datos (personales) toda vez que aborda la transformación de un SGSI basado en ISO/IEC 27001:2013 en un PIMS (Privacy Information Management System) basado en ISO/IEC 27001:2013 con requisitos y recomendaciones adicionales de ISO/IEC 27701:2019 y sera de utilidad para el cumplimiento con las regulaciones de protección de datos de forma estándar, fortaleciendo la confianza en las organizaciones que se certifiquen y favoreciendo al comercio internacional.

Relación ISO/IEC 29100:2011 y ISO/IEC 27701

Tomando en consideración que ISO/IEC 29100:2011 aborda la privacidad desde un alto nivel y de forma neutral, podemos comprender como es compatible con las diversas leyes y regulaciones nacionales (en los países donde estas existen) y se convierte en un instrumento bastante util al momento de abordar los aspectos sobre privacidad en cualquier organización, así como para organizaciones cuyas operaciones se distribuyen a lo largo de diversa zonas geográficas y países, con el necesario cumplimiento de las regulaciones aplicables en cada uno de estos países donde operan.

Una norma que publicada en el 2011 (producto de varios años de desarrollo), confirmada en el 2017 por considerarse aun valida y que en el 2018 ha tenido una corrigenda clarificatoria mínima, es sin duda alguna una referencia global en la materia.

Ya en la norma ISO/IEC 29151:2017 se hace un símil entre las normas base de seguridad de la información (ISO/IEC 27001:2013, ISO/IEC 27005:2018 e ISO/IEC 27002:2013) con las de privacidad (ISO/IEC 29100:2011, ISO/IEC 291342017: e ISO/IEC 29151:2017) adelantándonos el enfoque que están abordando los estándares en privacidad.

Es en este sentido que el principal aporte de ISO/IEC 29100:2011 a ISO/EC 27552:2019 (ahora 27701) esta relacionado con los principios de privacidad, es decir, no vamos a tener los principios de ISO/IEC 29100:2011 como requisitos, sino que estos principios vamos a notar como han orientado el análisis de los requisitos de ISO/IEC 27001:2013 y en cuanto existan diferencias o la necesidad de agregar algo es donde podemos establecer una trazabilidad con ISO/IEC 29100:2011. De igual modo podemos observar en cuanto a las adiciones a ISO/IEC 27002:2013 que contiene ISO/IEC 27552:2019 (ahora 27701) para abordar la privacidad desde una perspectiva neutral y que con base en el cumplimiento de los requisitos (ISO/IEC 27001:2013 + ISO/IEC 27701:2019).

En este sentido, ISO/IEC 27552:2019 (ahora 27701) se convierte en la norma a utilizar cuando se necesite declarar conformidad sobre privacidad, como esta definido en la norma un Privacy Information management System (PIMS) con lo cual cierra una brecha entre la seguridad de la información y la privacidad, permitiendo a las organizaciones establecer modelos y mecanismos de confianza en cuanto a privacidad y esto sin duda fortalece el comercio internacional responsable y con enfoque en las personas.

Relación ISO/IEC 29134:2017 y ISO/IEC 27701

Un aspecto fundamental tanto en los sistemas de gestión de seguridad de la información bajo los requisitos de ISO/IEC 27001 como en un adecuado y responsable manejo de la privacidad es una adecuada gestión del riesgo, la cual en el contexto de privacidad puede estar reflejada en un análisis de impacto en la privacidad o PIA por sus siglas en inglés.

En este orden de ideas es importante hacer una diferencia entre ambos, toda vez que la gestión del riesgo de seguridad de la información se va a basar en el alcance del SGSI y los objetivos del SGSI, lo cual debería estar en coherencia con los objetivos de la organización (para poder generar una adecuada trazabilidad del aporte de valor real), pero esto no necesariamente significa que se haga un procesamiento adecuado de los datos de las personas. El análisis de impacto en la privacidad por otro lado, específicamente en el contexto de ISO/IEC 29134, toma como base 2 aspectos importantes como son el impacto hacia la organización y el impacto hacia los titulares de datos personales (personas), de modo que se pueda abordar las acciones resultantes sin perjudicar a la organización ni a las personas.

Cuando entendemos el aporte de valor de ISO/IEC 29134:2017 a la organización, entonces podemos deducir de forma simple el aporte que hace esta norma a ISO/IEC 27552:2019 (ahora 27701), es decir como esta norma va a tener la influencia de un PIA en cuanto a lo relacionado a los requisitos relacionados con la gestión del riesgo y en consecuencia con la selección y enfoques de implementación de los controles necesarios (Sobre controles hablaremos posteriormente cuando abordemos ISO/IEC 29151 e ISO/IEC 27018).

Finalmente, señalar que existen muchas formas y métodos de realizar un PIA, pero en el marco de ISO/IEC 27552:2019 (ahora 27701), es preciso indicar que tiene una relación con don ISO/IEC 29134:2017, es preciso señalar esto porque una norma ISO tiene como uno de sus objetivos facilitar el comercio internacional y en ese sentido su aporte de valor hacia organizaciones tanto locales como globales es un aspecto que es altamente valorado tanto para una organización con presencia en múltiples países o continentes como una organización que es proveedora, partner o cliente de una organización de mayor tamaño.

Fuente: GTDI

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!