Protección de datos y seguridad informática según la norma ISO 27001

La seguridad informática y la protección de datos son temas relevantes en la era digital, pero a menudo desesperan a las medianas y grandes empresas. Los legisladores intentan cada vez más proteger a los ciudadanos y consumidores a nivel nacional e internacional, por ejemplo, mediante leyes sobre el tratamiento de datos personales (RGPD). 

Sin embargo, son precisamente estas normas legales las que contienen muchos términos que importan en la práctica. Al fin y al cabo, del RGPD y de otras leyes se derivan graves obligaciones para las empresas. 

Para las personas que no están familiarizadas con el tema, interpretar correctamente las leyes de protección de datos y seguridad informática supone un gran reto. Sin embargo, las consecuencias de una protección de datos inadecuada no sólo son problemáticas a nivel interno, sino que también pueden acarrear sanciones gubernamentales.

Pero, ¿qué se entiende exactamente por protección de datos y seguridad informática? ¿Y cuáles son las obligaciones de las empresas? ¿Puede la certificación ISO 27001 ayudar a cumplir los requisitos legales? - Lea más sobre esto en este artículo.

¿Necesita apoyo individual en este tema? Nuestro equipo está formado por expertos en derecho de la protección de datos, informática y seguridad. Estaremos encantados de ayudarle a aplicar la normativa de protección de datos. Póngase Póngase en contacto con nosotros directamente para una consulta inicial sin compromiso.

Resumen de los hechos más importantes

• Con la introducción del RGPD, las empresas están obligadas a desarrollar un concepto de protección de datos y a tomar medidas para proteger los datos personales.
• Las empresas deben cumplir los requisitos operativos y garantizar la seguridad de la información a nivel interno. Vincular la protección de datos y la seguridad de la información puede parecer complicado, pero también tiene algunas ventajas para las empresas.
• La certificación en el contexto del RGPD, como la ISO 27701, puede ayudar a vincular la protección de datos y la seguridad de la información y entrelazarlas en un sistema de gestión común.

¿En qué se diferencian la protección de datos y la seguridad de la información?

Al principio, la seguridad de la información y la protección de datos suenan muy sinónimo. Se podría pensar que los dos términos describen lo mismo. Además, otras palabras como seguridad de los datos o seguridad informática pueden confundir. ¿Qué se entiende por cada término y cómo se utiliza correctamente? 

Dado que en la empresa siempre se habla de la seguridad en el tratamiento de los datos personales, los términos naturalmente se superponen, a veces más, a veces menos. Sin embargo, varios términos asumen diferentes tareas y posiciones en las empresas.

Debido a los solapamientos a veces significativos, las definiciones y delimitaciones exactas son imposible. A menudo depende del autor y del contexto la interpretación de los distintos términos. Por supuesto, esto no facilita las cosas a los consumidores o a los profanos.

Para proporcionar un resumen y entender las diferencias fundamentales, vamos a explicar los términos:

Privacidad de los datos

La protección de datos es la protección de la privacidad de cada persona. En los países occidentales, especialmente en la región DACH, todo el mundo tiene derecho a la autodeterminación informativa. Esto garantiza que los individuos puedan determinar cómo se utilizan sus datos.

Al mismo tiempo, hay que proteger a las personas del mal uso de los datos. Por lo tanto, las normativas de protección de datos, como el RGPD, regula el tratamiento de datos personales y la obligación de informar a cada persona sobre el uso de sus datos.

Seguridad de los datos

La seguridad de los datos también consiste en protegerlos, pero este término se aplica de forma más general. No se trata sólo de datos personales, sino de cualquier tipo de datos que vale la pena proteger. Incluye datos analógicos y digitales, por ejemplo, información secreta sobre una empresa o sus productos.

La seguridad de los datos debe proteger contra manipulación, robo, pérdida o incluso simple conocimiento. A diferencia de la protección de datos, el tratamiento y la recopilación de datos no tienen por qué desempeñar un papel importante, sino más bien la cuestión de cómo se pueden proteger los datos en general contra el acceso no autorizado.

Seguridad de la información

En particular, las normas ISO 27001 y 27701 hablan de la seguridad de la información, es decir, la protección de la información de todo tipo. Aquí también es irrelevante que la información sea digital o analógica, con o sin referencia personal. La seguridad de los datos puede considerarse parte de la seguridad de la información, ya que esta última es más completa.

Seguridad informática

Al igual que la seguridad de los datos, la seguridad informática puede considerarse parte de la seguridad de la información y describe la información almacenada electrónicamente y los sistemas informáticos. Además del tratamiento técnico de la información, esto incluye también la seguridad operativa de los sistemas informáticos.

¿Qué obligaciones tienen las empresas en materia de protección de datos?

Los requisitos de protección de datos están regulados en los países de la UE, especialmente en el RGPD (Reglamento General de Protección de Datos). Además, en Alemania existe la Ley Federal de Protección de Datos (BDSG).

El RGPD da a los distintos estados miembros un cierto margen de maniobra, por lo que la BDSG se ha adaptado y complementado. Para las empresas, sin embargo, el RGPD sigue siendo más relevante.

Se prescribe un enfoque estructurado:

• Para poder adoptar medidas de protección de datos, las empresas deben formular siempre requisitos y objetivos de protección y utilizarlos para desarrollar un sistema de gestión integrado.
• Análisis de riesgos se utilizan para definir los objetivos de protección y determinar qué peligros existen y dónde es especialmente necesaria la protección. A continuación, se desarrollan las medidas técnicas y organizativas adecuadas para alcanzar los objetivos de protección.
• Los objetivos de protección son siempre el estado del objetivo y no sólo son establecidas por las propias empresas, sino que también pueden encontrarse en las normas.

En relación con estos objetivos de protección definidos, las empresas deben tomar medidas para alcanzarlos. Los objetivos relativos a la protección de datos y seguridad de la información debe incluirse en este proceso.

En lenguaje sencillo:  En la práctica, suele ser imposible separar claramente los objetivos individuales y las acciones para alcanzarlos. Todos los objetivos de protección y sus acciones están interrelacionados y deben considerarse como un todo.

El RGPD estipula objetivos de protección en particular:

• Confidencialidad de los datos personales
• Disponibilidad de los datos (se puede acceder a ellos de forma segura)
• Integridad (garantizar la autenticidad de los datos)
• La resistencia de los sistemas y servicios
• El restablecimiento más rápido posible del acceso a los datos en caso de incidentes
• La intervención es posible (los interesados pueden retirar su consentimiento al tratamiento de datos en cualquier momento)
• Revisión, evaluación y mejora periódicas de las medidas organizativas
• Instruir a los empleados para que traten los datos sólo dentro del ámbito especificado y para que los mantengan confidenciales
• Limitación de la finalidad del tratamiento de datos (los datos sólo pueden utilizarse para fines específicos y legítimos claramente definidos de antemano)
• Minimización de datos
• Limitación de almacenamiento (los datos sólo pueden almacenarse durante el tiempo requerido, después del cual es necesario eliminarlos)
• Responsabilidad de los responsables (la empresa tiene la responsabilidad y debe demostrar el cumplimiento de los principios en caso de duda)

¿Tiene preguntas sobre la protección de datos y la certificación? Nuestro personal, con formación jurídica y técnica, le asesorará ampliamente sobre todas las cuestiones relativas a la ley de protección de datos. No dude en contactarnos en cualquier momento.

¿Cómo pueden las empresas determinar sus objetivos de protección?

Un ciclo de seguridad o de gestión de riesgos es la base de todas esas medidas de seguridad. Este círculo designa varias etapas por las que se pasa una y otra vez en la búsqueda de los objetivos de protección. Las siguientes etapas cuentan en este ciclo recurrente de mitigación de riesgos:

1. Identificación

Las empresas deben identificar las amenazas en áreas y operaciones específicas y donde riesgos pueden ser localizados.

Es un reto identificar todos los factores de riesgo y procesos propensos a errores y nombrar cada uno de los puntos. Por lo tanto, no basta con realizar este análisis una vez, sino que es un proceso continuo, de ahí el ciclo.

2. Evaluación

Cada riesgo debe evaluarse en función de su magnitud, es decir, que es probable que se produzca un evento perjudicial para la protección de datos de las empresas. Además de la probabilidad, también hay que tener en cuenta lo importante que sería el daño para la persona afectada y la empresa.

3. Controlar

Medios de control minimizan el riesgo. En otras palabras, deben tomarse medidas adecuadas para eliminar o reducir al máximo el riesgo. Éstas pueden ser procedimientos específicos de seguridad, asignación de tareas, instrucciones de trabajo para los empleados o reestructuración. 

La idoneidad de las medidas también depende de cómo se haya evaluado previamente el riesgo. Las medidas adoptadas también deben guardar esta proporción.

4. Monitorización

Aquí no sólo se controlan los riesgos, sino también las medidas adoptadas. El objetivo es comprobar si los riesgos se han eliminado o minimizado de forma eficiente y eficaz, o si hay potencial de mejora. En caso necesario, también pueden aparecer nuevas amenazas durante el seguimiento, que deben volver a combatirse desde el punto 1.

¿La seguridad de la información es también la protección de los datos?

La seguridad de la información es una especie de "protección de datos" para las empresas y sus procesos. Por supuesto, las empresas tienen un interés legítimo en proteger sus datos, procesos y secretos comerciales. Al igual que en el caso de la protección de datos, esto requiere un concepto consistente en objetivos de protección, análisis de riesgos y medidas.

Este concepto no pretende proteger a terceros y sus datos, sino que los datos de la empresa, principalmente los procesos de producción y empresariales. Estos son especialmente vulnerables al robo o la manipulación intencionada de los datos. Pero una empresa también debe evitar sistemáticamente las interferencias involuntarias en sus datos.

La Oficina Federal Alemana de Seguridad de la Información (BSI) ha desarrollado lo que se conoce como Línea base de Seguridad. Esta directriz contiene normas y medidas para orientar a las empresas a la hora de determinar qué necesidades de protección existen y qué medidas deben adoptarse.

La Línea base de Seguridad requiere la consideración y el análisis de todo el flujo de información, incluyendo todos los procesos, aplicaciones, sistemas, etc. Cada sistema y módulo de proceso debe ser identificado y dividido en pasos de trabajo separados (el llamado "modelo de capas“).

Especialmente en el caso de procesos de trabajo complejos, esto crea más claridad y facilita la búsqueda de medidas de seguridad y riesgos. Posteriormente, los aspectos con los mismos requisitos de protección pueden identificarse fácilmente y abordarse de forma agrupada.

Al mismo tiempo, solapamientos y duplicaciones se evitan, lo que minimiza el esfuerzo y los costes. La mejora continua o las actualizaciones también pueden integrarse más rápidamente, ya que sólo se aborda la capa afectada.

Al igual que con la protección de datos, esto requiere un ciclo de gestión de riesgos que filtre, priorice, minimice y luego supervise los riesgos a largo plazo.

¿Cómo se relacionan la seguridad de la información y la protección de datos?

Como ya se desprende de las definiciones, la protección de datos tiene que ver con la protección de los datos personales en el día a día, es decir, con la protección de las personas y su autodeterminación más que con la protección de la empresa.

La seguridad de la información también cubre estos datos, pero aquí se centra más en los datos relacionados con los procesos y los procesos técnicos. Siempre surge un vínculo cuando los datos personales pasan por estos procesos, por ejemplo, para ser editado o almacenado.

También es importante mencionar que la minimización de los datos también implica la minimización de los riesgos. Por supuesto, el big data desempeña un papel importante para las empresas. Pero no sólo en lo que respecta a los requisitos de protección de datos de los legisladores, sino también en la aplicación de la seguridad de la información, menos datos también significa menos riesgos. En este sentido, la protección de datos facilita regularmente la seguridad de la información.

Además, los objetivos de protección definidos legalmente crean un contexto. No sólo los aspectos de la protección de datos en la empresa están garantizados por la seguridad de la información y la seguridad informática, sino que los mecanismos y obligaciones para las empresas son similares, si no idénticas.

Así, también se hacen muchas especificaciones sobre cómo debe tratarse la protección de datos dentro de la seguridad de la información: los afectados deben, por ejemplo, ser informados sobre el tratamiento y los procesos que tienen lugar a través de un procedimiento de información.

En este sentido, hay muchas formas de ofrecer productos y servicios informáticos, o similares, y proporcionar más transparencia a las partes afectadas, y cumplir con los requisitos legales a través de una certificación, por ejemplo.

Empleados forman un interfaz esencial entre la privacidad de los datos y la seguridad de la información, ya que gestionan los procesos corporativos o incluso los llevan a cabo ellos mismos y deben vigilar la seguridad corporativa y la privacidad de los datos. Por lo tanto, es igual de importante garantizar la concienciación necesaria a nivel interno. Los empleados deben recibir una formación adecuada sobre la amenaza de los incidentes de protección de datos y sus sanciones. Forman parte de la primera línea de defensa.

¿La protección de datos conduce a una mayor seguridad de la información?

Para las empresas es especialmente complejo combinar los dos conceptos de seguridad informática y protección de datos en un concepto global eficiente y eficaz. Sin embargo, esta combinación tiene muchas ventajas:

• Muchas certificaciones no están vinculadas a la protección de datos, sino a la seguridad informática, por lo que se han generalizado las normas establecidas y los modelos de medidas concretas.
• Por otro lado, la legislación concede aquí mucha más libertad y no regula demasiado. Sin embargo, el legislador se centra en la protección de datos, por lo que aquí hay una normativa estricta. Sin embargo, faltan especificaciones concretas para su aplicación.
• Debido a los solapamientos, a veces de gran alcance, de la protección de datos y la seguridad de la información, ambos pueden basarse en las leyes de protección de datos y las normas de seguridad de la información, de modo que ambas partes se benefician y se puede crear un concepto global coherente. La protección de datos sin la seguridad de la información difícilmente puede funcionar.

¿Cómo ayuda la certificación ISO a cumplir estas obligaciones?

Una certificación reconocida de la gestión de la protección de datos, por ejemplo, a través de normas internacionales como la ISO 27701 como estándar internacional, puede ayudar a las empresas a garantizar el cumplimiento de la normativa de protección de datos.

Si bien la norma ISO 27701 no es totalmente idéntica al RGPD, puede presentarse como un componente para cumplir con las obligaciones legales. En este sentido, la norma ISO 27701 amplía la certificación ISO 27001 y proporciona directrices y controles de aplicación para tratar adecuadamente los datos personales.

En la compleja jungla de requisitos legales que rodean a la protección de datos, puede ser un reto desarrollar un concepto de protección de datos al tiempo que se mantiene una estrecha interacción con la seguridad de la información. La certificación verifica que se cumplen todos los requisitos y garantiza la existencia de un concepto global bien definido.

Esto facilita a las empresas el cumplimiento de sus obligaciones legales y corporativas y ayuda a aplicar medidas y controles adicionales.

Aunque el objetivo principal de la norma ISO 27701 es la protección de los datos personales, es conveniente aprovechar las sinergias existentes. Por ejemplo, la norma ISO 27701 se basa en el ya existente sistema de gestión de la seguridad de la información (SGSI), añade a la seguridad de la información los aspectos pertinentes de la protección de datos, y encaja perfectamente en la interfaz entre la protección de datos y la seguridad de la información.