En los últimos años la tecnología ha avanzado de manera exponencial, como es el caso del almacenamiento en la nube, que ofrece a las organizaciones múltiples beneficios relacionados con la rapidez de acceso a la información desde cualquier punto y un ahorro tecnológico significativo.
Este modelo de gestión que ofrecen diferentes proveedores a nivel internacional tiene como contrapartida la preocupación sobre la protección de los datos y la privacidad de estos en cuanto a la información de identificación personal (PII), entendiendo esta información no solo como el nombre de un interesado sino aquellos datos relacionados con su persona, como datos bancarios, médicos, direcciones IP, entre otros.
El modelo de gestión en la nube puede presentar una dificultad en identificar donde se encuentran alojados, las medidas de protección aplicadas en las redes de comunicaciones o como gestionan estás organizaciones la información de identificación personal de los interesados albergados en sus sistemas de información.
Como consecuencia de esta preocupación, International Organization for Standardization (ISO) actualizó en enero de 2019, el estándar relacionado con la seguridad de la información, concretamente la ISO 27018, con el fin de desarrollar procesos que den cobertura a los proveedores de servicios en la nube, permitiendo certificar ante sus clientes que, se garantizan sus derechos en base a los consentimientos recabados.
¿Qué nos propone específicamente ISO 27018?
La ISO 27018 pretende, a grandes rasgos, identificar de manera precisa como el proveedor gestiona los datos personales de los interesados, establece los procedimientos necesarios para cualquier solicitud o acceso a los mismos ofreciendo de este modo a los clientes una total transparencia en este sentido
La ISO 27018, aporta una base de buenas prácticas para la protección de información de identificación personal (PII) en la nube para organizaciones que actúan como procesadores de esta información”.
Su implantación va ligada a la norma ISO 27001, que actúa como base a la hora de especificar los requisitos propios del estándar. En este sentido, la ISO 27018 se divide en dos grandes bloques de actuación:
- Controles Declaración de Aplicabilidad: Partiendo de los controles de seguridad establecidos en el Anexo A de la ISO 27001 o el código de buenas prácticas ISO 27002, la norma añade requisitos de seguridad para la información de identificación personal (PII) sobre controles específicos. En este sentido, de los 114 controles que propone el estándar de Seguridad de la Información, la ISO 27018 establece requisitos adicionales sobre 15 controles, distribuidos entre los siguientes dominios:
- Dominio 5: Políticas de Seguridad de la Información
- Dominio 6: Organización de la Seguridad de la Información
- Dominio 7: Seguridad de los Recursos Humanos
- Dominio 9: Control de Acceso
- Dominio 10: Criptografía
- Dominio 11: Seguridad física y ambiental
- Dominio 12: Seguridad de las operaciones
- Dominio 13: Seguridad de las comunicaciones
- Dominio 16: Gestión de incidentes
- Dominio 18: Cumplimiento
¿Qué define el Anexo A de la norma ISO 27018?
Los 8 principios o controles específicos de privacidad de la información, aplicables al gestor de datos en la nube y el modo de implantarlos, lo que conforma un conjunto de requisitos para la protección de PII. Los principios en los que se basa son los siguientes:
-
- Consentimiento y elección
- Propósito de legitimidad y especificación
- Minimización de los datos
- Límite de uso, retención y divulgación
- Apertura, trasparencia y notificación
- Responsabilidad
- Seguridad de la Información
- Cumplimiento de la privacidad
La implantación del estándar conlleva grandes beneficios a los operadores de datos en la nube, más si cabe con la certificación del estándar ISO 27018, el cual solo es certificable de manera conjunta con la ISO 27001. Entre los beneficios podemos destacar:
- Aporta confianza sobre la protección de la información de los clientes y partes interesadas, protegiendo la imagen de la organización frente a accesos o violación de datos.
- Permite identificar los riesgos a los que está expuesta la información (PII) estableciendo controles para su mitigación.
- Diferenciación respecto a los competidores del mismo sector, proveyendo una protección a la información bajo un estándar internacional.
- Protección frente a multan, aportando un sistema de gestión que vela por la protección de la información de los interesados.
Por último, destacar que GlobalSuite® permite una implantación eficaz del estándar ISO 27018 al estar plenamente adaptada a los requisitos identificados en el presente artículo, ya no solo para empresas que estén certificadas en la ISO 27001, sino aquellas que deciden abordar la implantación de ambos estándares.