Normalización Internacional busca frenar el robo de información personal

 

Por Clare Nade, 27 de noviembre del 2017

 

La privacidad ha tomado nuevas dimensiones en nuestro mundo hiperconectado. Nuevos lineamientos de la IEC, ISO e ITU – los tres cuerpos de normalización líderes en el mundo- han sido recién publicados, proporcionando un código de prácticas para la protección de información personal identificable.

 

Uber ha estado en titulares por su reacción al robo de información personal de 57 millones de conductores y usuarios. La brecha de julio del 2017de Equifax, la oficina más grande de créditos de Estados Unidos, expuso los números de seguridad social, fechas de nacimiento y direcciones de 143 millones de personas. Y el anterior mes, Yahoo, justo antes de su adquisición por el conglomerado de telecomunicaciones Verizon, compartió nueva investigación sobre la brecha de información en 2013, que aunque habría afectado sólo mil millones de usuarios, de echo habría comprometido las tres mil millones de cuentas de Yahoo.

El aumento de la frecuencia de brechas de información de altos perfiles, ha motivado a países alrededor del mundo a investigar reformas potenciales para políticas y regulaciones. Uno de los ejemplos más conocidos es la Regulación de la Protección de Información General de la Unión Europea (General Data Protection Regulation), a entrar en vigor en mayo del 2018, con implicaciones globales.

La necesidad de proteger información personal está creciendo en urgencia junto con la transformación digital de sectores como el de salud y servicios financieros. Cada vez más organizaciones procesan información personal, y todas ellas tratan con una cantidad de información en aumento.

ISO/IEC 29151 | ITU-T X.1058 proporciona un valioso punto de referencia a gobiernos e industrias, mientras las mismas intensifican sus ofertas de garantizar la protección de información personal. Esta establece los objetivos de los controles de la protección de información, especifica los controles requeridos y proporciona lineamientos para su implementación. También muestra como acuerdos de estos controles pueden coincidir con los requerimientos identificados por las evaluaciones de riesgos e impacto de organizaciones relevantes para la protección de información personal.

La norma se basa en la ISO/IEC 27002 (Código de prácticas para los controles de seguridad de la información), con lineamientos adicionales específicos para la protección de información personal. Los ejemplos incluyen propuestas de estructuras gubernamentales para el manejo de información personal de los empleados, emparejados con llamados a la colaboración eficiente con equipos legales para interpretar regulaciones y leyes relevantes.

Adicionalmente, un anexo integral a la ISO/IEC 29151|ITU-T X.1058 proporciona un conjunto extendido de controles de información personal, incluyendo controles objetivos respecto al “consentimiento y elección” y la “participación de directores de información personal” relacionados, es decir, las personas con quienes se puede identificar la información. Esto busca la “legitimidad del propósito” de proporcionar lineamientos al respecto de si es apropiada o no la retención de información personal y alienta la búsqueda de una “limitación de la colección” y “minimización de datos”, como también la “transparencia y sinceridad” de las políticas de la organización respecto a la información personal.

La ISO/IEC 29151|ITU-T X.1058 fue desarrollada en colaboración con la ISO/IEC JTC 1/SC 27, grupo experto para técnicas de seguridad de la ISO/IEC, y el ITU-T Study Group 17, responsable de construir confianza y seguridad en el uso de tecnologías de la información y comunicación.

La ISO/IEC 29151 puede ser comprada de la tienda de la ISO o de su miembro nacional de la ISO o IEC.

Está aquí: Home News and Events Normalización Internacional busca frenar el robo de información personal