Protección de datos y seguridad informática según ISO 27001

La seguridad informática y la protección de datos son temas relevantes en la era digital, pero a menudo desesperan a las medianas y grandes empresas. Los legisladores intentan cada vez más proteger a los ciudadanos y consumidores a nivel nacional e internacional, por ejemplo mediante normas sobre el tratamiento de datos personales (RGPD). 

Sin embargo, son precisamente estas normas legales las que contienen muchos términos que importan en la práctica. Por último, del RGPD se derivan graves obligaciones para las empresas, pero también de otras normativas. 

Para las personas ajenas a este ámbito, la correcta interpretación de las leyes relativas a la protección de datos y la seguridad informática supone un gran reto. Sin embargo, las consecuencias de una protección de datos inadecuada no solo son problemáticas a nivel interno, sino que también pueden dar lugar a sanciones gubernamentales.

Pero, ¿qué se entiende exactamente por protección de datos y seguridad informática? ¿Y cuáles son las obligaciones de las empresas? ¿Puede la certificación ISO27001 ayudar a cumplir los requisitos legales? - Lea más sobre este tema en este artículo.

Los hechos más importantes en resumen

• Con la introducción del RGPD, las empresas están obligadas a desarrollar un concepto de protección de datos y a tomar medidas para proteger los datos personales.
• Las empresas tienen que cumplir los requisitos operativos y garantizar la seguridad de la información internamente. Vincular la protección de datos y la seguridad de la información puede parecer complicado, pero también presenta algunas ventajas para las empresas.
• Una certificación en el sentido del RGPD, como la ISO27701, puede ayudar a vincular la protección de datos y la seguridad de la información y entrelazarlas en un sistema de gestión común.

¿Cuál es la diferencia entre protección de datos y seguridad de la información?

Al principio, seguridad de la información y protección de datos suenan muy sinónimas. Se podría pensar que son dos términos que describen lo mismo. Además, hay otros términos como seguridad de los datos o seguridad informática que pueden causar confusión. ¿Qué significa cada término y cómo utilizarlos correctamente? 

Como siempre estamos hablando de la seguridad del tratamiento de datos personales en la empresa, los términos tienen naturalmente solapamientos. A veces son mayores, a veces menores. No obstante, son términos diferentes que asumen tareas y posiciones distintas en las empresas.

Debido a los solapamientos, a veces grandes, no es posible establecer definiciones y delimitaciones exactas. A menudo depende del autor y del contexto cómo deben interpretarse los diferentes términos. Por supuesto, esto no facilita las cosas a los consumidores o legos en la materia.

Para ofrecer una visión general y comprender las diferencias básicas, explicamos los términos:

Protección de datos

La protección de datos es la protección de la intimidad de cada persona. En los países occidentales, y especialmente en la región DACH, toda persona tiene derecho a la autodeterminación informativa. Esto garantiza que la persona afectada pueda determinar cómo se utilizan sus datos.

Al mismo tiempo, las personas deben estar protegidas contra el uso indebido de sus datos. Por ello, la normativa de protección de datos, como la RGPD, regula el tratamiento de los datos personales y la obligación de informar a cada persona sobre el uso de sus datos.

Seguridad de los datos

La seguridad de los datos también consiste en protegerlos, pero este término es más general. No sólo se refiere a los datos personales, sino a cualquier tipo de datos que merezca la pena proteger. Esto incluye tanto los datos analógicos como los digitales, por ejemplo la información secreta de una empresa o sus productos.

La seguridad de los datos tiene por objeto protegerlos contra la manipulación, el robo, la pérdida o incluso el simple acceso. A diferencia de la protección de datos, el tratamiento y la recopilación de datos no desempeñan necesariamente un papel, pero la cuestión es cómo pueden protegerse los datos en general del acceso no autorizado.

Seguridad de la información

Las normas ISO 27001 y 27701 en particular hablan de la seguridad de la información, es decir, la protección de la información de todo tipo. También en este caso es irrelevante que la información sea digital o analógica, con o sin referencia personal. La seguridad de los datos puede considerarse parte de la seguridad de la información, ya que esta última es de mayor alcance.

Seguridad informática

Al igual que la seguridad de los datos, la seguridad informática puede considerarse parte de la seguridad de la información y describe la información almacenada electrónicamente y los sistemas informáticos. Incluye no sólo el tratamiento técnico de la información, sino también la seguridad funcional de los sistemas informáticos.

¿Qué obligaciones tienen las empresas en materia de protección de datos?

Los requisitos de protección de datos en los países de la UE se regulan en particular en el RGPD (Reglamento General de Protección de Datos). Además, en Alemania existe la Ley Federal Alemana de Protección de Datos (BDSG).

El RGPD da a cada Estado miembro un cierto margen de maniobra, por lo que la BDSG ha sido adaptada y complementada. Para las empresas, sin embargo, la RGPD sigue siendo más relevante.

Se prescribe un enfoque estructurado:

• Para poder adoptar medidas en virtud de la ley de protección de datos, las empresas deben formular siempre necesidades y objetivos de protección y, a partir de ahí, desarrollar un sistema de gestión integrado.
• Se utilizan análisis de riesgos para definir los objetivos de protección y se puede determinar qué peligros existen y dónde la necesidad de protección es especialmente alta. A continuación, se desarrollan las medidas técnicas y organizativas adecuadas para alcanzar los objetivos de protección.
• Los objetivos de protección son siempre el estado objetivo y no sólo los fijan las propias empresas, sino que también pueden encontrarse en las normas.

En relación con estos objetivos de protección definidos, las empresas deben tomar medidas para alcanzarlos. Al hacerlo, deben incluirse los objetivos relacionados con la protección de datos y la seguridad de la información.

En lenguaje claro:  una separación clara de los objetivos individuales y las medidas dirigidas a ellos no suele poder realizarse en la práctica. Todos los objetivos de protección y sus medidas están interrelacionados y deben considerarse como un todo.

El RGPD estipula como objetivos de protección en particular

• Confidencialidad de los datos personales
• Disponibilidad de los datos (se puede acceder a los datos de forma segura)
• Integridad (garantizar la autenticidad de los datos)
• Resistencia de los sistemas y servicios
• Restablecimiento lo más rápido posible del acceso a los datos en caso de incidentes
• Posibilidad de intervención (los afectados pueden retirar su consentimiento al tratamiento de datos en cualquier momento)
• Revisión, evaluación y mejora periódicas de las medidas organizativas
• Instrucciones a los empleados para que sólo traten los datos dentro del ámbito especificado y los mantengan en secreto
• Limitación de la finalidad del tratamiento de datos (los datos sólo pueden utilizarse para fines específicos y legítimos claramente definidos de antemano)
• Minimización de datos
• Limitación del almacenamiento (los datos sólo pueden almacenarse durante el periodo de tiempo necesario, tras el cual debe procederse a su supresión)
• Responsabilidad de los responsables del tratamiento (la empresa tiene la responsabilidad y debe demostrar el cumplimiento de los principios en caso de duda)

¿Cómo pueden determinar las empresas sus objetivos de protección?

La base de todas estas medidas de seguridad es un ciclo de seguridad o de gestión de riesgos. Este círculo designa diversas etapas por las que se pasa una y otra vez en la consecución de los objetivos de protección. Las siguientes etapas cuentan en este ciclo recurrente de minimización de riesgos:

1. Identificación

Para las empresas, aquí es especialmente importante identificar qué amenazas existen para determinadas áreas y operaciones y dónde pueden localizarse los riesgos .

Es especialmente difícil identificar todos los factores de riesgo y procesos propensos a errores y nombrar cada uno de los puntos. Por ello, no basta con realizar este análisis una vez, sino que se trata de un proceso continuo, de ahí el ciclo.

2. Evaluación

Cada riesgo debe evaluarse en función de su magnitud, es decir, de la probabilidad de que se produzca un hecho perjudicial para la protección de datos de las empresas. Además de la probabilidad, también debe considerarse la magnitud del daño resultante para la persona afectada y la empresa.

3. Control

Control significa básicamente minimizar el riesgo. En otras palabras, deben tomarse las medidas adecuadas para eliminar el riesgo o reducirlo al máximo. Puede tratarse de determinados procedimientos de seguridad, asignación de tareas, instrucciones de trabajo a los empleados o reestructuración. 

La idoneidad de las medidas también depende de cómo se haya evaluado previamente el riesgo. Las medidas adoptadas también deben guardar esta proporción.

4. Supervisión

Aquí no sólo se supervisan los riesgos, sino también las medidas adoptadas. El objetivo es comprobar si los riesgos se han podido eliminar o minimizar de forma eficiente y eficaz o si existen posibilidades de mejora. En caso necesario, durante el seguimiento también pueden aparecer nuevos riesgos, que deberán combatirse de nuevo a partir del punto 1.

¿La seguridad de la información es también protección de datos?

La seguridad de la información es una especie de "protección de datos" para las empresas y sus procesos. Por supuesto, las empresas tienen un interés legítimo en proteger sus datos, procesos y secretos empresariales. Esto requiere -al igual que en el caso de la protección de datos- un concepto consistente en objetivos de protección, análisis de riesgos y medidas.

Este concepto no debe proteger a terceros y sus datos, sino los propios datos de la empresa, especialmente los procesos de producción y empresariales. Estos son especialmente vulnerables al robo o manipulación intencionada de datos. Pero también es importante que una empresa evite sistemáticamente la interferencia no intencionada con los datos.

Para ello, la Oficina Federal de Seguridad de la Información (BSI) ha elaborado la denominada protección básica de las TI. Esta directriz contiene normas y medidas para orientar a las empresas a la hora de determinar qué necesidades de protección existen y qué medidas deben adoptarse.

La protección básica de las TI exige que se considere y analice todo el flujo de información, incluidos todos los procesos, aplicaciones, sistemas, etc. A continuación, cada sistema individual y cada módulo de proceso debe identificarse y dividirse en pasos de trabajo individuales (el llamado "modelo de capas“).

Sobre todo en el caso de procesos de trabajo complejos, de esta forma se crea más claridad. Esto facilita la búsqueda de medidas de seguridad y riesgos. Posteriormente, los aspectos que tienen las mismas necesidades de protección pueden identificarse fácilmente y abordarse de forma agrupada.

Al mismo tiempo, se evitan solapamientos y duplicaciones, lo que minimiza el esfuerzo y los costes. Las mejoras o actualizaciones continuas también pueden integrarse más fácilmente, ya que sólo se aborda como tal la capa realmente afectada.

Como en el caso de la protección de datos, esto requiere un ciclo de gestión de riesgos que los filtre, priorice, minimice y luego supervise a largo plazo.

¿Cómo se relacionan la seguridad de la información y la protección de datos?

Como ya se desprende de las definiciones, la protección de datos tiene que ver con la protección de los datos personales en el día a día, es decir, con la protección de las personas y su autodeterminación y no con la protección de la empresa.

La seguridad de la información también incluye estos datos, pero aquí la atención se centra más en los datos relacionados con el proceso y los procesos técnicos. Siempre surge un vínculo cuando los datos personales pasan por estos mismos procesos para ser procesados o almacenados, por ejemplo.

También es importante mencionar que la minimización de datos también significa minimización de riesgos. Por supuesto, el big data desempeña un papel importante para las empresas, pero no sólo en lo que respecta a los requisitos de protección de datos del legislador, sino también para la aplicación de la seguridad de la información, menos datos también significa menos riesgos. En este sentido, la protección de datos facilita también regularmente la seguridad de la información.

Además, los objetivos de protección definidos legalmente crean un contexto. No sólo los aspectos de la protección de datos en la empresa deben ser garantizados por la seguridad de la información y la seguridad informática, sino que los mecanismos y obligaciones para las empresas también son similares, si no idénticos.

Así, también se hacen muchas especificaciones sobre cómo debe tratarse la protección de datos dentro de la seguridad de la información: por ejemplo, los afectados deben ser informados sobre el tratamiento y los procesos que se llevan a cabo para ello mediante un procedimiento de información.

En este sentido, existen muchas posibilidades de ofrecer productos informáticos, servicios o similares, y garantizar una mayor transparencia hacia los afectados y cumplir los requisitos legales mediante una certificación, por ejemplo.

Los empleados constituyen una interfaz importante entre la protección de datos y la seguridad de la información, ya que gestionan los procesos de la empresa o incluso los llevan a cabo ellos mismos y deben vigilar no sólo la seguridad de la empresa, sino también la protección de datos. Por tanto, es igual de importante garantizar la concienciación necesaria a nivel interno. Los empleados deben estar suficientemente formados sobre los incidentes inminentes relacionados con la protección de datos y sobre cómo pueden sancionarse. Los empleados forman parte de la primera línea de defensa.

¿Conduce la protección de datos a una mayor seguridad de la información?

Para las empresas resulta especialmente complejo combinar los dos conceptos de seguridad informática y protección de datos en un concepto global eficiente y eficaz. Sin embargo, esta combinación tiene muchas ventajas:

• Muchas certificaciones no están vinculadas a la protección de datos, sino más bien a la seguridad informática, por lo que las normas establecidas y los modelos concretos de medidas están muy extendidos.
• Por otra parte, la legislación concede aquí mucha más libertad y no regula demasiado. Para el legislador, sin embargo, el centro de atención es la protección de datos, por lo que aquí hay normas estrictas. Sin embargo, faltan directrices concretas para su aplicación.
• Debido a los solapamientos, a veces de gran alcance, entre la protección de datos y la seguridad de la información, ambas pueden orientarse tanto hacia las leyes de protección de datos como hacia las normas de seguridad de la información, de modo que ambas partes se beneficien y pueda surgir un concepto global coherente. La protección de datos sin seguridad de la información difícilmente puede funcionar.

¿Cómo ayuda la certificación ISO a cumplir estas obligaciones?

Una certificación reconocida de la gestión de la protección de datos, por ejemplo mediante normas internacionales como la ISO 27701, puede ayudar a las empresas a garantizar el cumplimiento de la normativa sobre protección de datos.

Aunque la norma ISO 27701 no es completamente idéntica al RGPD, puede presentarse como un componente para el cumplimiento de las obligaciones legales. En este sentido, ISO27701 amplía la certificación ISO27001 y proporciona directrices, así como controles de aplicación, para el correcto tratamiento de los datos personales.

En la compleja jungla de requisitos legales en torno a la protección de datos, puede resultar difícil desarrollar un concepto de protección de datos y, al mismo tiempo, mantener una estrecha interacción con la seguridad de la información. La certificación comprueba si se cumplen todos los requisitos y garantiza la existencia de un concepto global completo.

Esto facilita a las empresas el cumplimiento de sus obligaciones legales y corporativas y ofrece no sólo asistencia en la aplicación de medidas, sino también controles adicionales al respecto.

Aunque el objetivo principal de la norma ISO 27701 es la protección de los datos personales, conviene aprovechar las sinergias existentes. Por ejemplo, la norma ISO 27701 se basa en el sistema de gestión de la seguridad de la información (SGSI) existente, complementa la seguridad de la información con puntos relevantes de la protección de datos y, por tanto, encaja perfectamente en la interfaz entre la protección de datos y la seguridad de la información.