La semana pasada, la Organización Internacional de la Estandarización -ISO – publicó un nuevo estándar que cierra la brecha entre seguridad de la información y la privacidad mediante un nuevo sistema de gestión certificable denominado “Sistema de Gestión de Información en Privacidad” ISO/IEC 27701:2019.
Para profundizar en el tema, consultamos con Carlos A. Horna, experto técnico intencional en normas ISO y miembro del comité peruano que ha trabajado en la adopción de normas ISO sobre seguridad de la información como normas técnicas peruanas (incluyendo la NTP-ISO/IEC 27001:2014 entre otras). Sigamos leyendo.
Nuevo estándar de la Seguridad emite ISO
Nos encontramos Ad portas de una convocatoria con la finalidad de surfear en la novísima norma emitida por esta organización internacional.
(americasistemas.com.pe. Lima, Perú – 04 de setiembre 2019) El especialista Horna señala que dicha norma aparece por la creciente necesidad de las organizaciones a nivel global de poder demostrar tanto para sus clientes, colaboradores o entes reguladores el cumplimiento con la legislación sobre privacidad que les sea aplicable, esto dentro del país donde operen o incluso a través de todos los países en los que operen. En otras palabras, se trata de una nueva norma que proporciona confianza entre actores del mercado en materia de privacidad o protección de datos personales (Perú tiene la Ley 29733).
También resalta que la nueva norma ha sido desarrollada como una extensión a ISO/IEC 27001, es decir para cumplir ISO/IEC 27701 primero se debe cumplir con los requisitos de ISO/IEC 27001, adicionando un conjunto de requisitos adicionales (Pero la base sigue siendo los requisitos de ISO/IEC 27001). De igual modo al determinar los controles para el tratamiento de riesgos incluye un conjunto adicional que son extensiones a ISO/IEC 27002, por ello, se dice que esta norma extiende un SGSI (ISO/IEC 27001) Hacia un PIMS (27701).
Cuando lo abordamos para que nos explique si es una norma certificable, Horna enfatiza que ello es correcto, “Esta es una norma que incluye requisitos para un sistema de gestión, por lo que pueden ser utilizados en un auditoria de tercera parte o auditoria de certificación»
Pronóstico de Implementación en Perú
El ejecutivo señala que «En Perú, tenemos muchas organizaciones que tienen o están en proceso de implementar un SGSI bajo ISO/IEC 27001:2013 o NTP-ISO/IEC 27001:2014 (La misma norma, pero en versión NTP), particularmente las entidades del sector público que tienen que cumplir con la normatividad de la SeGDi (Secretaria de Gobierno Digital de la Presidencia del Consejo de Ministros – PCM) y las organizaciones y empresas que deciden voluntariamente su implementación.
Con esto ya tenemos un conjunto importante de recursos e interés en seguridad de la información que están abordando los SGSI como un aspecto importante en sus organizaciones.
Por otro lado tenemos la Ley 29733, Ley de Protección de Datos Personales, obligatoria para personas naturales y/o jurídicas, de obligatorio cumplimiento pero que aún tiene mucho trabajo para llegar a niveles adecuados en nuestro país.
En este escenario, muchas empresas y organizaciones enfrentan una lucha interna por recursos, por un lado, se solicitan recursos para seguridad de la información y por otro lado se requieren recursos para cumplir con la Ley de Protección de Datos Personales.
Considerando que los recursos no son ilimitados siempre tenemos que los recursos no se utilizan de la forma mas eficiente, llegando incluso muchas veces a repetir el mismo trabajo o las actividades de forma ineficiente y generando costos inadecuados para estas organizaciones.
Es en este escenario donde ISO/IEC 27701 demuestra su valor al unir ambos esfuerzos optimizando los esfuerzos y recursos, maximizando la inversión y llegando incluso a tener la opción de certificar internacionalmente sus resultados con una certificación de cumplimiento o de conformidad con los requisitos de ISO/IEC 27001 o extendido a ISO/IEC 27701, recalca Horna.
Sin duda alguna, una nueva norma que tiene una aplicabilidad amplia a nivel internacional y que ya esta siendo difundida en los principales eventos técnicos sobre privacidad.
Para terminar, invita a los lectores de América Sistemas en ser los conocedores o de los primeros a nivel internacional en conocer esta norma escribiendo a América Sistemas para programarlos en el próximo evento de actualización especializada sobre ISO/IEC 27701.
