Juanjo Alemany

28Nov

Gestión del talento

28 de noviembre de 2023 Juanjo Alemany 35

🚀Gestión del talento – Una herramienta para potenciar el talento y fomentar el compromiso en el entorno laboral 🌟

En un mundo laboral en constante evolución, es crucial ir más allá de lo convencional para atraer, retener y motivar al talento. El mercado laboral actual es dinámico y desafiante, y la importancia de crear un entorno de trabajo excepcional que vaya más allá de las convenciones tradicionales, se vuelve un objetivo más en la búsqueda del éxito empresarial a todos los niveles.💼✨

🌐 Seducir y Entretener para el Éxito Empresarial: Desde la eliminación de inseguridades hasta la integración de sensibilidades personales, estas estrategias van más allá del salario y la conciliación. La capacitación continua y el énfasis en los valores y la generosidad construyen cimientos sólidos para un crecimiento colectivo y sostenible.

💼 Compromiso y Acompañamiento en Acción: Operaciones concretas, como dotar de recursos y gestionar conflictos de inmediato, son la esencia del compromiso y la mejora continua. La escucha activa y la integración de aspectos personales en la jornada laboral son prácticas que humanizan la experiencia laboral y crean un ambiente atractivo.

Basándonos en datos, el 40% de los trabajadores españoles enfrenta el burn-out y 40 millones de norteamericanos dejaron sus trabajos en 2021. Por ello, cada vez se apuesta más por un futuro con conciencia social que genere un ambiente donde el crecimiento profesional se fusiona con la satisfacción personal, donde las metas se alcanzan con ilusión y el éxito se comparte en conjunto.

💼🌟 #CambioCultural #CompromisoLaboral #CulturaOrganizacional #TalentoProfesional #Gestióndetalento

14Nov

Los 11 nuevos controles de ISO27001 versión 2022

14 de noviembre de 2023 Juanjo Alemany 35

🛡️🔐 ISO 27001 Versión 2022: 11Controles Clave para Reforzar la Seguridad de la Información🔒👩🏽‍💻👨🏽‍💻

La norma ISO 27001 continúa evolucionando para hacer frente a los desafíos emergentes en el panorama dela ciberseguridad. En su última actualización, la Versión 2022 ha introducido 11 nuevos controles esenciales, detallados en el anexo A de la ISO 27002. Dichos controles están diseñados para fortalecer la postura de seguridad de las organizaciones y abordar las crecientes amenazas digitales.💻🖥️

Los nuevos controles abordan desde la identificación de amenazas hasta la seguridad en el desarrollo de software, proporcionando un marco completo para enfrentarlos desafíos actuales en ciberseguridad. La ISO 27001 destaca la importancia de la adaptabilidad y la concienciación.

A través de esta cápsula informativa presentamos algunos de los aspectos destacados. ¡Echad un vistazo!

#IS027001 #Ciberseguridad #SeguridadDelalnformación #ActualizaciónNormativa

16Oct

Novedades del Esquema Nacional de Seguridad

16 de octubre de 2023 Juanjo Alemany 33

En mayo de 2022 se publicó el Real Decreto 311/2022 que se regula el Esquema Nacional de Seguridad (ENS). Éste trae consigo una estructura parecida que consta de 7 capítulos, 1 disposición transitoria, 3 adicionales y 4 anexos. En este artículo vamos a exponer sus novedades para encarar una transición placida.

Principales cambios

Las principales novedades se centran en diferentes cambios en medidas de seguridad, principios y requisitos.

Se introduce el principio de vigilancia continua (Prevención, detección, respuesta y conservación)
Se sustituye la seguridad por defecto por el termino de mínimo privilegio
Se mantienen los 4 controles de marco organizativo
Se incrementa en 2 controles el marco operacional
Reducción de las medidas de protección agrupándolas en 36

En general se incrementa en nivel de exigencia en varias medidas, se eliminan varios controles (protección de los registros de actividad, personal alternativo, medios alternativos, cifrado, instalaciones alternativas y acceso remoto, se simplifican varias y se añaden 6 nuevas medidas:

Servicios en la nube
Interconexión de sistemas
Protección de la cadena de suministros
Medios alternativos
Vigilancia
Otros dispositivos conectados a la red

Para la categoría de los sistemas, se establece la obligación de reevaluar de forma anual.

Responsabilidades

Diferenciación de responsabilidades, en el artículo 13 se recogen las funciones de cada uno de los responsables.

Se deberán diferenciar 4 roles:

Responsable de información
Responsable del servicio
Responsable de la seguridad
Responsable del sistema

El responsable de seguridad será distinto del responsable del sistema (salvo en excepciones justificadas)

Servicios externalizados

Aparece una nueva figura para servicios externalizados. El POC (Punto o Persona de Contacto) de Seguridad de la información. El POC será el responsable de seguridad de la organización contratada, aunque la responsabilidad final será de la entidad del sector público destinataria de los servicios.

El POC del CCN determinará:

Requisitos funcionales de seguridad y aseguramiento de la certificación
Se podrá exigir cualificación al personal para productos o servicios certificados.

Figura del perfil de cumplimiento

El perfil de cumplimiento respecto a la declaración de aplicabilidad permite:

Suprimir medidas o incluir la aplicabilidad para otras.
Aumentar o disminuir la exigencia del nivel de implantación.
Proponer medidas compensatorias o complementarias.

Protocolo de actuación ante ciber-incidentes

Otro elemento que ha cogido especial relevancia es la ampliación de las acciones frente a incidentes de ámbito cibernético que pretende mejorar la:

Gestión de la respuesta ante incidentes de ciberseguridad.
Definición de las actuaciones de notificación de incidentes de ciberseguridad al CCN-CERT

El Centro Criptológico Nacional es la entidad de referencia para respuesta a los incidentes de ciberseguridad y establece la obligación de notificarlos:

Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información.
INCIBE-CERT va a poner en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del ámbito privado que presten servicios a las entidades públicas.
El CCN-CERT determinará si el sistema es seguro para interconectar de nuevo después de una situación de crisis.

Anexos

En cuanto a los anexos del Real Decreto encontramos algún cambio que conviene destacar:

Anexo I Categorías de Ciberseguridad: que regula las categorías de ciberseguridad de los sistemas de información y especifica la secuencia de actuaciones para determinar la categoría de seguridad de un sistema.

Anexo II Medidas de Seguridad: que mantiene los tres grupos: Marco organizativo, Marco operacional y Medidas de protección.

Anexo III Auditoría de la seguridad: que establece los niveles de auditoría a efectuar sobre los sistemas de información.

Y algunos cambios más

La declaración de aplicabilidad deberá estar firmada por el responsable de la seguridad.
Tras la auditoría, y en sistemas de nivel Alto, el responsable del sistema podrá suspender temporalmente la prestación de servicios u operaciones hasta la corrección de hallazgos graves.
Ha de utilizarse una metodología de Análisis de Riesgos reconocida internacionalmente.
El personal implicado en la seguridad deberá estar cualificado e instruido en todas las fases del ciclo de vida.
Se amplía el contenido mínimo de la Política de seguridad, debiendo incluir los riesgos que derivan del tratamiento de los datos personales.

Estructura resultante

De todos estos cambios surgen una estructura actualizada que no presenta grandes cambios.

Marco Organizativo

Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización

Marco operacional

Planificación

Análisis de riesgos.
Arquitectura de Seguridad.
Adquisición de nuevos componentes.
Dimensionamiento/gestión de la capacidad.
Componentes certificados.

Control de acceso

Identificación.
Requisitos de acceso.
Segregación de funciones y tareas.
Proceso de gestión de derechos de acceso.
Mecanismo de autenticación (usuarios externos).
Mecanismo de autenticación (usuarios de la organización).

Explotación

Inventario de activos.
Configuración de seguridad.
Gestión de la configuración de seguridad.
Mantenimiento y actualizaciones de seguridad.
Gestión de cambios.
Protección frente a código dañino.
Gestión de incidentes.
Registro de la actividad.
Registro de la gestión de incidentes.
Protección de claves criptográficas.

Recursos externos

Contratación y acuerdos de nivel de servicio.
Gestión diaria.
Protección de la cadena de suministro.
Interconexión de sistemas.

Servicios en la nube

Protección de servicios en la nube.

Continuidad del servicio

Análisis de impacto.
Plan de continuidad.
Pruebas periódicas.
Medios alternativos.

Monitorización del sistema.

Detección de intrusión.
Sistema de métricas.

Medidas de protección

Protección de las instalaciones e infraestructuras

Áreas separadas y con control de acceso.
Identificación de las personas.
Acondicionamiento de los locales.
Energía eléctrica.
Protección frente a incendios.
Protección frente a inundaciones.
Registro de entrada y salida de equipamiento.

Gestión del personal

Caracterización del puesto de trabajo.
Deberes y obligaciones.
Concienciación.
Formación.

Protección de los equipos

Puesto de trabajo despejado.
Bloqueo de puesto de trabajo.
Protección de dispositivos portátiles.
Otros dispositivos conectados a la red

Protección de las comunicaciones

Perímetro seguro.
Protección de la confidencialidad.
Protección de la integridad y de la autenticidad.
Separación de flujos de información en la red.

Protección de los soportes de información

Marcado de soportes.
Criptografía.
Borrado y destrucción.

Protección de las aplicaciones informáticas

Desarrollo de aplicaciones.
Aceptación y puesta en servicio.

Protección de la información

Datos personales.
Calificación de la información.
Firma electrónica.
Sellos de tiempo.
Limpieza de documentos.
Copias de seguridad.

Protección de los servicios

Protección del correo electrónico.
Protección de servicios y aplicaciones web.
Protección de la navegación web.
Protección frente a denegación de servicio.

Iniciando la actualización

La entrada en vigor del 3 de mayo de 2022 establece un plazo de veinticuatro meses para que los sistemas de información se adecuen al nuevo ENS. Por ello el 4 de mayo de 2024 vencerá el plazo para poder realizar la transición. Para los nuevos sistemas, se deberá cumplir con el actual decreto.

Dada esa característica tan ibérica que es esperar al último momento, nos encontramos ante un escenario con varios retos. Ni que decir cabe, que el primer semestre de 2024 va a ser bastante denso. A la carga de trabajo propia de las organizaciones adaptando sus sistemas de seguridad de la información a nuevo ENS, se van a sumar dos amenazas que complicaran el escenario.

Por un lado, nos encontramos con la falta de personal cualificado por parte de las entidades de certificación, con el consecuente embudo que puede producir citado periodo y el subsecuente caos de jornadas para poder dar cumplimiento a los alcances de auditorías.

Y, por otro lado, la incesante labor de la administración pública de incrementar los requisitos a las organizaciones que le dan servicio, haciendo que se incremente el número que han optado por acreditar su sistema de seguridad de la información en Esquema Nacional.

Lástima que la ley de contratación de la administración pública continúe poniendo el acento en la valoración económica de las licitaciones. Otra característica tan ibérica.

28Ago

Riesgos en época de vacaciones

28 de agosto de 2023 Juanjo Alemany 32

🌴🏖️ Gestión de Riesgos en Vacaciones 🌊☀️

¡Las olas del verano también pueden ser olas de oportunidad! ¿Sabías que la gestión de riesgos es tu compañera perfecta incluso en traje de baño? Desde la planificación hasta la vuelta a la rutina, aquí hay un recorrido por cómo puedes aplicar estrategias (con un poco de humor) para convertir tus vacaciones en momentos relajantes y seguros. 🏄‍♂️👙

PREPARACIÓN: 🗺️ Organizar unas vacaciones conlleva decisiones importantes: el destino, las fechas, el presupuesto… ¡Pero no temas! Aquí tienes unos consejos para gestionar esos riesgos.

🔹 Mitigación: Inicia en enero, involucra a todos los miembros de la familia y transforma la planificación en una experiencia compartida y emocionante.

🔹 Evitación: ¿Prefieres evitar los riesgos? Sigue trabajando, pero recuerda tomar ese merecido descanso cuando sea necesario.

🔹 Transferencia: Equilibra alternando un año lo organiza tu pareja, otro tú. ¡Así, aplazas el riesgo y mantienes la aventura viva!

🔹 Aceptación: ¿Necesitas un poco de ayuda extra para la calma? A veces, tomar un ansiolítico puede ser una opción para disfrutar más plenamente.

DURANTE LAS VACACIONES: 🌊 Incluso en medio de la tranquilidad de las vacaciones, hay riesgos acechando. ¿Cómo puedes mantenerte sereno?

🔹 Mitigación: Si las preocupaciones acechan, considera acortar tus vacaciones o tomar un tiempo para ti en el medio.

🔹 Evitación: Si las playas no son para ti, quédate en casa y practica el mindfulness para encontrar tu propio oasis de tranquilidad.

🔹 Transferencia: Culpa a otros por las situaciones incómodas y prepárate para tomar el control el próximo año.

🔹 Aceptación: Reflexiona sobre cómo sería este momento en la oficina sin aire acondicionado y aprecia tu ubicación actual.

VUELTA DE VACACIONES: 🌊 Regresar a la rutina puede traer consigo su propio conjunto de situaciones inesperadas. ¿Cómo puedes tratarlas?

🔹 Mitigación: Si sientes la resaca emocional, busca terapia, haz nuevos amigos o considera un cambio de trabajo para encontrar un nuevo equilibrio.

🔹 Evitación: No tomes vacaciones… aunque esa no es nuestra recomendación.

🔹 Transferencia: ¿Un intercambio con tu yo de vacaciones jubilado? ¡Podría funcionar!

🔹 Aceptación: ¡Estamos un paso más cerca de las vacaciones del próximo año! Un pensamiento emocionante mientras volvemos a nuestra rutina.

Las vacaciones son una oportunidad para relajarte, aprender y crecer. ¡Así que lánzate con tus habilidades de gestión de riesgos y disfruta de unas vacaciones increíbles o de una vuelta a la realidad con más fuerza! 🌊🏝️

#GestiónDeRiesgos #VacacionesSinPreocupaciones #DisfrutaElVerano

10Jul

Riesgos derivados de la guerra

10 de julio de 2023 Juanjo Alemany 33

El conflicto en Ucrania ha tenido un impacto significativo en las corrientes geopolíticas globales, marcando un cambio en el paradigma del conflicto militar hacia una mayor relevancia de los enfrentamientos convencionales. Los conflictos regionales se han convertido en puntos de descompresión estratégica, y se ha observado una reducción de libertades en favor de la seguridad.

En este nuevo contexto, han surgido nuevas amenazas, como el ciberespacio como un nuevo entorno de conflictos, el desarrollo de armas avanzadas que requieren tecnología sofisticada y un cambio en la dinámica de investigación y desarrollo militar, con un enfoque más nacionalista. La inestabilidad se ha incrementado al entrar en una dinámica de conflicto en contraposición a la disuasión, y se ha observado una mejora en las herramientas de ciberataque. Además, ha aumentado el riesgo de uso de armas tácticas nucleares y se han producido reducciones en los mercados debido a la política de bloques geopolíticos.

Este cambio de paradigma tiene implicaciones significativas en la seguridad global y requiere una atención especial por parte de los actores involucrados para garantizar la estabilidad y la mitigación de las nuevas amenazas emergentes.

#Guerra #Cambiodeparadigma #Riesgos #Amenazas #Seguridad

28Jun

Controles de Seguridad de la información en TISAX

28 de junio de 2023 Juanjo Alemany 30

TISAX – MÓDULO DE SEGURIDAD DE LA INFORMACIÓN

Tal y como introducíamos en nuestro artículo anterior sobre Seguridad de la Información en el Sector de la Automoción según VDA ISA (Automotive Information Security Assessment) o TISAX (Trusted Information Security Assessment Exchange); la gestión de la seguridad de la información desempeña un papel fundamental para garantizar la protección de datos y mitigar los riesgos asociados. CON

Sector de la automoción y seguridad

La industria automotriz ha experimentado un proceso de cambio significativo en las últimas décadas, tanto los hábitos de consumo como los avances tecnológicos han transformado por completo la forma en que los vehículos se diseñan, fabrican y operan. Sin embargo, este progreso también ha planteado desafíos en términos de seguridad de la información y protección de datos en la cadena de suministro.

La filtración de datos sensibles, los ciberataques y las nuevas amenazas pueden tener consecuencias graves, tanto para las empresas como para los consumidores. Es en este contexto que surge la necesidad de contar con un marco común de controles.

Como ya hemos comentado anteriormente la norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece las directrices generales. Aquí estamos ante un grupo de controles que se despliegan en requisitos.

Organizada en controles, TISAX-VDA ISA, cuenta con un Self-Assessment, mediante el cual se evalúa y verifica su cumplimiento para garantizar la seguridad de la información, estos se estructuran a través de sus 3 módulos (seguridad de la información, prototipos y protección de datos de carácter personal).

En este artículo trataremos en profundidad la pestaña del Self-Assessment referente al módulo de Seguridad de la Información.

Módulo de seguridad de la información en el Self-Assessment

Esta sección consta de los controles de seguridad de la información estructurado en 7 grandes grupos:

Políticas de seguridad
Recursos humanos
Seguridad física y continuidad
Identidad y acceso
Ciberseguridad
Relación con proveedores
Cumplimiento

Para determinar el nivel de madurez y de cumplimiento, los requisitos están divididos en diferentes apartados que van desde él “debe” hasta aquellos que son de “muy alta protección”.

Políticas y Seguridad de SI (Seguridad de la Información)

Este bloque de requisitos se centra en diferentes aspectos de las políticas y prácticas de seguridad de la información en una organización:

En él destaca la importancia de contar con políticas de seguridad adaptadas que reflejen la trascendencia de la información.
Se enfatiza que la seguridad de la información debe formar parte de los objetivos estratégicos de la organización, se subraya la necesidad de tener responsabilidades claras y establecer un proceso adecuado para evitar pasos en alto en proyectos.
Comprender y dividir las responsabilidades al trabajar con proveedores de servicios externos de TI.
Identificar y clasificar los activos de información, así como en la evaluación y aprobación de servicios de TI externos utilizados para procesarlos.
Gestionar riesgos para evitar o reducir la probabilidad de que se materialicen o mejorar la capacidad de respuesta frente a crisis.
Revisar periódicamente la eficacia de los procedimientos y procesos de seguridad de la información, se deben realizar evaluaciones independientes y objetivas del SGSI.

Recursos Humanos

Este bloque se centra en el capital humano y su papel en la seguridad de la información, resalta la importancia de contar con empleados competentes y confiables:

Verificar las calificaciones de los empleados potenciales, especialmente en áreas sensibles.
Garantizar que todo el personal debe estar contractualmente obligado a cumplir con las políticas de seguridad de la información de la organización y ser conscientes de las consecuencias de cualquier mala praxis.
Sensibilizar y capacitar al personal sobre los riesgos asociados con el manejo de la información, haciendo que la seguridad de la información sea parte integral de su trabajo.
Tener en cuenta el teletrabajo como una modalidad que presenta riesgos particulares y se subraya la necesidad de abordar los riesgos asociados con esta forma de trabajo, implementando medidas de protección adecuadas.

Seguridad Física y Continuidad del negocio

Bloque de controles enfocados a la seguridad física de los activos y la continuidad del negocio ante eventos críticos:

Gestionar las zonas de seguridad para proporcionar protección física a los activos de información, con medidas de control adicionales para los más sensibles.
Se deberá tener presente las situaciones excepcionales, como desastres naturales o amenazas, ya que representan un desafío para la organización en términos de seguridad.
La gestión de los activos de apoyo, que están expuestos a riesgos como pérdida, robo o visualización no autorizada se deben gestionar adecuadamente, así como los dispositivos móviles de TI y de almacenamiento de datos, debido al mayor riesgo de pérdida o robo al utilizarse en diferentes ubicaciones.

Gestión de identidad y acceso

En este bloque hablamos de la gestión de usuarios en el ámbito de la seguridad de la información:

Gestionar los medios de identificación, como claves, identificadores visuales o tokens criptográficos, para verificar la autorización de acceso físico y electrónico.
Asegurar que sólo los usuarios identificados y autenticados tengan acceso a los sistemas de TI de forma segura, la administración y aplicación de forma confiable de las cuentas de usuario y la información de inicio de sesión, resaltando la asignación y gestión adecuada de los derechos de acceso para garantizar que solo los usuarios autorizados tengan acceso a la información y las aplicaciones informáticas.

Seguridad TI /Ciberseguridad

En este punto nos encontraremos ante un bloque bastante amplio que aborda diversos aspectos sobre la información en el ámbito digital:

Se deben considerar los aspectos de seguridad en los cambios organizativos y de sistemas de información, la separación de los entornos de desarrollo de los entornos operativos.
Gestionar adecuadamente el uso de procedimientos criptográficos para proteger la confidencialidad de la información.
Proteger los sistemas de TI contra el malware, gestionar el registro y análisis los eventos de seguridad, realizar auditorías técnicas, gestionar vulnerabilidades, definir de requisitos para los servicios de red y la eliminación segura de activos de información en servicios.

Relaciones con proveedores

En relación con los controles sobre las relaciones con proveedores y socios comerciales, se destaca:

La importancia de garantizar un nivel adecuado de seguridad al colaborar con socios, lo cual implica establecer medidas y controles para proteger la información compartida y asegurar su confidencialidad, integridad y disponibilidad.
La no divulgación de información mediante acuerdos contractuales que incluyan acuerdos de confidencialidad .
Establecer las obligaciones y responsabilidades de las partes involucradas en la protección de la información confidencial.

Cumplimiento

Finalmente, el último bloque de controles se centra en el cumplimiento de las disposiciones legales, reglamentarias y contractuales:

Identificar y gestionar el cumplimiento de las disposiciones, y las consecuencias de su infracción.
Enfatizar la protección de los datos de identificación personal durante la implementación de medidas. Esto implica considerar la privacidad y la protección de estos datos de acuerdo con las leyes y regulaciones nacionales relevantes.

Conclusión

En resumen, a través de la pestaña “Seguridad de Información” del Self-Assessment, procederemos a la evaluación global de la información a través de los grandes bloques que componen la seguridad física y digital.

Por tanto, este módulo proporciona una visión general del sistema de gestión de seguridad de la información.

Al obtener una puntuación en la evaluación, las organizaciones pueden identificar las brechas en sus controles de seguridad y tomar medidas correctivas para fortalecer sus sistemas.

La implementación efectiva de controles de seguridad de la información ayuda a prevenir incidentes de seguridad, salvaguardar los datos sensibles y mantener la confianza de los clientes y socios comerciales.

Firmado por Juanjo Alemany

En colaboración con Mariam Rodríguez

10May

Reuniones que aportan valor

10 de mayo de 2023 Juanjo Alemany 32

Las reuniones son una herramienta fundamental para tomar decisiones importantes y mantener a los equipos informados y alineados. Sin embargo, muchas veces estas reuniones pueden resultar: una pérdida de tiempo, dinero y recursos, especialmente cuando se dilatan en temas irrelevantes, participan demasiadas personas y falta coordinación o estructura.

Se calcula que se pierde hasta un 15% en reuniones improductivas, lo que representa una cantidad significativa de recursos que podrían haberse utilizado de manera más efectiva.

Para evitar que las reuniones se conviertan en una carga innecesaria, es importante seguir ciertas pautas que permitan aprovechar al máximo el tiempo invertido. Una de estas pautas es la fórmula 3-3-30 (3personas, 3 temas y 30 minutos) propuesta por Steve Jobs, que recomida para agregar valor a las reuniones a través de la reflexión grupal, el fomento del pensamiento crítico y la orientación hacia acciones concretas. Además, se recomienda que las reuniones sean lideradas por una persona designada, reducir el número de asistentes y preparar el debate de manera previa para centrarlo en los temas más relevantes. Al finalizar la reunión, se debe elaborar un plan de acción con responsables y plazos concretos para asegurar la implementación efectiva de las decisiones tomadas.

Proporcionar un enfoque distinto hará que se conviertan en una herramienta efectiva para impulsar la productividad, aprovechar los recursos y el tiempo de inversión. Siguiendo estás recomendaciones, podemos transformar el enfoque que damos a las reuniones de equipo con la finalidad de siempre impulsar y buscar la mejora continua.

18Abr

La inteligencia artificial en la pista de despegue

18 de abril de 2023 Juanjo Alemany 33

La inteligencia artificial (IA) se encuentra en plena expansión en diferentes sectores y su futuro es muy prometedor, ya que esta tecnología tiene el potencial de transformar la forma en que vivimos, trabajamos y nos relacionamos entre nosotros.

La IA ha revolucionado la forma en que las empresas y las organizaciones funcionan, permitiendo la automatización de tareas repetitivas y la toma de decisiones más informadas y precisas.

Sin embargo, la IA también plantea desafíos éticos y de responsabilidad, como la toma de decisiones injustas o sesgadas, la desaparición de puestos de trabajo o el incremento de ataques cibernéticos. Es importante que el desarrollo y el uso de la IA se realice de manera responsable para garantizar que sus beneficios se maximicen y se minimicen sus riesgos.

28Mar

La norma ISO27701 para gestión de privacidad de la información

28 de marzo de 2023 Juanjo Alemany 33

La norma ISO27701 nos presenta un sistema de gestión de seguridad de la información enfocado a la protección de datos de carácter personal.

Los SGPI (Sistema de gestión de la privacidad de la información) conocidos en inglés como PIMS (Protection Information Management System) son una herencia directa de los SGSI (Sistema de Gestión de Seguridad de la información) basados en ISO27001.

Por ello, el cumplimiento de puntos de norma y controles de seguridad son la base de la garantía del sistema de gestión para la protección de los datos de carácter personal, en esta norma se denomina IIP (Información de identificación personal) o PII en inglés (Personally Identifiable Information).

Además, tenemos dos figuras clave que emanan del 2016/676 RGPD (Reglamento General de Protección de Datos) que son el responsable del tratamiento de datos personales y el encargado del tratamiento.

Estructura de la norma

La norma ISO27701 se halla dividida en cuatro grandes bloques:

Capítulo 5 Requisitos específicos del SGPI relacionados con la norma ISO27001

Capítulo 6 Guía específica del SGPI relacionadas con la norma ISO27002

Capítulo 7 Guía adicional de la norma ISO27001 para el responsable de tratamiento de IIP

Capítulo 8 Guía adicional de la norma ISO27001 para el encargado del tratamiento de IIP

Capítulo 5

En el primer bloque se sigue la misma estructura de alto nivel, común en las ISO de sistemas de gestión. Compuesta por los 10 puntos de la norma ISO27001. Y en este caso encontramos ampliaciones en los puntos 4 (5.2 en ISO27701) y 5 (5.4 en ISO27701).

En el primer punto amplía la totalidad de los apartados: comprensión del contexto, partes interesadas, alcance y sistema de gestión.

Y en el segundo amplía los requisitos para evaluación y tratamiento de riesgos.

Capítulo 6

El segundo bloque se compone de los controles de ISO27002 y las ampliaciones necesarias de los mismo respecto a PII.

Pasamos a describirles una aproximación a las actuaciones necesarias

Capítulo 7

En el tercer bloque nos centramos en controles específicos que afectan a los responsables de tratamiento que son:

Condiciones para la recogida y tratamiento de datos personales
Obligaciones hacia los interesados
Privacidad desde el diseño y privacidad por defecto
Intercambio, transferencia y comunicación de IIP

De todo ello se derivan controles que dan cobertura a los aspectos contemplados en el Reglamento Europeo de Protección de Datos de Carácter Personal, tales como el ciclo de vida de los datos captación, conservación y destrucción, las relaciones con partes interesadas (clientes y autoridades), aspectos en el desarrollo de aplicaciones y entornos, y finalmente la manipulación de estos datos durante sus operaciones y mantenimiento.

Todo ello bajo el prisma del responsable de tratamiento, figura que supone la persona física o jurídica que determine los fines y medios del tratamiento.

Capítulo 8

En el cuarto bloque se repiten los controles del bloque anterior pero esta vez centrados en la figura del encargado de tratamiento. Encargado de tratamiento que entendemos como la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.

Con todo esto esperamos haberles hecho un primer acercamiento a la Norma ISO27701. En futuros artículos profundizaremos en aspectos con el fin de proporcionar una guía de referencia para su implantación y gestión.

O si lo prefieren siempre pueden contar con el asesoramiento profesional de TotalRisk.

Artículo de Juanjo Alemany

01Feb

ISO27701 La Seguridad de la Privacidad

1 de febrero de 2023 Juanjo Alemany 31

La ISO27701 apareció por primera vez en 2019 en su versión en inglés. Tuvieron que pasar 3 años para tener su versión en español y esta norma fue creada con el objetivo de dar continuidad a los sistemas de gestión de la seguridad de la información en lo que a Protección de datos personales se refiere.

Esta norma global de gestión de la privacidad de la información, es una extensión de la ISO27001 e incluye cierto requisitos, objetivos y controles, los cuales detallamos en la siguiente capsula de conocimiento.

Hace también un especial énfasis en lo que sería la figura del Responsable del tratamiento y el Encargado del tratamiento, así como las obligaciones de estos en cuanto a la recogida, uso, acuerdos, notificaciones, comunicaciones, entre otros.