AENOR

20

NUEVOS
DESAFÍOS

TIC ISO/IEC 27018

La Norma ISO/IEC 27018 permite a los proveedores de nube pública evaluar riesgos e implementar
controles para la protección de los datos personales almacenados. Este documento incluye la priva-
cidad en el modelo ISO para el gobierno de las TIC, que se suma a la calidad aportada por la Norma
UNE-ISO/IEC 20000 y a la seguridad según las UNE-ISO/IEC 27001 e UNE-ISO/IEC 27002. Es el primer
estándar internacional sobre privacidad en la nube.

Privacidad
elevada
a la nube
E
Carlos l almacenamiento de informa- medidas que sirvan para que el titu- prestar atención a los términos y con-
Manuel ción en la nube ha dejado de lar de dichos datos tenga constancia diciones del servicio.
Fernández
Gerente TIC ser algo desconocido para mu- de que su derecho fundamental a la En este marco, en 2014 la Organi-
AENOR chas organizaciones, tanto del sec- protección de su información es tam- zación Internacional de Normalización
tor público como del privado. Su uso bién uno de los objetivos estratégicos (ISO) y la Comisión Electrotécnica In-
Miguel Recio
Socio-Director
constituye un ejercicio de responsabi- de la organización. Además, esta ges- ternacional (IEC) publicaron la Norma
Global Data lidad, tanto para proveedores como tión es necesaria para mitigar el ries- ISO/IEC 27018:2014 Tecnología de la
Protection clientes de este servicio, en cuanto al go que implica todo tratamiento de información. Técnicas de seguridad.
Consulting cumplimiento en materia de protec- datos personales. Y cuando este trata- Código de práctica para la protección
ción de datos personales o privacidad miento se lleva a cabo en la nube pú- de información personal identificable
y seguridad, sin perjuicio de tener que blica, se plantea la necesidad de que (IPI) en nubes públicas que actúan co-
garantizar también la confidencialidad el cliente de dichos servicios actúe de mo encargados del tratamiento. Se tra-
y seguridad de cualquier otro tipo de manera responsable, tanto desde el ta de una norma fundamental que se
información. Incluso, en algunos ca- punto de vista de la responsabilidad suma a otras sobre seguridad, como la
sos, el uso de la nube puede ayudar corporativa como del principio de res- UNE-ISO/IEC 27001:2014 Tecnología
a alcanzar dicho cumplimiento. ponsabilidad (accountability) en pro- de la información. Técnicas de seguri-
Una gestión adecuada de los acti- tección de datos ante todas las partes dad. Sistemas de Gestión de Seguri-
vos de la organización, especialmen- interesadas. Es decir, elegir un pro- dad de la Información. Requisitos. Ade-
te en lo que se refiere a los datos per- veedor de servicios de nube es una más, están trabajando en el desarrollo
sonales, debe implicar la adopción de decisión responsable que requiere de la ISO/IEC DIS 27017 Information
 AENOR
21

technology — Security techniques — La ISO/IEC 27018 se basa fundamentalmente en leyes

Code of practice for information secu-
rity controls based on ISO/IEC 27002 y regulaciones emitidas en la Unión Europea
for cloud services, cuyo objeto es pro-
porcionar una guía adicional para la
implementación de controles relevan- en marcha una iniciativa europea de con normas como la UNE-ISO/IEC
tes de la ISO/IEC 27002 y también al- computación en nube1 e incluso al 27001:2014, que proporciona un sis-
gunos adicionales específicos para los todavía futuro Reglamento General tema flexible para establecer un Sis-
servicios de nube. de Protección de Datos2. temas de Gestión de Seguridad de
Desde el punto de vista de protec- la Información (SGSI) que permita
Código de buenas prácticas ción de datos, la ISO/IEC 27018 se ba- identificar riesgos generales y elegir
La ISO/IEC 27018 es el primer están- sa en un esquema en el que el cliente los controles que hay que aplicar. Pe-
dar internacional sobre privacidad en del servicio es el responsable del trata- ro en la gobernanza de TI y responsa-
la nube. Esta norma se basa, funda- miento, es decir, quien decide sobre el bilidad del tratamiento de datos perso-
mentalmente, en leyes y regulacio- tratamiento de los datos; y el provee- nales, la privacidad seguía siendo una
nes emitidas en la Unión Europea. En dor es el encargado del tratamiento y incógnita al no haber parámetros in-
este sentido, es importante tener en debe tratar dichos datos siguiendo las ternacionalmente reconocidos.
cuenta que la ISO/IEC 27018 puede instrucciones del cliente (ver gráfico 1). Con la ISO/IEC 27018 el panora-
ser tanto un estándar como un códi- ma cambia sustancialmente, ya que
go de buenas prácticas para el pro- Proceso tratamiento ahora los clientes de servicios de nu-
veedor de servicios de nube pública, de datos be, las autoridades de protección de
según el caso, y que su publicación Hasta ahora, los proveedores de es- datos y otras autoridades reguladoras
se ha adelantado a anuncios como tos servicios sólo podían certificarse en pueden saber si el proveedor de es-
el de la Comisión Europea de poner el ámbito de la seguridad de acuerdo tos servicios ha adoptado medidas en
AENOR
22
LOS DATOS

Gráfico 1
Proceso de tratamiento de datos
sobre utilización de servicios en la
nube4 hace referencia a la ISO/IEC
27001, de manera que las normas o
Trata datos estándares citados reforzarán los con-
PROVEEDOR personales por cuenta troles. También permitirán supervisar
Encargado del responsable el cumplimiento del proveedor de ser-
del tratamiento (siguiendo sus
instrucciones) vicios basándose en las auditorías que
terceros hagan sobre el mismo, so-
bre la base de las ISO/IEC 27018 y la
DATOS 27017, cuando sea publicada.

Privacidad, seguridad y
gobierno de TI
Un buen modelo de gobierno de TI
no está completo sin una norma so-
bre protección de datos personales. En
la actualidad, casi todas las organiza-
Decide sobre el CLIENTE
tratamiento de los Responsable ciones tratan datos personales y, con
datos personales del tratamiento independencia de cuál sea la estadís-
tica que se considere, cada vez más
lo hacen en la nube. Ante esta reali-
dad, la ISO/IEC 27018 constituye una
herramienta clave. En el caso de pro-
veedores de servicios de nube públi-
ca que estén certificados con la Nor-
ma ISO/IEC 27001, la ISO/IEC 27018
ISO/IEC 27018 aporta un conjunto complementario
de controles sobre privacidad. Es de-
NUEVOS cir, sirve también para identificar a pro-
DESAFÍOS veedores de nube pública que tienen

TIC materia de protección de datos perso-

nales que son, además, auditables y
un buen gobierno de TI.
Así, el modelo ISO en TIC referi-
do a la nube pública incorpora la ca-
verificables por terceros independien- lidad (Norma UNE-ISO/IEC 20000),
tes. Asimismo, les ayuda con el cum- seguridad (Normas UNE-ISO/IEC
plimiento de sus obligaciones en ma- 27001 e ISO/IEC 27002) y privaci-
teria de protección de datos persona- dad (Norma ISO/IEC 27018). Y per-
les, lo que puede convertirse en una mite que cualquier organización se
ventaja competitiva. beneficie de los factores críticos de
Hay que subrayar que desde el éxito a los que da lugar este mode- los objetivos de negocio) a cualquier
punto de vista de protección de da- lo5. Esto es, está orientado a los ob- nueva tecnología, negocio o servicio;
tos personales, en concreto de la Ley jetivos de negocio, ya sean nuevos incorpora la calidad y la seguridad en
Orgánica 15/1999, de 13 de diciem- proyectos o servicios; consta de dos los servicios y proyectos; contempla
bre, de Protección de Datos (LOPD), la elementos primordiales que son el indicadores (objetivo de la métrica) y
ISO/IEC 27018 permite aclarar y refor- ciclo PDCA (motor orientado a la métricas orientadas al negocio en el
zar las obligaciones exigibles al clien- mejora continua) y el control inter- mundo de las TIC; y cualquier pro-
te de servicios, al responsable del tra- no de tecnologías de la información yecto de innovación se puede incor-
tamiento y al proveedor de servicios. (conocimiento); la simplicidad del ci- porar en este modelo.
Asimismo, el Esquema Nacional de Se- clo PDCA orientado a los objetivos AENOR impulsa este modelo a tra-
guridad3 puede beneficiarse tanto de de negocio facilita la labor de ges- vés de las correspondientes certifica-
la ISO/IEC 27018 y la futura ISO/IEC tión y gobierno en las TIC; consiste en ciones que contribuyen a que las em-
27017. En este sentido, la Guía de Se- aplicar el control interno de tecnolo- presas sean más competitivas. En el
guridad de las TIC (CCN-STIC-823) gías de la información (considerando caso de la nube pública, y a través de
 AENOR
23

Gráfico 2
Modelo ISO en TIC

Gobierno de TI
(UNE-ISO/IEC 38500)
GOBIERNO

UNE-ISO/IEC 20000
Sistema de gestión de los
servicios de tecnologías de
la información (SGSTI)
GESTIÓN

UNE-ISO/IEC 27001 ISO/IEC 27018

Sistema de gestión de la Código de práctica para
seguridad de la información la protección de datos
(SGSI) personales en la nube pública

la Norma ISO/IEC 27018, facilita que o privacidad, y seguridad. Además, limitación del uso de datos persona-
proveedores y clientes de este servicio le facilita la demostración de respon- les por parte del proveedor, que no
puedan satisfacer la necesidad de un sabilidad (accountability) en la adop- podrá utilizarlos con fines de publici-
alto nivel de protección de datos per- ción de medidas y en el desempe- dad o marketing a menos que esté
sonales. Actualmente, AENOR ha cer- ño de sus funciones como encarga- autorizado expresamente.
tificado cerca de 300 organizaciones do del tratamiento, y facilita al cliente Por último, las autoridades de pro-
con la Norma UNE-ISO/IEC 27001 y la prueba necesaria de que ha sido tección de datos y otras autoridades
120 según la UNE-ISO/IEC 20000-1. auditado de manera independiente reguladoras podrán obtener fácilmen-
y periódicamente. te garantías de cumplimiento en caso
Ventajas de la Norma En cuanto al cliente, hace posible de que sea necesario; podrán conside-
ISO/IEC 27018 que controle el tratamiento de los da- rar la Norma ISO/IEC 27018 y otros
Esta norma requiere que el provee- tos personales que ha encomenda- estándares como una medida proac-
dor sea transparente en los térmi- do al proveedor, pudiendo incorpo- tiva por quienes están sujetos al cum-
nos y condiciones de sus servicios, y rar como parte del contrato o cláu- plimiento, ya sea el responsable o el
en las prácticas de negocio que lle- sulas contractuales los compromisos encargado del tratamiento. Asimismo,
va a cabo; y demuestre compromiso de dicho proveedor en virtud de la les servirá de marco de referencia para
con el cliente para ayudarle a cum- ISO/IEC 27018 y sabiendo qué in- impulsar buenas prácticas y esquemas
plir con las leyes y regulaciones so- formación tiene que solicitarle. Ade- de autorregulación en materia de pro-
bre protección de datos personales más, tendrá garantías adicionales de tección de datos personales. ◗

NOTAS
(1)
Al respecto, puede verse el comunicado de prensa de la Comisión Europea sobre “Un mercado único digital para Europa: la Comisión establece 16 iniciativas para con-
seguirlo” (IP/15/4919), Bruselas, 6 de mayo de 2015. Disponible en http://europa.eu/rapid/press-release_IP-15-4919_es.htm
(2)
Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos (Reglamento general de protección de datos), COM(2012) 11 final, Bruselas, 25 de enero de 2012. Disponible en http://eur-lex.europa.
eu/legal-content/ES/TXT/PDF/?uri=CELEX:52012PC0011&qid=1431769787169&from=ES
(3)
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de Administración Electrónica. Disponible en www.boe.es/
buscar/doc.php?id=BOE-A-2010-1330
(4)
Disponible en www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Esquema_Nacional_de_Seguridad/823-Seguridad-en-entornos-cloud/823-Cloud_Computing_ENS.pdf
(5)
Véase FERNÁNDEZ SÁNCHEZ, Carlos Manuel y PIATTINI VELTHIUS, Mario (coords.) (2012), Modelo para el gobierno de las TIC basado en las normas ISO, España. Pág. 18.