Blog
dark mode light mode Search Archivos descargables
Search

ISO 27001: tu primer paso hacia la protección de datos

Entender la diferencia es el primer paso. El segundo es saber qué hacer cuando lo entiendes.

La seguridad informática puede parecer un tema algo complicado, pero eso no es problema para ti. Por eso creamos esta guía, para que puedas diferenciar entre seguridad de la información y protección de datos.

Aquí te explicamos de una manera sencilla en qué consiste la protección de datos y la seguridad de la información, cómo están conectados estos dos términos y las pautas para cada uno. 

Hackmetrix Insight: La seguridad informática busca proteger a tus activos de información y a los sistemas informáticos que los procesan y almacenan. 

Comencemos por entender que la seguridad informática tiene diferentes objetivos de protección. Entre ellos están la seguridad de la información y, la protección de datos. 

¿Qué es seguridad de la información?

La seguridad de la información se encarga de proteger toda esa información (vaya redundancia) que recopila una empresa. Su objetivo principal es cuidar de la confidencialidad, integridad y disponibilidad de la información.

Esto lo consigue a través de diferentes metodologías, normas y herramientas. Un ejemplo podría ser una matriz de control de accesos, la herramienta ideal para controlar quién tiene acceso a qué dentro de la empresa. Te dejamos por aquí una plantilla para que te sea más fácil llevar a cabo este proceso.

Matriz de Control de Accesos

Es aquí donde entran estándares como ISO 27001, para  implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI).

¿Qué es protección de datos? 

Al hablar de protección de datos, nos referimos a los derechos de las personas cuyos datos se obtienen, se resguardan y se procesan para saber qué datos están siendo tratados y protegidos. 

Por ejemplo: un e-commerce tiene acceso a la información de las tarjetas bancarias de sus clientes. Dentro de su sitio web, estás plataformas deben tener forzosamente un aviso de privacidad. Así, los usuarios están enterados exactamente de lo que pasa con sus datos.

Hay normas que buscan evitar que dicha información sea robada y explotada de una manera poco ética o ilícita. También quieren impedir que se usen para finalidades u objetivos distintos a los declarados por la empresa que los recopiló. ¿No queremos que esas tarjetas de crédito se expongan al público, o sí?”

Cuando una empresa implementa la protección de datos, puede ser por responsabilidad propia o porque simplemente se los exigen. Esto se resume sencillamente a que las personas quieren confiar en ti y en tu empresa. Para profundizar más en este tema, te invitamos a leer sobre los cuestionarios de seguridad.

Hackmetrix Insight: los datos personales son cualquier cosa que nos identifique y nos haga identificables. 

Las leyes de protección de datos, como la General Data Protection Regulation (GDPR) o la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), son un conjunto de normas que obligan a una empresa a comunicar al usuario qué va a hacer y cómo va a proteger sus datos. 

¿Cómo se complementan? 

Al inicio platicamos que tanto seguridad de la información, como protección de datos, tienen diferentes objetivos dentro de la seguridad informática. Bien, pues es importante entender que aunque sus metas sean distintas, están relacionados entre sí. 

Imagina que estás en un bar tomando cervezas con amigos y de repente uno te dice: 

“Che, me das tu diario íntimo?, voy a usar la información para ver cuantas veces te enamoraste el año pasado. Cuando quieras podés pedirme que te lo devuelva.”

 Luego de decirle que sí, te responde:

“Che, de paso que me das tu diario íntimo, lo voy a tener en una bóveda donde solo yo accedo.” 

Como puedes ver, lo primero es tener la autorización para tener el diario íntimo en su poder y leerlo; lo segundo es la bóveda y la llave donde lo guarda. 

O sea que es importante contar con el permiso para obtener la información, siempre expresando el uso que le vas a dar (protección de datos); para después asegurarte de que está bien resguardada (seguridad de la información). Ahora si en vez de ser tú y tu amigo, hablamos de tu empresa y tus usuarios, puedes ver cómo es que estos dos conceptos van de la mano. 

ISO 27001 o tu iniciación a la seguridad de información.

Cómo ya lo hemos mencionado antes, ISO 27001 es un estándar internacional para garantizar la seguridad de la información. 

Para explicarlo de una manera sencilla, digamos que este estándar te dice cómo mantener protegida tu casa. Te proporciona instrucciones y controles que debes implementar para estar seguro y disminuir riesgos. Por ejemplo: ponerle un candado a tu puerta, instalar cámaras de seguridad y activar una alarma al salir. 

Adicionalmente, existe la ISO 27701. Este sistema de gestión de privacidad de la información (SGPI) tiene como propósito la protección de datos. En pocas palabras, es una guía con un marco de trabajo y requisitos para cumplir con controles de privacidad específicos. Esta extensión de ISO 27001 es útil para adentrarte a lo que es protección de datos. 

Si piensas certificarte en ISO 27701 para cumplir con normativas como la GDPR o HIPAA recuerda que primero hay que implementar ISO 27001. 

Hackmetrix Insight: para ISO 27701 los datos personales son denominados como “Información de Identificación Personal”(IIP).

Ya que tenemos un marco contextual sobre ISO 27001 y su rol en la seguridad de la información, podemos hablar del papel que juega para el cumplimiento de protección de datos.

ISO 27001, un paso más adelante para cumplir con normativas internacionales (HIPAA y GDPR)

Empecemos hablando de la GDPR. Esta norma de protección de datos que tuvo un gran auge en Europa, fue de hecho la precursora de la extensión ISO 27701. El objetivo de esta ley es aumentar la transparencia sobre la manera en que los datos son recopilados, procesados y utilizados por las empresas. Su meta es la protección de datos personales en la Unión Europea.

Por otro lado, la ley HIPAA se encarga de proteger los datos personales que manejan las instituciones de salud en Estados Unidos. Habla específicamente de datos médicos y evita su uso indebido. Dicho de otra manera, es el derecho de las personas a delimitar con quien pueden ser compartidos esos datos.

Aunque ninguna de estas normativas te exigen una certificación, sí te piden contar con seguridad de la información. Al certificarte en ISO 27001 demuestras el compromiso de cumplir con los requisitos de seguridad de estas leyes, mostrando el cumplimiento y  responsabilidad de tu empresa. Al estar certificado en ese estándar por default ya cumples con varios requisitos de HIPAA y GDPR.  

ISO 27001ISO 27701HIPAAGDPR
¿En qué se enfoca?Adoptar un Sistema de Gestión de la Información (SGSI) para minimizar riesgos. *Anexo A: ISO 27002Es una extensión de ISO 27001 enfocada en la privacidad de la información y protección de datos.Proteger los datos personales de los pacientes.Protección de datos de las personas en la Unión Europea.
¿Se certifica?NoNo
¿Cada cuánto se certifica?3 años3 añosNo aplica. Se audita anualmente.No aplica. Puede auditarse cada 1 o 3 años.
IndustriaTodasTodasSalud Todas
¿Es obligatoria?No, pero ya es casi un MUST para tus clientes corporativosNoObligatoria en EE.UU. Recomendada en el resto del mundoObligatoria en la Unión Europea

Conclusión 

Para terminar, podemos concluir que tanto la seguridad de la información como la protección de datos son importantes para el crecimiento de tu empresa. No importa que sean dos cosas distintas, son elementos que están conectados. 

Estamos seguros de que si no tienes un cliente que ya te pide cumplir con normas o estándares internacionales, pronto lo tendrás. Nuestra recomendación es que estés preparado para la situación y cuentes con los requerimientos necesarios. Al fin y al cabo, es algo que también te ayuda a ti internamente. 

Por último, recuerda que cumplir con estándares internacionales como el tan mencionado ISO 27001, te ayudará con el cumplimiento de leyes o normativas (GDPR, HIPAA, etc). 

Hackmetrix newsletter ciberseguridad