Integración entre el ENS y RGPD-LOPDGDD.

Tecnología y Sentido Común es la Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

El RGPD y la LOPDGDD requieren una serie de actividades similares a las que se deben realizar en la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI en adelante) pero, en la práctica, no es habitual su integración.

ESCENARIO NORMATIVO

Los requerimientos en materia de seguridad de la información están  especificados en el RGPD, principalmente, en su Artículo 32 – Seguridad del tratamiento:

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: …..

Este texto del RGPD podría ser perfectamente asimilable a una declaración de objetivos de un SGSI cuyo alcance estuviera delimitado por los tratamientos de datos personales de una organización. Ahora bien, el RGPD y la LOPDGDD no contienen internamente  un conjunto de medidas concretas aplicables, aspecto que sí contempla el Esquema Nacional de Seguridad (ENS) en su anexo II, compartiendo RGPD-LOPDGDD y ENS las dimensiones básicas de seguridad (confidencialidad, integridad, disponibilidad-resiliencia).

Para este artículo voy a centrarme en el ENS dado que la LOPDGDD (Disposición adicional primera) sí menciona este marco normativo de forma explícita como referente en cuanto a las medidas de seguridad a aplicar, tanto en el sector público (AAPP en adelante) como en las entidades del sector privado que proveen productos y servicios al sector público en los que existen tratamientos de datos personales.

A su vez el ENS, en su Artículo 3 – Sistemas de información que traten datos personales hace una mención explícita al necesario cumplimiento de lo dispuesto en el RGPD y LOPDGDD, realizando los pertinentes análisis de riesgos y, en su caso, las evaluaciones de impacto sobre protección de datos, determinando la prioridad de las medidas resultantes de estas actividades sobre las que hubieran sido determinadas en las valoraciones propias del ENS.

Continuar Leyendo…

Renato Aquilino "ENS Continuidad" Revista Tecnología y Sentido Común #TYSC

Renato Aquilino

Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad