El nuevo Reglamento General de Protección de Datos afectará a todas las compañías que, independientemente de su tamaño o área de actividad, traten datos personales. A partir del 25 de mayo de 2018, la protección de datos será imprescindible para cualquier organización que trabaje con información personal de residentes en cualquier Estado miembro de la Unión Europea.
En primer lugar, cada empresa deberá evaluar los riesgos de sus datos personales e implementar los mecanismos necesarios para protegerlos. Con esta finalidad, son muchas las empresas que ven en la norma ISO 27001 la guía adecuada para llevar a cabo su Sistema de Gestión de Seguridad de la Información (SGSI).
Pero… ¿qué es ISO 27001?
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO), publicada por primera vez en 2005 y desarrollada en base a la norma británica BS 7799-2.
Es la norma principal de seguridad de la información ya que protege la totalidad de los datos personales y asegura que solo las personas autorizadas puedan acceder a ellos. En la actualidad, y debido a su última revisión publicada en 2013, el nombre completo de la norma es ISO/IEC 27001:2013.
… y ¿cómo se acredita?
Lograr y mantener una certificación acreditada ISO 27001 puede ser una tarea complicada, especialmente para aquellos que tienen que implementarla por primera vez. Dependiendo del caso, conseguir la certificación puede costar desde tres meses a un año de duración.
Cabe destacar que no existe un criterio único para implementar la norma ISO 27001 dentro de una organización, pero sí una serie de directrices y orientación que le llevarán a conseguir un buen resultado.
El libro Nueve pasos para el éxito: Una visión de conjunto para la aplicación de la ISO 27001:2013 señala los 9 pasos esenciales para conseguir el éxito de un proyecto ISO 27001. Son los siguientes:
- Encargo del proyecto
- Inicio del proyecto
- Inicio del SGSI
- Marco de gestión
- Criterios de seguridad de referencia
- Gestión del riesgo
- Implementación
- Medición, monitorización y revisión
- Certificación
Certificar ISO 27001 no es obligatorio, pero sí recomendable para demostrar la transparencia empresarial y que mercado confíe en la organización.
Digital Marketing at IT Governance Ltd