La Norma ISO/IEC 27002: Seguridad de la Información, Protección de Datos Personales y Responsabilidad Social.

La expansión del modelo cloud computing, las aplicaciones SaaS (Software as a Servicess) y las móviles, en síntesis el grado actual de penetración de las TICs en nuestras vidas trae aparejados nuevos desafíos, al menos en dos campos absolutamente distintos: el legal y el de la seguridad de la información.

Profesionales de las TICs y del derecho nos hemos acercado y estrechado algunos vínculos en los últimos 10 o 15 años y juntos podemos trabajar en pos de una sociedad de la información más justa, segura y transparente.

Hace ya bastante tiempo que contamos con herramientas para que los nuevos desafíos tecnológicos puedan contribuir a esa sociedad de la información.  Desde el punto de vista legal tenemos nuevas leyes o, leyes adaptadas a los tiempos que corren, y desde las TICs varios estándares, normas y buenas prácticas recomendadas, inclusive algunas específicamente orientadas a distintos sectores o industrias.

Con toda esta nueva tecnología y aplicaciones dando vueltas a nuestro alrededor y con la creciente masificación de su uso hay algunas cuestiones que deben ser tomadas muy seriamente, una de ellas es: cuidar los datos y la información, pero ¿qué datos, que información? Todos es una respuesta, y especialmente cuando de datos personales se trata.

Anteriormente, mencioné la existencia de herramientas. Quiero entonces presentar aquí dos de ellas, que si bien provienen de mundos distintos, tienen algunos puntos en común:

1) La Ley 25.326, Ley de protección de datos personales

Es la “herramienta” legal  que tenemos en Argentina, sancionada el  4 de octubre de 2000. Con el correr del tiempo muchas empresas fueron cumplimentando un requisito básico: la inscripción de las bases de datos personales en la Dirección Nacional de Protección de datos Personales, dirección creada a tal efecto bajo el ámbito del Ministerio de Justicia de la Nación. Pero ¿Cuántas de las empresas que inscribieron sus bases de datos conocen y han cumplido con la implantación de las medidas de seguridad establecidas,  y necesarias, en la Disposición 11/2006 de la DNPDP?

Las medidas de seguridad de la disposición 11/2006 incluyen un plazo para su implementación. Ese plazo

-prórroga mediante- ya se ha cumplido. Hoy,  las medidas de seguridad son un requisito exigible con el que deben cumplir las bases de datos con datos personales.

2) Seguridad de la Información ISO/IEC 27001 y 27002

Las normas internacionales de SI (seguridad de la información), certificable en el caso de la ISO/IEC 27001 y guía de buenas prácticas en el caso de la 27002. La primera fue publicada en el año 2005 mientras la segunda, evolución de la ISO 17.799, fue publicada en el mismo año como ISO/IEC 27002:2005.

Desde ese entonces al presente,  las normas mencionadas han sabido hacerse un lugar como referentes en la materia. Sucederá entonces, como sucedió hace años con la norma de calidad ISO 9001, que una empresa con certificación ISO 27001 tendrá más chances comerciales respecto de otra sin esa certificación.

Sin embargo, no se trata sólo de oportunidades comerciales. Mantener la Confidencialidad, Integridad y Disponibilidad de la Información es un factor crítico para toda organización con intenciones de sobrevivir en este mundo, mucho más cuando de datos personales se trata.

¿A quién confiaría o está confiando usted sus datos personales? ¿Qué garantías exige, como titular de sus datos, a las organizaciones que le solicitan información sobre su persona? Si no se fija en esto, después no se queje si aparece en cientos de listas y recibe infinidad de correo basura, sólo para mencionar males menores.

Quizás Ud. se esté preguntando a esta altura ¿qué tienen en común la Ley 25.326 y la norma ISO/IEC 27002? Observe la imagen 1, se representan en ella los 11 dominios en los que se estructura la norma, y cada uno de éstos posee una serie de controles. Si todavía no lo vio,  la respuesta es el dominio: conformidad, es decir, cumplimiento de leyes y regulaciones.

Imagen 1

En cada dominio se establecen distintos tipos de controles. En el dominio que se ocupa de la conformidad se establecen una serie de controles habituales orientados al cumplimiento legal y de la seguridad de la información, éstos son:

+ Identificación de la legislación aplicable.

+ Cumplimiento con los derechos de propiedad intelectual e industrial de terceros.

+ Protección de los archivos y bases de datos de la organización.

+ Protección de los datos de carácter personal.

+ Prevención del abuso de los sistemas de información.

+ Uso de los controles criptográficos, incluyendo la firma electrónica y el cifrado de la información.

Vemos entonces que, entre otras cosas, la norma nos remite a: 1) identificar la legislación aplicable y 2) al cuidado y protección de los datos personales. He aquí el punto en común.

En nuestro taller nos proponemos  dar una mirada, desde la óptica de la norma ISO 27002, a los principios protegidos en la Ley 25.326 y a las medidas de seguridad de la resolución 11/2006 de la DNPDP con el objetivo de confeccionar el documento de seguridad de la información exigido por esa Dirección nacional.

Hacia un ecosistema de información protegida y segura

Pero aquí no termina todo. Hace algunos años hemos comenzado a escuchar que se habla sobre la Responsabilidad Social Empresaria. En la imagen 2 se observa la pirámide de la RSE y, una vez más, nos encontramos con cumplimiento.

Lo invito a sacar sus propias conclusiones……

Anuncios

2 Respuestas a “La Norma ISO/IEC 27002: Seguridad de la Información, Protección de Datos Personales y Responsabilidad Social.

  1. Good blog! I really love how it is easy on my eyes and the data are well written. I am wondering how I could be notified whenever a new post has been made. I have subscribed to your feed which must do the trick! Have a nice day! deeffdafeffk

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s