La serie ISO 27000 es una de las colecciones de estándares de seguridad más conocidas y respetadas. Pero también es muy completa, con 46 estándares individuales en la familia ISO 27000. En este artículo, describiremos una de las certificaciones más populares, ISO 27001, así como su estándar complementario ISO 27701. Aprenderás:

• Los aspectos esenciales de ISO 27001 e ISO 27701
• Similitudes y diferencias clave entre los dos estándares
• Cómo se relaciona ISO 27701 con las leyes de privacidad de datos como el GDPR

¿Qué es ISO/IEC 27001?

El estándar de seguridad ISO 27001, creado por la Organización Internacional de Normalización, proporciona orientación sobre la construcción, el mantenimiento y la mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Un SGSI ayuda a las empresas a priorizar la seguridad de la información en toda la organización. Y debido a que ISO 27001 enfatiza mucho la mejora continua, el estándar asegura que las partes interesadas de la empresa dediquen recursos para mantener y mejorar el SGSI con el tiempo. Los estándares de apoyo como ISO/IEC 27002 proporcionan orientación específica sobre controles y objetivos de control.

La certificación ISO 27001 puede ofrecer a clientes, prospectos y socios una garantía absoluta de que tu organización tiene medidas de ciberseguridad efectivas para proteger datos sensibles.

Requisitos de ISO 27001: Cláusulas 4-10

ISO 27001 incluye seis cláusulas que detallan los requisitos para establecer y mantener un SGSI efectivo.

Cláusula 4: Contexto de la organización

Esta cláusula establece el contexto para el SGSI, incluyendo los activos de información que necesitan ser protegidos y los objetivos del SGSI.

Cláusula 5: Liderazgo

La alta dirección debe estar comprometida con el éxito del SGSI para que sea efectivo. Deben existir procesos para monitorear, probar y mejorar los procesos de seguridad con el tiempo y para asegurar que se dediquen recursos adecuados para mantener el SGSI.

Cláusula 6: Planificación

Esta cláusula aborda cómo las organizaciones enfrentan tanto los riesgos como las oportunidades. Debe establecerse documentación que describa cómo la organización identifica y trata los riesgos de seguridad de la información, así como los objetivos definidos para el SGSI.

Cláusula 7: Apoyo

Esta cláusula asegura que siempre habrá recursos adecuados disponibles para apoyar el SGSI. En particular, expertos en la materia que entiendan cómo la organización maneja los datos de los clientes y cómo funciona el SGSI.

Cláusula 8: Operaciones

Debe definirse y documentarse una estrategia de gestión de riesgos, incluyendo cómo deben llevarse a cabo las evaluaciones de riesgos.

Cláusulas 9-10: Evaluaciones de desempeño y mejora continua

Estas dos cláusulas trabajan juntas para documentar un plan para monitorear y mejorar el desempeño del SGSI con el tiempo. Aquí se incluyen pruebas de penetración periódicas y auditorías internas, así como planes para abordar cualquier no conformidad que se descubra.

¿Qué es ISO/IEC 27701?

Diseñado para controladores de datos y procesadores de datos, ISO 27701 es una extensión de la certificación ISO 27001 que ayuda a los proveedores de servicios a construir un Sistema de Gestión de Información de Privacidad (PIMS, por sus siglas en inglés) para proteger los datos personales y cumplir con los marcos globales de privacidad de datos. ISO 27701 aborda los requerimientos del Reglamento General de Protección de Datos (GDPR) de la UE al mismo tiempo que permite a las organizaciones incorporar y satisfacer otras leyes y requerimientos regulatorios sobre privacidad de datos.

ISO 27701 ofrece orientación para organizaciones que están construyendo programas de cumplimiento que se alinean con una variedad de legislaciones sobre privacidad de datos, incluyendo el GDPR, el CCPA, y el HIPAA. Los estándares de soporte como ISO 27018 y ISO 29151 ayudan a las organizaciones a proteger la información de identificación personal (PII, por sus siglas en inglés) proporcionando orientación específica sobre controles de seguridad y objetivos de control.

Requisitos de ISO 27701: Cláusulas 5-8

ISO 27701 incluye cuatro cláusulas que detallan los requisitos para establecer un PIMS efectivo.

Cláusula 5: Protección de datos

Esta cláusula revisa las cláusulas 4-10 de ISO 27001 y define dónde pueden requerirse controles adicionales de privacidad. Por ejemplo, el contexto de la organización debe incluir la protección de datos. Además, la evaluación de riesgos debe tener en cuenta el rol de la organización con respecto a la PII. Específicamente, si la organización es un controlador de datos y/o un procesador de datos y cómo eso podría afectar los riesgos de privacidad que supone la PII.

Cláusula 6: Orientación de PIMS

Esta cláusula amplía las directrices de control de ISO 27002 para asegurar que todas las medidas de seguridad de la información también incluyan privacidad de datos.

Cláusula 7: Orientación para controladores de PII

Esta cláusula es una extensión de los controles del Anexo A de ISO 27001 específicos para controladores de PII. Estos controles están diseñados para cerrar cualquier brecha en la privacidad de datos que no esté cubierta por ISO 27001.

Cláusula 8: Orientación para procesadores de PII

Los controles del Anexo B son específicos para controladores de PII y abordan las medidas de privacidad de datos que no están cubiertas por ISO 27001.

Las diferencias clave entre ISO 27001 e ISO 27701

Tanto ISO 27001 como ISO 27701 son estándares ISO certificables y ambos darán a su organización una valiosa credibilidad con clientes, prospectos y socios.

La principal diferencia entre ISO/IEC 27001:2013 e ISO/IEC 27701 es el énfasis en la privacidad. Mientras que ISO 27001 se ocupa de construir un sistema de gestión de seguridad de la información (ISMS, por sus siglas en inglés) para proteger datos sensibles, el estándar ISO 27701 se enfoca en desarrollar y gestionar un sistema de gestión de información de privacidad (PIMS).

Otra diferencia clave es que ISO 27701 no es una certificación independiente. Puede pensar en ISO 27701 como un complemento de privacidad para ISO 27001. Si bien ISO 27001 aborda la privacidad de los datos, legislaciones como GDPR y CCPA exigen que las organizaciones protejan los derechos de los sujetos de datos. Estos derechos no están garantizados mediante las medidas de seguridad de la información descritas en la norma ISO 27001. ISO 27701 toma las medidas de seguridad de la información fundamentales establecidas en el ISMS de ISO 27001 y agrega un conjunto más detallado de requisitos de privacidad y procesamiento de datos sobre ellas.

Al igual que ISO 27001, el proceso de certificación ISO 27701 requiere una auditoría externa por parte de un tercero acreditado. Las organizaciones que estén interesadas en obtener la certificación ISO 27701 pueden agregar ISO 27701 a una certificación ISO 27001 existente o completar ambas auditorías al mismo tiempo. Si ya tiene la certificación ISO 27001, puede incorporar ISO 27701 en su programa de auditoría ISO 27001 existente.

¿Cumple la ISO 27701 con los requisitos del GDPR?

La mayoría de las organizaciones quieren saber la respuesta a una pregunta importante: ¿cumple la ISO 27701 con los requisitos establecidos en el GDPR, CCPA y otras legislaciones de privacidad de datos?

Estríctamente hablando, la certificación ISO 27701 no satisface los requisitos del GDPR. Si bien el cumplimiento de ISO 27701 le ayudará a demostrar la conformidad con el GDPR, los dos no son intercambiables. ISO 27701 es un estándar de seguridad; GDPR es un marco legal, y es importante tener en cuenta que ISO 27701 no cubre todos los aspectos del GDPR.

Sin embargo, el cumplimiento con ISO 27001 e ISO 27701 ofrece a las organizaciones una base sólida para cumplir con los requisitos del GDPR. Al combinar los dos estándares, las organizaciones pueden generar confianza, demostrar esfuerzos para cumplir con la legislación de privacidad de datos vigente y estar mejor preparadas para futuras regulaciones de privacidad.

Construya un programa de seguridad y privacidad de clase mundial con Secureframe

Lograr y mantener la conformidad con estándares rigurosos como ISO 27001 e ISO 27701 puede ser estresante y consumir mucho tiempo, especialmente si está navegando el cumplimiento por su cuenta. La plataforma de automatización de cumplimiento de seguridad y privacidad todo en uno de Secureframe simplifica y agiliza la preparación para la auditoría.

Con la recolección automatizada de evidencia, la formación incorporada en la concienciación sobre seguridad y privacidad de datos, y la monitorización continua, puede estar listo para la auditoría en semanas, no meses. Nuestro equipo de expertos en cumplimiento siempre está disponible para responder preguntas, ayudarle a entender los requisitos de control y las solicitudes de los auditores, y mantenerle informado de cualquier actualización en la legislación o los requisitos del marco.

Obtenga más información sobre Secureframe hoy mismo programando una demostración personalizada.