Desde el año de 1947 la Organización Internacional de Normalización (International Organization for Standardization – ISO) nos ha entregado estándares y normas que han dado y generado marcos de alineación a todas las organizaciones en el mundo, ayudando a que se tengan más allá de las buenas prácticas, los principios básicos y necesarios de apoyo en la industria, los cuales implementados representan una fuerte base y sinergia organizacional.
Entre los marcos de alineación que ha entregado la ISO, también ha entregado disposiciones de carácter puntual mediante las cuales se ha tenido que realizar reestructura organizacional en las empresas, tal es el caso de las estructuras organizacionales directamente recomendadas como por ejemplo, la figura de la “FUNCIÓN DE CUMPLIMIENTO ANTISOBORNO”; requisito explícitamente solicitado por la norma ISO 37001:2016 y mediante la implementación de esta norma en las organizaciones se ha generado la figura del Oficial de Cumplimiento de Antisoborno.
Existen otras normas ISO que no han sido puntuales en las recomendaciones de la generación de algún puesto necesario en la organización o una nueva estructura organizacional, sin embargo, la norma trae implícito la recomendación de la creación de alguna figura solicitada por ésta para alguna función.
Por ejemplo, en la norma ISO/IEC 27001:2013, se da por entendido indirectamente la recomendación de la creación de una figura que resguarde la seguridad de la información y que pueda ser la encargada de la administración del Sistema de Gestión de Seguridad de la Información; ésta figura de gran notoriedad y mucha responsabilidad ha recaído en los últimos 20 años en el cargo de seguridad más importante de todas las organizaciones a nivel mundial el “Director de Seguridad de la Información (Chief Information Security Officer – CISO)”.
Dentro de las funciones de un CISO, además de resguardar y velar por la seguridad de la información de la organización para la cual presta sus servicios se pueden encontrar las siguientes responsabilidades:
- Responsable de decisiones de la auditoría en seguridad de la información.
- Responsable de las decisiones del cumplimiento regulatorio y la continuidad del negocio.
- Responsable por las decisiones de seguridad corporativa (seguridad física, seguridad de las instalaciones e investigaciones).
Y en el alcance de sus funciones pueden figurar las siguientes:
- Seguridad de la información.
- Auditorías relacionadas con seguridad.
- Investigaciones.
- Continuidad del negocio/recuperación de desastres.
- Seguridad de las instalaciones.
- Seguridad personal.
- Seguridad nacional.
- Protección de la propiedad intelectual.
- Protección ejecutiva.
- Prevención del fraude.
- Privacidad.
- Verificación de perfiles de seguridad.
Sin embargo, dependiendo de la naturaleza, giro, estructura organizativa, crecimiento o tamaño de la organización; el tema de la PRIVACIDAD DE LA INFORMACIÓN pudiera verse comprometido muchas veces por la línea tan delgada que es el separador y diferenciador entre Seguridad de la Información y “Privacidad de la información”.
En el año 2019 la ISO publicó la norma “ISO/IEC 27701 – Técnicas de seguridad – Extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad de la información – Requisitos y directrices”, la cual como su propio nombre lo indica es una extensión completa y adecuada para el tratamiento de la información privada y completamente basada en las cláusulas de cumplimiento de la norma ISO/IEC 27001 y los controles de seguridad de la información de la ISO/IEC 27002.
Se debe de entender esta clara diferencia entre privacidad de la información y seguridad de la información:
- La seguridad de la información se define como la protección de los datos contra el acceso no autorizado y consta de la confidencialidad, la integridad y la disponibilidad como sus pilares fundamentales y de los cuales la figura del CISO es el encargado de proteger, administrar y gestionar para que se mantengan en los rangos o valores comprometidos hacia con las partes interesadas de la organización.
- La privacidad de la información, por otro lado, constituye la divulgación de información de identificación personal, pero, de manera autorizada. La privacidad es una necesidad en la era digital moderna debido a la tasa de digitalización y utilización cada vez mayor, y es aquí en donde debe de figurar un nuevo encargado o una nueva función para salvaguardarla.
La seguridad y la privacidad de la información son integrales entre sí. Sin embargo, la privacidad de la información no puede ser implementada sin primero implementar controles de seguridad.
Entonces, el CISO debe comprender que, a partir de tener un sistema de gestión de privacidad de la información por las necesidades fundamentales de ésta, la seguridad se trata de la protección de los datos, mientras que la privacidad se trata de salvaguardar la identidad del usuario.
Es por esto que las organizaciones deben de tener (a partir de la implementación de una norma como la ISO/IEC 27701) una nueva figura denominada “Oficial de Protección de Datos (Data Protection Officer – DPO)”, el cual puede estar bajo el mando del CISO o ser independiente a la figura del CISO para rendir cuentas a la alta dirección sobre los temas relacionados a la confidencialidad de la información (si el giro del negocio así lo requiriera).
El “Oficial de Protección de Datos (Data Protection Officer – DPO)” es una figura de cumplimiento interna y da seguridad a la organización de que la confidencialidad de los datos personales y la información relacionada a estos, cumplen con la legislación (por ejemplo, en México la Ley Federal de Protección de Datos Personales en Posesión de Particulares – LFPDPPP) y a alguna regulación aplicable como por ejemplo la ISO/IEC 27701:2019.
Además, el Oficial de Protección de Datos actúa como punto de contacto entre los dueños de la información, la organización que tiene tratamiento de la información y en algunos casos cuando aplica la organización que procesa los datos, y también es el punto de contacto con la autoridad supervisora (por ejemplo, en México el Instituto Nacional de Transparencia – INAI). Y con esto se terminan los grandes conflictos que se tienen en las organizaciones actualmente el cual es:
“No se tiene una figura clara del responsable de los temas de privacidad de la información y, además, no se tiene una figura con el conocimiento y bases necesarias para ser el representante con todas las partes interesadas de la organización”
El Oficial de Protección de Datos debe comprender los procesos y estar familiarizado con las tecnologías de la información que posee la empresa para la cual presta sus servicios y de esta manera se denota que el DPO puede ser un empleado o puede ser designado a una entidad externa (por ejemplo: una empresa externa a la organización que puede prestar el servicio tercerizado de Oficial de Protección de Datos por la naturaleza de la organización o el tamaño de la misma).
Dentro de las competencias profesionales del Oficial de Protección de Datos pueden incluir, pero no se debe limitar solo a estas:
- Experiencia en leyes y prácticas de protección de datos nacionales y europeas.
- Comprender el proceso de procesamiento de datos.
- Comprensión de la tecnología de la información y la seguridad de los datos.
- Conocimiento del sector empresarial en el que opera la organización y las operaciones de la organización.
- La capacidad de promover una cultura de protección de datos dentro de la organización.
El DPO deberá ser, a partir de hoy en todas las organizaciones, una función transcendental y en la medida de lo posible fundamental de apoyo para la seguridad de la información, pudiendo estar bajo el mando del CISO o apoyándolo horizontalmente en este tema, ya que no solo en México es importante por estar regulada la privacidad de la información por parte del INAI.
Recordemos que la privacidad de la información es un “DERECHO HUMANO”, la privacidad también es un valor en sí mismo y es esencial para el desarrollo de la personalidad y la protección de la dignidad humana, que es uno de los temas centrales de la Declaración Universal de los Derechos Humanos en su Artículo 12 – Derecho a la Intimidad, y todos los datos personales pueden ser información con la cual se puede identificar a cualquier individuo que lo relacione a ella, por lo tanto una negligencia en la compartición de esta información, una pérdida de esta información o cualquier desviación que no sea autorizada por el dueño de la información pone en riesgo la integridad del dueño de la misma.
Con la designación, capacitación y correcto asentamiento de un DPO en una organización, permitiremos proteger al dueño de la información de las interferencias injustificadas en su vida y determinar cómo queremos interactuar con la organización y con el dueño de la información. El Oficial de Protección de Datos nos ayudará a establecer fronteras para limitar quién tiene acceso a la información con previo acuerdo del dueño de ésta, así como nuestras comunicaciones y a nuestra información con las otras partes interesadas de la organización para el tratamiento de la información personal.
¿Estás interesado en la Norma ISO 27701 para Oficial de Protección de Datos?
Descarga el brochure para tu formación profesional aquí
Conoce al autor de este artículo
 | Héctor Jesús Pérez Auditor TI & Cibersecurity Sr. CISA, CEH, ECC-CEI, COBIT 5, SCRUM, ITIL, DMC, DMA, ISO 9001 AL, ISO 20000-1 AL e IL, ISO 27001 AL, ISO 27701 IL, ISO 27032 GL, ISO 37001 AL |
