La información es un activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal. La Información se han convertido en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ella.
Más particularmente, la información de privacidad o los datos de carácter personal son recursos de cualquier organización que requieren una protección adecuada a fin de garantizar la privacidad y el derecho a la intimidad de las personas de las que tratemos sus datos, y a fin de cumplir con los requisitos legales que sean de aplicación, siendo de especial relevancia, en este sentido, el Reglamento Europeo de Protección de Datos (RGPD) que establece un marco normativo común en el ámbito europeo, de obligado cumplimiento para todas las organizaciones que traten datos de carácter personal.
La seguridad de la información no sólo es una cuestión de las organizaciones TIC, sino de cualquier tipo de organización, siendo especialmente útil en aquellos sectores donde la información manejada sea crítica, contegna datos de carácter personal, o se manejen grandes volúmenes de información.
Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y en muchos casos económicamente gravosos: paradas de producción, pérdidas de clientes, pérdida de reputación, incumplimiento de la normativa de protección de datos, etc.
Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, Analizar, Evaluar, y Gestionar los riesgos de seguridad de la información a los que se enfrenta mi organización, y tomar las medidas técnicas, organizativas y legales necesarias, usando para ello la norma ISO/IEC 27001. Adicionalmente, la extensión ISO/IEC 27701 para gestión de la información de privacidad, proporciona los mecanismos necesarios para una protección adecuada de los datos de carácter personal, alineada con los requisitos legales que sean de aplicación.
Estas normas no establecen requisitos absolutos para la gestión de riesgos de seguridad de la información y la protección de la información de privacidad, pero sí son el medio más eficaz de minimizar estos, al asegurar que son identificados, evaluados y gestionados, considerando el impacto para la organización, y adoptando los controles y procedimientos más eficaces y coherentes con la estrategia de negocio, y permite, además, evidenciar una proactividad por parte de las organización en cuanto al cumplimiento de la normativa de protección de datos.
La ISO/IEC 27001 y la ISO/IEC 27701 especifican las medidas y controles de seguridad, con el fin de proteger todo aquello que es importante para la organización, sus activos y la información que estos manejan, con indicación especial a las medidas adecuadas para la protección de la información de privacidad, de manera alineada a la normativa de protección de datos (RGPD).
En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27001:2013 Extensión ISO/IEC 27701:2019
*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización
Las organizaciones que implementan un Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001:2013, disponen de una gran flexibilidad a la hora de documentar la información, y como no, notan su impacto en los clientes y en la gestión de la organización:
La información es un activo vital para la continuidad y desarrollo de cualquier organización, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal. La Información se han convertido en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ella.
Más particularmente, la información de privacidad o los datos de carácter personal son recursos de cualquier organización que requieren una protección adecuada a fin de garantizar la privacidad y el derecho a la intimidad de las personas de las que tratemos sus datos, y a fin de cumplir con los requisitos legales que sean de aplicación, siendo de especial relevancia, en este sentido, el Reglamento Europeo de Protección de Datos (RGPD) que establece un marco normativo común en el ámbito europeo, de obligado cumplimiento para todas las organizaciones que traten datos de carácter personal.
La seguridad de la información no sólo es una cuestión de las organizaciones TIC, sino de cualquier tipo de organización, siendo especialmente útil en aquellos sectores donde la información manejada sea crítica, contegna datos de carácter personal, o se manejen grandes volúmenes de información.
Los perjuicios que ocasionan los incidentes de seguridad son, cuando menos, incómodos y en muchos casos económicamente gravosos: paradas de producción, pérdidas de clientes, pérdida de reputación, incumplimiento de la normativa de protección de datos, etc.
Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, Analizar, Evaluar, y Gestionar los riesgos de seguridad de la información a los que se enfrenta mi organización, y tomar las medidas técnicas, organizativas y legales necesarias, usando para ello la norma ISO/IEC 27001. Adicionalmente, la extensión ISO/IEC 27701 para gestión de la información de privacidad, proporciona los mecanismos necesarios para una protección adecuada de los datos de carácter personal, alineada con los requisitos legales que sean de aplicación.
Estas normas no establecen requisitos absolutos para la gestión de riesgos de seguridad de la información y la protección de la información de privacidad, pero sí son el medio más eficaz de minimizar estos, al asegurar que son identificados, evaluados y gestionados, considerando el impacto para la organización, y adoptando los controles y procedimientos más eficaces y coherentes con la estrategia de negocio, y permite, además, evidenciar una proactividad por parte de las organización en cuanto al cumplimiento de la normativa de protección de datos.
La ISO/IEC 27001 y la ISO/IEC 27701 especifican las medidas y controles de seguridad, con el fin de proteger todo aquello que es importante para la organización, sus activos y la información que estos manejan, con indicación especial a las medidas adecuadas para la protección de la información de privacidad, de manera alineada a la normativa de protección de datos (RGPD).
En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27001:2013 Extensión ISO/IEC 27701:2019