Protección de datos personales y la familia de normas ISO/IEC 27000

Protección de datos personales y la familia de normas UNIT-ISO/IEC 27000

(Parte I)

Medidas Organizativas y de Seguridad para la Protección de Archivos con Datos de Carácter Personal

Ley 18.331 y Decreto 414-009

El día 14 de diciembre de 2009 venció el plazo para realizar el registro de las bases de datos que contengan datos personales. El registro debe realizarse en la URCDP, Unidad Reguladora y de Control de Datos Personales. La puesta en vigencia de la Ley y el organismo de regulación pertinente son un paso fundamental en la protección de los datos de las personas y en el derecho a la intimidad. Esta Ley permite a Uruguay ser considerado “país seguro” (en cuanto al tratamiento de datos personales) dentro de la CE y en algunos países de América Latina, que ya cuentan con este tipo de normativa, como la Rep. Argentina.

La inscripción de las bases es sólo una parte de la obligación, para que éstas se encuentren inscriptas debidamente se debe adecuar métodos, procedimientos y sistemas a lo solicitado por la Ley, entre otras cosas “Asegurar la Información

En cuanto a seguridad se refiere el texto del decreto 414/009 dice:

“Artículo 7º.- Medidas de seguridad. Tanto el responsable como el encargado de la base de datos o tratamiento deberán proteger los datos personales que sometan a tratamiento, mediante aquellas medidas técnicas y organizativas que resulten idóneas para garantizar su integridad, confidencialidad y disponibilidad.”

Vemos que la Ley nos habla de:

Medidas técnicas y organizativas que resulten idóneas para garantizar integridad, confidencialidad y disponibilidad.

El significado de esto según la norma UNIT-ISO/IEC 27000:2009 (tecnología de la información – visión general y vocabulario) es:

Integridad (2.25): es la Propiedad de salvaguardar la exactitud y completitud de los activos.

En otras palabras: La información es íntegra cuando es completa, precisa y se encuentra protegida contra modificaciones no autorizadas.

Confidencialidad (2.25):es la Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados

En otras palabras: La información sólo puede ser accedida por aquellas personas que están debidamente autorizadas y para lo cual están autorizadas.

Disponibilidad(2.7): es la “Propiedad de ser accesible y utilizable por solicitud de una entidad autorizada”.

En otras palabras: Que la información esté disponible y utilizable cuando sea lo requiera.

Nota: Los números entre paréntesis son las referencias
UNIT-ISO/IEC 27000:2009

Hasta aquí todo parece bastante claro, pero ¿Qué nos quieren decir con Medidas técnicas y organizativas que resulten idóneas?

El término “idóneo“, si de seguridad hablamos, me parece un poco vago e impreciso y en lo que a seguridad de la información se refiere no nos podemos permitir vaguedades e imprecisiones, mucho más si nos vamos a referir a datos personales, y en particular a aquellos que se consideran datos sensibles o especialmente protegidos, esto son:

Datos sensibles o especialmente protegidos

“los datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual”.

Una manera de salir de la imprecisión es la adoptar un estándar o norma reconocida internacionalmente, en este caso y por lo que puede averiguar asistiendo a distintas charlas y conferencias la propuesta es: la familia de normas UNIT-ISO/IEC 27000, en particular la ISO 27002 – “Código de buenas prácticas para la gestión de la seguridad de la información”

Qué nos provee esta famila de normas:

ISO 27002 es el nuevo nombre de ISO 17799:2005 (año de edición). Está es una guía de buenas prácticas que describe: objetivos de control (39 objetivos), controles recomendables (133 controles), éstos se encuentran agrupados en 11 dominios, siendo estos:

* Política de seguridad

* Aspectos organizativos para la seguridad

* Clasificación y control de activos

* Seguridad ligada al personal

* Seguridad física y del entorno

* Gestión de comunicaciones y operaciones

* Control de accesos

* Desarrollo y mantenimiento de sistemas

* Gestión de incidentes de seguridad de la información

* Gestión de continuidad de negocio

* Conformidad

Dentro de cada dominio o sección, se especifican los objetivos de los distintos controles y para cada uno de éstos controles se indica una guía para su implantación, dentro de sus alcances leemos:

“Este Estándar Internacional establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos delineados en este Estándar Internacional proporcionan un lineamiento general sobre los objetivos de gestión de seguridad de la información generalmente aceptados.

Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.

Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales”. *

Nota: cita textual de la Norma.

Es importante tener en cuenta que cada el estándar habla de “lineamientos y principios generales” por lo cual queda en manos de cada organización considerar previamente cuantos y que controles serán realmente los aplicables según sus propias necesidades, posibilidades y objetivos.

En una próxima entrega nos adentraremos en los controles que son aplicables a las bases de datos de carácter personal.

Links:

* UNIT

* ISO

* IEC

www.tecnointegracion.net

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s