ISO 27701 allana el camino para un enfoque estratégico para …



Como el primer estándar de gestión de privacidad internacional certificable, ISO 27701 es una adición bienvenida al conjunto existente de marcos de seguridad comunes.

La privacidad se ha convertido en un imperativo empresarial. El 25 de mayo de 2020 marcó el segundo aniversario de la aplicación del Reglamento Standard de Protección de Datos (GDPR), que ya ha impuesto decenas de fuertes multas, incluidos 50 millones de euros para Google y 99 millones de euros para Marriott. Aunque estas multas son menos severas que el 4% de los ingresos anuales que podría imponer el RGPD, las organizaciones deberían estar preocupadas, ya que decenas de empresas menos conocidas también han sido multadas con cientos de miles de dólares cada una.

En los Estados Unidos, la aplicación de la Ley de Privacidad del Consumidor de California (CCPA) comenzó el 1 de julio de 2020. El tiempo dirá qué tan ferozmente California procesará las violaciones de la CCPA, pero si GDPR es una indicación, es probable que el fiscal basic de California busque Haga un ejemplo de las organizaciones infractoras. Caso en cuestión, un Ya se ha presentado una demanda colectiva contra Zoom..

La privacidad, como la seguridad, se ha convertido en un componente crítico para demostrar confianza, tanto a las partes interesadas internas como a los clientes y socios externos.

Existe mucha complejidad en torno a las normas de privacidad. GDPR es un trabajo de tiempo completo que el Artículo 37 puede requerir un oficial de protección de datos (DPO) de tiempo completo para supervisar los esfuerzos de cumplimiento. A 2020 informe de investigación de FTI Consulting indica que «el 97 por ciento de las organizaciones aumentará su gasto en privacidad de datos el próximo año» y «el 87 por ciento de los encuestados cree que los pasos hacia el cumplimiento mitigarán el escrutinio regulatorio».

De ISMS a PIMS
Como precursor de ISO 27701, ISO 27001 es un conocido estándar de seguridad responsable de certificar la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI). ISO 27701 introduce los criterios para certificar un Sistema de Gestión de la Información de Privacidad (PIMS). Puede ser más útil pensar en PIMS como la evolución del SGSI, ya que ISO 27701 busca crear un sistema holístico a partir de los dos.

ISO 27701 ofrece certificación para controladores de datos (es decir, el recolector de datos) y procesadores de datos, o un híbrido de los dos. Los controladores de datos deben demostrar su protección de los derechos de privacidad y publicar notificaciones de privacidad, entre otros requisitos, mientras que los requisitos del procesador de datos incluyen la limitación del procesamiento. Ambos deben adherirse a una variedad de políticas y procedimientos, como análisis de riesgos, acuerdos de confidencialidad, capacitación y supervisión (es decir, el oficial de protección de datos).

Un enfoque estratégico para el cumplimiento
El camino hacia ISO 27701 es bastante sencillo. Primero, una organización debe determinar si es un controlador de datos, un procesador de datos o ambos. Si una organización ya ha implementado ISO 27001 no hay cambios en los controles existentes, pero hay controles de privacidad adicionales que abordar. Si una organización es estratégica en la planificación de ISO 27701, no solo puede prepararse para la certificación, también puede mejorar su negocio, por ejemplo, al optimizar nuevas iniciativas de transformación digital.

Los beneficios del cumplimiento estratégico se obtienen centralizando, estandarizando y consolidando los procesos de auditoría. Según Gartner «Guía de mercado para servicios de certificación de seguridad organizacional, «» Los requisitos de control y las secciones de los estándares de seguridad contra los cuales se generan certificaciones y atestaciones tienen una superposición significativa. Si existe la necesidad de obtener más de una certificación o atestación, es valioso consolidar la planificación de la auditoría, la recopilación de datos de auditoría, las entrevistas y los esfuerzos de recopilación de pruebas en un ejercicio de selección de proveedores con múltiples certificaciones / atestaciones de seguridad «.

La implementación de ISO 27701 ya representa una iniciativa de cumplimiento estratégico porque estandariza aspectos de algunas regulaciones de privacidad. ISO proporciona orden al caos de la privacidad de los datos. Por lo tanto, si una organización ya está aplicando la norma ISO 27701, debería considerar dónde más puede lograr el cumplimiento estratégico consolidando otras auditorías o estableciendo los estándares y prácticas de su organización, muy en el espíritu de estas organizaciones internacionales.

En última instancia, el objetivo de lograr un estándar de privacidad internacional certificable con ISO 27701 es impulsar nuevos negocios demostrando confianza. Cumplimiento estratégico Los esfuerzos también pueden ayudar al crecimiento de una empresa al desbloquear la eficiencia operativa, lo que ahorra tiempo y dinero en auditorías. Tanto la gestión de la privacidad como el cumplimiento estratégico pueden tener un impacto positivo en una organización, no solo para impulsar nuevos negocios, sino también para mejorar el funcionamiento de estos negocios.

Entre GDPR y CCPA, hemos entrado en la era de la privacidad con ISO 27701 emergiendo como la medalla de oro para los estándares de privacidad.

Arti Lalwani es la directora de práctica ISO en A-LIGN, donde dirige auditorías y certificaciones. Ella es una Auditor Líder certificada ISO / IEC 27001: 2013 con amplia experiencia en ISO 27001. Antes de unirse a A-LIGN, Arti ayudó a otros organismos de certificación con el desarrollo de prácticas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial