Español | English
rss facebook linkedin Twitter

Gestionar la seguridad, ¿con la LOPD y su Reglamento de Desarrollo es suficiente?

Por imperativo legal, muchas son las organizaciones que se han visto obligadas a adecuar su negocio y/o sus servicios a la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, LOPD) con objeto de “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”.

En la sociedad actual, donde la información se almacena en bases de datos y se intercambia en gran medida mediante sistemas de telecomunicaciones, velar por los derechos fundamentales que recoge la LOPD irremediablemente implica tomar medidas que afecten directamente a los sistemas de información. La cuestión es, ¿las directrices que pueden encontrarse en el RD 1720/2007 (por el que se aprueba el Reglamento de Desarrollo de la LOPD) son suficientes para una organización que desee gestionar la seguridad de sus sistemas de información o son sólo un principio? Si bien para algunas organizaciones el RD 1720/2007 puede ser suficiente, para aquellas organizaciones donde la seguridad de la información deba tener un peso específico, necesitarán de los estándares internacionales ISO 27000, o de un marco normativo equivalente. Para analizar el por qué, veamos la siguiente ilustración donde se tiene en cuenta el origen, finalidad, estructura y ámbito de estos documentos:



Como puede verse, la LOPD establece un marco legal para la protección de los derechos de las personas físicas frente al tratamiento de sus datos, mientras que los estándares ISO 27000 nacen con un objetivo más amplio, además de proteger los datos de carácter personal que toda organización almacena y gestiona, también quieren proteger cualquier otro tipo de información igualmente importante (diseños, topologías de red, balance y asignaciones presupuestarias, cuentas de resultados, objetivos de la compañía, reestructuraciones, futuras alianzas, etc.), a partir de la implantación de un sistema de gestión para la seguridad de la información.

A objetivos distintos, distintas perspectivas y distintos desarrollos. Así pues, nos encontramos con que:
  • Los estándares ISO 27000 establecen un marco para gestionar la seguridad en todos sus ámbitos: técnico, normativo, legal y regulatorio, lo que conlleva también el velar por la protección de los datos de carácter personal de acuerdo con las obligaciones impuestas por la LOPD.
  • El Reglamento de Desarrollo de la LOPD está formado por 158 artículos destinados a establecer unos requisitos mínimos de obligado cumplimiento comunes a todos, de los cuales únicamente 36 de ellos tratan sobre las medidas de seguridad en el tratamiento de datos de carácter personal, frente a los 133 controles empleados por el estándar ISO 27002, destinados a cubrir 39 objetivos de seguridad, pertenecientes a 11 dominios de actuación distintos. A esto hay que sumarle la existencia de otros estándares individuales (ver ilustración) cuyo objetivo final conjunto es dotar a las organizaciones de un sistema de gestión de la seguridad completo, orientado a cubrir sus necesidades, protegiéndola proporcionalmente a los riesgos que manifiesta.
Implantar la LOPD es sinónimo de cumplir con unos mínimos exigibles, mínimos que dotarán a una organización de unas medidas de seguridad básicas y de unos mecanismos que permitan la detección de problemas o irregularidades en la seguridad de los datos de carácter personal. En cambio, adecuar una organización a los estándares ISO 27000 no sólo permitirá el cumplimiento de la LOPD, sino ampliar el alcance en cuanto al tipo de información a proteger y dotar a la organización de unos mecanismos de seguridad diseñados con el objetivo de:
  • reaccionar frente a problemas de seguridad: mediante la gestión de incidencias,
  • detectar problemas de seguridad: mediante la configuración de alertas, revisiones periódicas y la notificación de incidencias, y
  • prevenir futuros problemas de seguridad: mediante el diseño de indicadores de seguridad,
donde los controles de seguridad se habrán implantado en función de la criticidad de la información que protegen, acompañados de un sistema que permita no sólo el análisis de la efectividad de los mismos, sino también de su eficiencia.

De acuerdo con lo expuesto, los principales cambios que supondrán para una organización que desee evolucionar las medidas de seguridad exigidas por la LOPD a un modelo como el recomendado en los estándares ISO 27000, se resumen en la siguiente ilustración:




Isabel Soler.
Área de Consultoría.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login