ISO/IEC 27018 - Privacidad y Cloud Computing

La computación en la nube o Cloud Computing es un factor que puede ayudar a cualquier organización en su estrategia T.I. , reduciendo costos de implementación y proporcionando nuevas capacidades para un despliegue ágil de T.I. en beneficio de los objetivos del negocio.

La privacidad y protección de datos personales proporciona un equilibrio entre lo que las organizaciones pueden hacer (porque tienen la capacidad de hacerlo) y lo que no deben hacer (porque estarían violando una Ley o Regulación de obligatorio cumplimiento y recibiendo una sanción por ello), específicamente en lo referido al daño o impacto negativo que afecta al dueño o titular de datos personales (PII Principal) como resultado de un "tratamiento" o uso (procesamiento) de esa información personal que lo identifica (Datos Personales o PII).

Articular ambas ideas puede no ser una labor simple o clara, pero un mecanismo eficiente para hacerlo es utilizar un enfoque basado en riesgos, tanto riesgos a la privacidad de las personas y los objetivos de la organización, como para un análisis de impacto en la privacidad (Privacy Impact Assessment - PIA) para las acciones, proyectos, sistemas, procesos u otras decisiones de la organización pero desde las etapas iniciales de diseño (enfoque de privacidad por diseño).

Este enfoque basado en riesgo es fundamental para entender el aporte de valor de ISO/IEC 27018, toda vez que nos sirve para entender la utilidad de implementar controles adecuados, necesarios y pertinentes para abordar el tema de privacidad en cloud computing, donde al ser un servicio bajo contrato, tanto desde el lado del proveedor (Cloud Service provider) o del cliente (Cloud Service Customer) se puede entender como una encargatura o servicio por encargo, donde el cloud asume el rol de encargado de tratamiento (PII processor), es decir el que procesa la información que incluye datos personales en el marco del contrato suscrito.

Pero un control no existe por si solo, sino que un control tendrá una razón de existir o ser seleccionado para implementarse, cuando se asocia directamente al tratamiento de uno o mas riesgos específicos, toda vez que el control sirve para modificar dicho riesgo (o riesgos) ya sea modificando su probabilidad de ocurrencia o su consecuencia, pero la forma, extensión y profundidad dependerán proporcionalmente del riesgo al que impactan directamente.

Sin embargo, ISO/IEC 27018 no es una norma aislada, de hecho a lo largo de sus 18 clausulas, hace recomendaciones adicionales a controles que ya han sido presentados en ISO/IEC 27002, por lo que no repite controles sino brinda orientación adicional en un conjunto de controles sobre como orientar el control para abordar la privacidad, de hecho en eso mantiene un alineamiento estricto en sus clausulas de la 5 a la 18 con el clausulado de ISO/IEC 27002.

Adicionalmente incorpora un Anexo A, donde presenta un conjunto de controles adicionales (que no están en ISO/IEC 27002) específicamente en materia de privacidad, abordando por ejemplo aspectos como el borrado seguro de archivos temporales o la notificación de una brecha de seguridad que ha comprometido información de personas (datos personales), solo por citar algunos aspectos de control adicionales.

Sin duda una norma que no ha sido generada para ser utilizada como criterios de certificación, pero que aporta en sus recomendaciones un valor muy importante para las organizaciones que utilizan o proveen servicios de cloud computing.

Desde GTDI siempre comprometidos con la difusión y promoción de los estándares internacionales, hemos generado un seminario de bajo costo para los interesados en conocer esta interesante norma, puede ver la siguiente edición programada en : https://www.gtdi.pe/seminario_ISO_IEC_27018

Fuente : https://www.linkedin.com/pulse/isoiec-27018-privacidad-y-cloud-computing-carlos-a-horna-vallejos/

Programas de formacion relacionados :

Norma relacionada: 
ISO/IEC 29100
ISO/IEC 27000
ISO/IEC 27001

Protección de datos personales Gobernanza TI  SGSI - 27001