+34 971 22 73 99 mon-lex@mon-lex.com

La utilización de los sistemas de información y la digitalización del mundo empresarial ha provocado un aluvión de normas que regulan el uso de las nuevas tecnologías, especialmente en el ámbito de la privacidad y seguridad. El paradigma lo encontramos en el Reglamento General de Protección de Datos (RGPD) pero también hay otros ejemplos que muchos ya conocen. La norma PCI DSS, que regula el uso de las tarjetas de crédito; la Ley 34/2002, de comercio electrónico; la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos; el Real Decreto 3/2010 o Esquema Nacional de Seguridad, y un largo etcétera de normas que empiezan a ser un verdadero problema tanto para el sector privado como el público.

Sin ir más lejos, la obligación de demostrar el cumplimiento (principio de proactividad) del RGPD añade una capa más de trabajo en la empresa. No solamente debes cumplir con la norma, sino que tienes que aparentarlo y demostrarlo. Al no existir actualmente certificaciones oficiales acerca del cumplimiento del RGPD, tal y como puedan existir para el Esquema Nacional de Seguridad, ralentizan el proceso de demostrar el cumplimiento ante responsables del tratamiento y aliados.

¿Cómo podemos mantener el equilibrio y cumplir con todas estas normas sin caer en el desorden? Existe la posibilidad de implantar un sistema de gestión de seguridad de la información, basado en la norma ISO 27001. Dicha norma nos permite cumplir en porcentajes muy altos la mayor parte de requerimientos del RGPD, la PCI DSS, el Esquema Nacional de Seguridad y más normas similares, tanto nacionales como internacionales. Si nos fijamos bien, el RGPD no es más que un sistema de gestión con requerimientos similares a la ISO 27001:

– Entendimiento del negocio.

– Análisis de riesgos.

– Seguridad basada en los riesgos detectados.

– Cumplimiento normativo.

– Creación de procedimientos.

– Gestión de proveedores.

– Seguridad de los recursos humanos.

– Continuidad del negocio.

Todos estos puntos son comunes a las normas antes mencionadas, con matices que deberán pulirse para cada una de ellas. La gran ventaja de la implantación de una ISO 27001 es la capacidad de adaptación a cada empresa, según su realidad y necesidades de cumplimiento normativo. Pero, sobre todo, su cumplimiento tiene la posibilidad de ser certificado por una Entidad de Certificación. No son pocas las empresas europeas que exigen el cumplimiento a nuestras empresas dentro del sector de la hostelería, requiriendo pruebas documentales, auditorías, acreditaciones, aunque no sean oficiales, etc. Pues bien, siguiendo el modelo anglosajón, una certificación en la norma ISO 27001 elimina en grandísima medida la necesidad de demostrar el cumplimiento del RGPD.

Para acabar, no debemos obviar que el esfuerzo de implantación de la ISO 27001 es alto, especialmente al inicio, pero nos permite ser muchos más eficientes a medio plazo. Y lo que es mejor, nos asegura afrontar nuevos requerimientos normativos que de buen seguro surgirán en los próximos años.

Xavier Ferretjans

Consultor en nuevas tecnologías

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR