Por Cedric C., consultor de ciberseguridad
Durante el Foro Internacional sobre Ciberseguridad (FIC), una conferencia me llamó la atención:«ISO 27001 y el RGPD: identificación de solapamientos y optimización de esfuerzos », a cargo de OneTrust. A lo largo de mi trayectoria profesional, ya había detectado similitudes y oportunidades claras entre estos dos temas de gran importancia para las empresas, dados los numerosos retos subyacentes. Dado que el formato de las conferencias no permitió obtener todas las aclaraciones deseadas, quise profundizar en el tema y plasmar mis ideas y análisis en este artículo.
El cumplimiento sostenible del RGPD por parte de los procesos de una organización puede requerir una gran cantidad de tiempo y recursos humanos, al igual que la puesta en marcha de un proceso de cumplimiento de la norma ISO 27001 para la implantación de un Sistema de Gestión de la Seguridad de la Información. La puesta en común de esfuerzos entre los equipos de seguridad y los de privacidad no solo resulta pertinente, sino que es especialmente recomendable para optimizar los recursos relacionados con los procesos de cumplimiento, en particular en lo que se refiere a procesos, metodologías o herramientas. De hecho, los objetivos y algunos principios rectores son, si no idénticos, muy similares y están estrechamente relacionados. Sin embargo, hay que tener cuidado: el cumplimiento de la norma ISO 27001 no garantiza el cumplimiento del RGPD.
Recordatorio
RGPD
El RGPD (Reglamento General de Protección de Datos, o, en inglés, GDPR, por «General Data Protection Regulation»), que entró en vigor el 25 de mayo de 2018, regula el tratamiento de los datos personales de los residentes de la Unión Europea. Este nuevo reglamento europeo se inscribe en la continuidad de la Ley francesa de Informática y Libertades de 1978 y refuerza el control por parte de los ciudadanos sobre el uso que se puede hacer de los datos que les conciernen, ampliando sus derechos (información, acceso, consulta, rectificación, supresión).
Armoniza la normativa en Europa mediante un marco jurídico único y exige a las empresas afectadas y a sus subcontratistas —bajo la amenaza de severas sanciones económicas en caso de incumplimiento (de 10 a 20 millones de euros o del 2 al 4 % de la facturación mundial)— que se tenga en cuenta e integre la seguridad en todo el ciclo de vida de los datos personales, desde su recogida hasta su supresión. Introduce en la empresa las figuras del responsable del tratamiento y del delegado de protección de datos.
La norma ISO/IEC 27001:2013
La norma ISO 27001 define formalmente un Sistema de Gestión de la Seguridad de la Información (SGSI), que consiste en un conjunto de actividades relacionadas con la gestión de los riesgos relacionados con la seguridad de la información. El SGSI es un marco de gestión global a través del cual la organización identifica, analiza y gestiona sus riesgos relacionados con la información. El SGSI garantiza que las medidas de seguridad se perfeccionen para adaptarse al ritmo de los cambios en las amenazas, las vulnerabilidades y los impactos. La norma abarca todo tipo de organizaciones (empresas comerciales, organismos gubernamentales, organizaciones sin ánimo de lucro, etc.), de todos los tamaños (desde microempresas hasta grandes multinacionales) y de todos los sectores o mercados (comercio minorista, banca, defensa, sanidad, educación, administración pública, etc.).
La norma ISO 27001 no impone medidas de seguridad específicas, ya que estas pueden variar considerablemente de una organización a otra. Las organizaciones que deseen adoptar el enfoque descrito en la norma ISO 27001 son libres de elegir las medidas que se apliquen a su ámbito de actuación, inspirándose en las enumeradas en el anexo A de la norma (y detalladas en la norma ISO 27002) y complementándolas, en su caso, con otras medidas procedentes de otros marcos de referencia. La clave para seleccionar las medidas aplicables consiste en llevar a cabo una evaluación exhaustiva de los riesgos relacionados con la información de la organización, lo cual es un elemento esencial del SMSI.
Objetivos de la norma ISO 27001 y del RGPD
Repasemos brevemente los objetivos respectivos de estas dos normas, que se inscriben en un proceso de mejora continua:
- El objetivo de la norma ISO 27001 es garantizar la seguridad de la información, es decir, proteger a la organización frente a cualquier ataque relacionado con su patrimonio informativo;
- El objetivo del RGPD es proteger la privacidad, es decir, proteger a las personas frente a cualquier vulneración relacionada con sus datos personales.
No obstante, cabe recordar que el objetivo de proteger el patrimonio informativo queda a discreción de la organización que desea proteger sus activos (la norma ISO 27001 describe el enfoque más reconocido para garantizar su sostenibilidad a largo plazo mediante el ciclo PDCA, un círculo virtuoso), mientras que el RGPD es de obligado cumplimiento legal: toda empresa que trate datos personales incluidos en su ámbito de aplicación tiene la obligación de protegerlos de manera pertinente y adecuada, teniendo en cuenta los tratamientos y la sensibilidad de dichos datos.
La relación entre los objetivos mencionados es bastante clara, a pesar de que sus finalidades sean diferentes: la protección de los datos, ya sean personales y hayan sido facilitados por las personas (clientes, clientes potenciales, empleados, ...) a la organización en el marco de una necesidad inherente al funcionamiento de la misma (por ejemplo, tratamientos de RR. HH.), o para permitir que una organización preste un servicio (datos personales para una suscripción, una venta, etc.); o bien que sean de carácter técnico (datos operativos, financieros, de procesos, conocimientos técnicos, procedimientos secretos…) y cuyo objetivo sea, en general, permitir que la organización preste dichos servicios y prestaciones.
Como es lógico, los principios de protección de datos son pertinentes en ambos casos, ya sea para proteger a la organización o la privacidad de las personas. Por lo tanto, la lógica de aunar esfuerzos —ya sean humanos, organizativos o técnicos— resulta evidente y especialmente recomendable.
Similitudes y oportunidades
Criterios de seguridad y evaluación de riesgos: ¡el imbatible D I C!
Dediquemos un momento a profundizar en lo que se ha mencionado unas líneas más arriba. No se puede hablar de protección de datos sin abordar los conceptos fundamentales de la seguridad de la información, que son la disponibilidad, la integridad y la confidencialidad. Por lo tanto, es lógico que tanto la norma ISO 27001 como el RGPD hagan referencia a estos conceptos esenciales.
El capítulo 6.1.2 de la norma ISO 27001 va directo al grano y explica que «la organización debe definir y aplicar un proceso de evaluación de riesgos» para«identificar los riesgos relacionados con la pérdida de confidencialidad, integridad y disponibilidad de la información incluida en el ámbito del SMSI»y determinar quiénes son los responsables de dicha información.
El artículo 5 del RGPD, que define los principios relativos al tratamiento de datos personales, ya menciona (entre los numerosos conceptos de licitud, lealtad, transparencia o finalidades limitadas) la integridad y la confidencialidad de los datos. El artículo 32, dedicado a la seguridad de los tratamientos, va lógicamente más allá: el responsable del tratamiento y sus posibles encargados del tratamiento deben aplicar medidas que permitan «garantizar un nivel de seguridad adecuado al riesgo» y «medios que garanticen la confidencialidad, la integridad, la disponibilidad y la resiliencia constantes de los sistemas y servicios de tratamiento ». Además, se abordan sin rodeos la seudonimización y el cifrado, dada su reconocida eficacia. En caso de fallo, estos deben aplicar«medios que permitan restablecer la disponibilidad de los datos personales y el acceso a los mismos en plazos adecuados en caso de incidente físico o técnico ».
A diferencia de la norma ISO 27001, en la que el análisis de riesgos del ámbito certificable es uno de los elementos indispensables para iniciar la implantación del SMSI, el RGPD exige un análisis de impacto relativo a la protección de datos (AIPD, por sus siglas en francés, o, en inglés: PIA, por Privacy Impact Assessment) en caso de tratamiento sensible y/o en los que exista un riesgo elevado para los derechos y libertades de las personas físicas (datos de salud, geolocalización a gran escala, datos biométricos, vigilancia constante de empleados, personas vulnerables, etc.)[1].
Los métodos de evaluación de riesgos vigentes, las herramientas que los respaldan (ya sean hojas de cálculo de Excel o programas informáticos especializados reconocidos en el mercado) y los procesos que regulan su aplicación pueden compartirse con bastante facilidad entre los equipos de seguridad y de protección de datos, en lo que respecta a una gran parte de su funcionamiento.
Documentación formal y duradera
Tanto el cumplimiento del RGPD como el proceso de certificación ISO 27001 requieren que la empresa pase de una cultura oral a una cultura escrita, y suelen formar parte de una verdadera estrategia de gestión del cambio con todo lo que ello conlleva. El diseño y la formalización de procesos optimizados a lo largo del tiempo, que enmarquen las formas de actuar y modifiquen a menudo los métodos de trabajo informales o incluso artesanales, es una necesidad absoluta para el éxito de ambos proyectos.
Así, en el proceso de certificación se tienen en cuenta nada menos que 20 procesos de seguridad relacionados con la norma ISO 27002 (IAM, BCP, copias de seguridad, supervisión, gestión de vulnerabilidades e incidentes, gestión documental, etc.), por lo que deben formalizarse, difundirse y revisarse periódicamente. Además, la norma ISO 27001 exige que la organización documente, en particular, la política de seguridad (§5.2), los procesos de evaluación (§6.1.2) y de tratamiento de riesgos (§6.1.3) —es decir, los datos y sus propietarios, los objetivos relacionados con la seguridad (§6.2)— o incluso las«pruebas de los resultados de la supervisión y de las medidas » (§9.1).
Por su parte, el RGPD exige que cada responsable del tratamiento mantenga un registro de las actividades de tratamiento, que debe incluir, en particular,«una descripción de las categorías de interesados y de las categorías de datos personales» y«una descripción general de las medidas técnicas y organizativas» (artículo 30). Dependiendo del tipo de organización y de las actividades, la elaboración de este registro puede resultar laboriosa y, sobre todo, su mantenimiento a lo largo del tiempo puede ser complejo.
En ambos casos, es imprescindible contar con un sistema de gestión documental adecuado y con procesos de calidad pertinentes para el almacenamiento y la conservación a largo plazo de esta documentación, un aspecto que suele ser un punto débil y, sin embargo, se subestima en las organizaciones.
Gobernanza de datos
Los dos temas tratados anteriormente ponen de manifiesto el evidente interés que tiene para las empresas adoptar una lógica de gobernanza de datos. Este concepto se refiere a la organización relacionada con la aplicación de principios, procesos y otros procedimientos dentro de una empresa que regulan la recopilación y el uso de los datos. Una gobernanza de datos bien planificada permitirá, desde la fase de diseño de los procesos, aplicaciones de negocio y otros servicios, reducir y, por tanto, afinar la recogida, las finalidades o incluso el periodo de conservación, pero también, durante el ciclo de vida de los datos, definir y optimizar dónde, cuándo e incluso cómo se manipulan, envían, almacenan y borran los datos. Estos elementos se relacionan fácilmente con el RGPD, a través de la necesidad de llevar el Registro de Tratamientos mencionado anteriormente o del ejercicio de los derechos de acceso, oposición, rectificación y supresión de sus datos personales por parte de los individuos, pero no solo eso.
Desde un punto de vista estrictamente de seguridad, una buena gestión de los datos implica una racionalización y optimización de los recursos de almacenamiento de datos, garantías técnicas en cuanto a la integridad y la restricción del acceso a dichos datos, así como su disponibilidad, por ejemplo, mediante la gestión de copias de seguridad. Todos estos elementos son indispensables en los procesos de cumplimiento de las normas ISO 27001 y el RGPD.
Seguridad y privacidad desde el diseño (y por defecto)
En ambas normas, la consideración y la implementación de la seguridad deben realizarse lo antes posible en los procesos. De hecho, este es un punto fundamental de la norma ISO 27001. En efecto, ya en la introducción de la norma se indica que«la seguridad de la información debe tenerse en cuenta en el diseño de los procesos, los sistemas de información y las medidas » (§0.1). El punto 14.1.1 del anexo A también menciona que«los requisitos relacionados con la seguridad de la información deben integrarse en los requisitos de los nuevos sistemas de información o en las mejoras de los sistemas de información existentes».
Por su parte, el artículo 25 del RGPD establece que el responsable del tratamiento debe aplicar las medidas técnicas y organizativas adecuadas para proteger los derechos de los interesados, garantizar que solo se traten los datos necesarios para una finalidad específica y que no se pongan a disposición de un número indeterminado de personas sin el consentimiento del interesado. La confidencialidad y, por lo tanto, la gestión de identidades y accesos, se menciona aquí de forma implícita.
Este artículo señala, además, que «unmecanismo de certificación aprobado en virtud del artículo 42 puede servir como elemento para demostrar el cumplimiento de los requisitos establecidos». La certificación más evidente es, sin lugar a dudas, la ISO 27001. Como indica el título del artículo 25, el RGPD implica que la protección de datos es obligatoria desde el diseño y de forma predeterminada. Además, cualquier fallo de seguridad se tendrá en cuenta a la hora de imponer sanciones por parte de la autoridad de control, lo que nos lleva directamente al siguiente punto.
Notificación y gestión de incidentes de seguridad
El RGPD establece en su artículo 33 que, en caso de violación de datos, el responsable del tratamiento deberá notificarlo a la autoridad de control competente, por defecto en un plazo de 72 horas desde que tenga conocimiento de ello, cuando dicha violación pueda suponer un riesgo para los derechos y libertades de las personas. En tal caso, también deberá notificarlo a los interesados.
Al no tener en cuenta las violaciones de datos personales, las empresas no tienen la obligación de notificar sus incidentes de seguridad a ninguna autoridad (salvo la obligación legal de notificación a la ANSSI en el caso de las OIV) ni a sus clientes. Por el contrario, en el marco de un SMSI es indispensable disponer de un sistema de gestión de incidentes relacionados con la seguridad de la información, tema que se aborda en el anexo A de la norma (A.16).
En cuanto a los procesos, la relación es, por tanto, evidente, ya que la obligación de notificación implica automáticamente la implantación de un proceso de gestión de incidencias. Cabe señalar que este proceso puede adaptarse, además, para tramitar las reclamaciones y las impugnaciones presentadas por las personas en el marco del ejercicio de sus derechos legales.
Gestión y supervisión de los subcontratistas
La importancia que se concede a la consideración y la gestión de los encargados del tratamiento en el RGPD es tal que, de los veinte artículos que componen el capítulo, unos diez están dedicados a este tema (capítulo 4:«Responsable del tratamiento y encargado del tratamiento»).
Los artículos 28 y 29, en particular, abordan las relaciones entre el encargado del tratamiento y el responsable del tratamiento (verificación delas «garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas»por parte del encargado del tratamiento; el tratamiento se lleva a cabo únicamente siguiendo las instrucciones y bajo la autoridad del responsable del tratamiento). El mantenimiento de un registro (30.2), la seguridad a un nivel adecuado al riesgo (32), así como la notificación de una violación de datos (33.2), forman parte de los elementos exigidos al encargado del tratamiento y de los que el responsable del tratamiento es directamente responsable de controlar.
En lo que respecta a la norma ISO 27001, además de que«la organización debe asegurarse de que los procesos externalizados estén definidos y controlados»(§8.1), el capítulo 15 del anexo A detalla la integración de la seguridad en las relaciones con los proveedores con el fin de garantizar la protección de los activos a los que estos tienen acceso y de mantener el nivel de seguridad adecuado a lo largo del tiempo.
Los esfuerzos y procesos relacionados con los requisitos generales (política de seguridad, anexos de seguridad contractuales, etc.) o con el control de proveedores (supervisión, verificación, auditoría) pueden, evidentemente, compartirse, tanto si se trabaja en el cumplimiento de la norma ISO 27001 como del RGPD.
Definición de funciones y responsabilidades
En menor medida, ya que en este caso tiene menos sentido hablar de una puesta en común de recursos o procesos, la gobernanza dentro de la empresa es un elemento común a ambos textos. De hecho, ambos prevén la identificación de los puestos clave, el nombramiento y la identificación clara de estas personas dentro de la organización:
En la norma ISO 27001, por ejemplo, «La dirección debe asegurarse de que las responsabilidades y facultades de los puestos relacionados con la seguridad de la información se asignen y se comuniquen dentro de la organización» (§5.3). Por lo tanto, conviene que una empresa cuente, si aún no lo hace, con un responsable de seguridad (RSSI) o incluso con un director de seguridad (CSO) y con un responsable del SMSI que se encargue de garantizar que el SMSI cumple con la norma ISO 27001.
En el marco del RGPD, todo tratamiento de datos personales debe estar bajo la responsabilidad de un responsable del tratamiento, definido como «la persona física o jurídica, la autoridad pública, el servicio u otro organismo que, por sí solo o conjuntamente con otros, determine los fines y los medios del tratamiento»(artículo 4.7). Cabe recordar, por otra parte, que el responsable del tratamiento es, por defecto y salvo delegación, sin que ello le exima totalmente de su responsabilidad, el director de la empresa.
El nombramiento de un delegado de protección de datos (DPO) es obligatorio si se trata de un organismo público o si la actividad principal del organismo«implica el seguimiento regular y sistemático de personas a gran escala, o el tratamiento a gran escala de datos denominados «sensibles» o relativos a condenas penales e infracciones»(artículo 34).
Las funciones deben definirse y formalizarse plenamente, así como los niveles jerárquicos y las relaciones de dependencia pertinentes en función de la estructura de la organización. Sin embargo, existen numerosos modelos. El tamaño de las empresas, el número de filiales o entidades, o incluso el modelo de gobernanza propio de la cultura de la empresa determinarán la organización más adecuada al contexto (un RSSI y un DPO del Grupo que coordinen una comunidad de RSSI y DPO locales, la delegación en una entidad piloto para que determine y experimente en nombre de todas las entidades, etc.).
Normalización
El comité de la ISO, como es lógico, se ha ocupado de estos temas relacionados con la comparación, la racionalización e incluso la optimización de las cuestiones relativas a la protección de datos: la norma ISO/IEC 27701:2019, publicada en agosto de 2019, tiene precisamente por objeto ampliar la ISO 27001 y la ISO 27002 a la gestión de la protección de la privacidad, definiendo requisitos y directrices que permiten llegar hasta la implementación de un Sistema de Gestión de la Información Personal (PIMS, por sus siglas en inglés, Privacy Information Management System). Esta norma incluye una correspondencia entre:
- Los principios y el«marco de privacidad» definidos en la norma ISO/IEC 29100;
- La norma ISO/IEC 27018 (protección de datos personales en la nube pública);
- La norma ISO/IEC 29151 (código de buenas prácticas para la protección de datos personales);
- El RGPD.
Dado que el PIMS es, en cierto modo, una versión reforzada del SMSI, la certificación ISO 27701 requiere lógicamente como requisito previo la certificación ISO 27001, lo que, por otra parte, hace cada vez más evidente y pertinente la colaboración entre los equipos encargados del SMSI y los del PIMS. Cabe señalar, sin embargo, que, al igual que en el caso de la certificación ISO 27001, dicha certificación tampoco implica automáticamente un cumplimiento total del RGPD, pero sin duda constituye una base más que sólida para ello.
Conclusión
Como hemos visto, existen numerosos puntos en común entre el RGPD y la norma ISO 27001. Dado que ambas abordan, en particular, la protección de datos y, por lo tanto, el ámbito de la seguridad de la información, es lógico que haya aspectos que se solapen. Se trata de una auténtica oportunidad para las empresas, ya que, dado que el cumplimiento del RGPD es obligatorio y requiere importantes recursos según el contexto, resulta interesante poder utilizar, apropiarse y, potencialmente, adaptar procesos, metodologías o herramientas existentes que hasta ahora estaban reservadas al ámbito de la seguridad de la información, y darles una utilidad más global. Se trata de una oportunidad clara para acercar a los equipos de privacidad y seguridad, que no siempre están acostumbrados a colaborar entre sí. Del mismo modo, los equipos técnicos y de seguridad de una empresa que desee iniciar un proceso de certificación ISO 27001 también pueden ahora fijarse en lo que se hace desde el punto de vista del cumplimiento del RGPD y adaptar esos conocimientos para facilitar la creación y la adopción de los procesos necesarios para un SMSI. Las experiencias compartidas, los éxitos, pero también los fracasos de cada uno deben poder contribuir al inicio, la creación y la sostenibilidad de los elementos indispensables para el cumplimiento normativo.
Es importante señalar que, en el ámbito de la ISO, se han emprendido iniciativas de racionalización y armonización entre la seguridad de la información y la protección de la privacidad, lo que ha conferido un alcance mundial a unas directrices y requisitos que se han convertido en fundamentales para las empresas europeas desde la entrada en vigor del RGPD. Cualquier iniciativa destinada a unificar recursos y métodos, a comprender sus similitudes y diferencias, pero también a difundir a escala mundial los conceptos innovadores del RGPD, su alcance y los cambios de enfoque y de cultura que ello supone, es, en efecto, bienvenida tanto para los responsables de la toma de decisiones como para los actores operativos, dada la complejidad de los temas y la comprensión detallada que se requiere para una implementación eficaz.
[1]https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf
