Actualidad

El estándar ISO 27001 como facilitador del cumplimiento de la LOPD y el Esquema Nacional de Seguridad (ENS)

23 de octubre, 2015

El estándar ISO 27001 determina los requisitos para el sistema de gestión “SGSI”, cuya implantación es voluntaria, ya que se trata de un estándar y, además, certificable por un tercero acreditado (entidad de certificación).

El estándar ISO 27001 como facilitador del cumplimiento de la LOPD y el Esquema Nacional de Seguridad (ENS)

Hoy día muchas organizaciones han optado por la implantación de un Sistema de Gestión de la Seguridad de la Información “SGSI” que garantice que, no sólo se han implementado mecanismos de seguridad, sino que estos son gestionados conforme a un estándar. Esta tendencia se hace cada vez más necesaria, ya que la dependencia de los medios tecnológicos y de la información manejada a través de los mismos es cada vez mayor, por lo cual su seguridad se contempla como un proceso de negocio más, que se debería gestionar.

El estándar ISO 27001 determina los requisitos para el sistema de gestión “SGSI”.

Su implantación es voluntaria, ya que se trata de un estándar y, además, certificable por un tercero acreditado (entidad de certificación). Con independencia de los estándares que las organizaciones decidan implantar, éstas se pueden ver afectadas por requisitos legales o sectoriales que sí son de obligado cumplimiento. Entre ellas la Ley Orgánica de Protección de Datos Personales “LOPD” y el Esquema Nacional de Seguridad “ENS” (administraciones públicas).

El ENS establece una serie de medidas de seguridad, cuya aplicabilidad se decide en función de la valoración de los servicios y a la categoría del sistema de información utilizado para prestar esos servicios (Artículo 43). A su vez, la categoría del sistema se calcula en función del nivel de seguridad en cada dimensión (Anexo I).

La LOPD, en el título VIII de su Reglamento, establece otro repositorio de medidas de seguridad aplicables a los ficheros de datos de carácter personal en función de su nivel.

El estándar ISO 27001 incluye un área o dominio de seguridad relativo al cumplimiento legal (Área 18. Cumplimiento) en el cual, en función de cual fuese el alcance del sistema de gestión, se podría estar requiriendo el cumplimiento del ENS y la LOPD.

Por otro lado, hay una cierta correspondencia entre las medidas de seguridad de la norma ISO 27001, el ENS y la LOPD. De hecho esta correspondencia es tratada en algunas de las guías CCN-STIC de la serie 800 (relativas al ENS). Si bien no se trata de una relación matemática de equivalencia (y así es aclarado en las propias guías), se están tratando los mismos temas y cubriendo los mismos aspectos de seguridad. Así, la guía CCN-STIC 825 ENS & 27001 trata específicamente la relación del ENS con las normas ISO/IEC 27001 e ISO/IEC 27002. En esta guía se presenta, para cada medida de seguridad del ENS, el grado de esfuerzo que una administración pública tendría que hacer si ya tuviese implantado un SGSI (con el mismo alcance que el ENS) y, además, se presenta la correspondencia entre cada medida del ENS con los controles de la norma ISO 27002. En relación a la correspondencia con la LOPD, la guía CCN-STIC 804 ENS – Guía de Implantación, incluye la relación entre cada medida del Anexo II del ENS con las medidas del Reglamento de la LOPD.

Adicionalmente, el propio ENS exige disponer de un Sistema de Gestión de la Seguridad de la información (medidas op.pl.2 y Anexo III. Artículo 1. 1.f). La mejor opción sería elegir un sistema de gestión basado en un estándar, como puede ser ISO 27001, habida cuenta de que muchos de sus requisitos coinciden con los del ENS. Así, disponer de un SGSI basado en ISO 27001 es doblemente un facilitador del cumplimiento y mantenibilidad del ENS.

Por último, la certificación de un SGSI cuyo alcance sea el ámbito de aplicación del ENS puede ser complementada con una acreditación del cumplimiento del ENS. En este sentido hay entidades de certificación que ofrecen este servicio de acreditación. Es decir, una administración pública que ya cuente con un ENS implantado, puede complementarlo para implantar un SGSI y lograr tanto el sello ISO 27001 como la acreditación del ENS, economizando tanto en esfuerzos como en presupuesto.

En conclusión, la implantación y certificación de un SGSI conforme a la norma ISO 27001 es un aporte de valor, ya que, a los beneficios que ya tiene de por sí, como puede ser la confianza ofrecida desde los portales telemáticos a los ciudadanos, se suman los beneficios de facilitar el cumplimiento de los requisitos legales (ENS, LOPD) y, además, poder contar con la acreditación de un tercero.

Compartir en