| 25 años generando CONFIANZA
ISO 27001 Sistema de Gestión de Seguridad de la Información
Garantizar y asegurar la confidencialidad e integridad de los datos que posee una empresa son los principales objetivos de la normativa ISO 27001. Además, este estándar promueve la evaluación de los riesgos potenciales y reales y la aplicación de soluciones para mitigar su impacto. Puede complementarse con las buenas prácticas incluidas en la normativa ISO 27002 sobre la Gestión de la Seguridad de la Información.
¿Qué significa la protección de datos?
Las empresas no sólo tienen el derecho de salvaguardar la información relativa a sus procesos y actividades. También están en la obligación de gestionar adecuadamente los datos de los clientes, proveedores, inversores y otros agentes con los que entren en contacto en determinados momentos.
Hasta hace relativamente poco, era común pensar que sólo las empresas que basaban sus actividades en Internet tenían la obligación de salvaguardar los datos de terceros. Esto sin duda obedecía a que la Red propició la publicación de gran cantidad de datos que, hasta antes de la era informática, eran de carácter privado.
Sin embargo, en la actualidad es un asunto que involucra a todas las organizaciones que manejen o gestionen información de este tipo. De hecho, las diferentes legislaciones avanzan hacia marcos cada vez más genéricos.
La gran paradoja es que, aunque muchas organizaciones hacen un uso cotidiano de los datos de sus clientes, socios o agentes, un gran porcentaje de las mismas aún desconoce en qué consisten sus principales obligaciones en esta materia. Hagamos un repaso por los principales ítems sobre protección de datos:
1. Información a los afectados:
Las personas tienen derecho a saber si su información personal será incluida en alguna base de datos o fichero que suponga el tratamiento de la misma. Ésta es la obligación más importante, pues a la vez supone otros derechos como el acceso a los datos, la rectificación, la cancelación o la oposición.
2. Solicitud de consentimiento:
Una vez informadas, las personas pueden decidir si sus datos son sometidos a algún tipo de tratamiento relacionado con la empresa que aspira a gestionarlos.
No hacerlo tiene implicaciones legales para las compañías.
3. Buen uso de los datos:
Cuando las personas han aceptado el uso de sus datos, las empresas están en la obligación de darles el tratamiento que en su momento notificó a los titulares. Bajo ninguna circunstancia, pueden sacar provecho y darles otro tipo de uso. A esto se le conoce como calidad o buen uso de los datos.
4. Confidencialidad:
Las empresas no podrán divulgar los secretos que se deriven de la información recolectada sobre los clientes, algo que aplica incluso después de que la relación entre la persona y la empresa haya finalizado.
5. Adopción de medidas de seguridad:
Para que lo puntos anteriores puedan llevarse a la práctica, las organizaciones deben implementar sistemas de seguridad de información. El objetivo de éstos es garantizar la integridad de los datos. Por lo general, su importancia se divide en tres niveles básicos:
– Nivel alto: relativos a la religión, las creencias, la ideología, la vida sexual y la salud, entre otros. También los que hayan sido recabados con fines policiales.
– Nivel medio: relacionados con las infracciones administrativas o penales, la situación con Hacienda y los servicios financieros.
– Nivel bajo: aquellos datos que permitan la identificación de las personas, como por ejemplo el nombre, los apellidos, la dirección, el teléfono, el correo electrónico o el documento de identidad.
6. Acceso a terceros:
Finalmente, también es obligación de las empresas establecer un contrato de gestión cuando éstas cedan el tratamiento de los datos a terceros. Este contrato debe incluir, en forma de cláusulas, las directrices sobre el uso de la información y serán básicamente las mismas de los apartados anteriores.
Importancia del Sistema de Gestión de la Seguridad de Información
En materia de datos, las empresas están obligadas a cumplir una serie de normas que garanticen los derechos de los clientes con los que entran en contacto. Para que tal cosa pueda llevarse a cabo, es necesario conocer la legislación vigente e implementar un Sistema de Gestión de Riesgos y Seguridad basado por ejemplo en la ISO 27001.
La herramienta ISOTools es un buen recurso para monitorizar las acciones de gestión de riesgos y seguridad en materia de información. Además, es compatible con otros estándares internacionales, como la ISO 9001 de Sistemas de Gestión de Calidad.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…