domingo, 17 de mayo de 2009
miércoles, 13 de mayo de 2009
Recomendaciones de la Agencia de Protección de Datos de la Comunidad de Madrid durante el 2008
La Agencia de Protección de Datos de la Comunidad de Madrid, al igual que la Agencia Estatal, encuentran entren sus funciones la de dictar instrucciones y recomendaciones de adecuación de los tratamientos de protección de datos, así como en materia de seguridad y de control de acceso a ficheros.
Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores
Productos recomendados
Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes.
Resumen:
Desde la publicación de la Ley 8/2001 de Protección de Datos de la Comunidad de Madrid, se han ido publicando diversas recomendaciones a partir del año 2004 acerca de distintos sectores y tratamientos, como los de salud, custodia y archivo, utilización y tratamiento del padrón municipal, historias clínicas no informatizadas, etc.
Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas
A través del presente artículo vamos comentar las tres recomendaciones dictadas por la Agencia de Protección de Datos de la Comunidad de Madrid durante el año 2008, si bien desarrollaremos la Recomendación 2/2008, para en siguientes artículos desarrollar las otras dos recomendaciones:
- Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
- Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
- Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
Esta recomendación nace tras la inspección sectorial que llevó a cabo la Agencia de Protección de Datos de la Comunidad de Madrid a 12 organismos locales y regionales de Servicios Sociales de la Comunidad de Madrid, destacando la sensibilidad de la mayoría de estos ficheros, al recabar éstos datos de salud como el grado de minusvalía.
Con la redacción de la presente recomendación se intenta dar respuesta a la mayoría de preguntas realizadas por estos órganos y facilitar con ello, el cumplimiento de la normativa de protección de datos personales 15/99, así como el nuevo Reglamento de desarrollo 1720/2007, destacando que ésta es la primera norma que recoge supuestos específicos del Nuevo Reglamento.
Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
Cabe destacar de esta recomendación, al igual que en la anterior, la aplicación del nuevo Reglamento 1720/2007, pero sobretodo la longitud del texto, que en ningún caso es imperativo legal sino sólo programático, ya que incluye un apartado específico de supuestos concretos de publicación en Boletines y Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos y telemáticos administrativos, lo que hace que el texto de la presente recomendación sea de especial interés y ante todo práctico.
Si bien el título de la recomendación hace expresa mención a la publicación de Boletines y Diarios en Internet, la aplicación de la recomendación da un paso más y comprende, de igual forma, la publicación de datos personales realizada a través de soportes físicos en cualquier formato, constitutivos de impresiones, ediciones, reproducciones, etc., siempre y cuando éstos y/o los electrónicos sean publicados por la Asamblea de Madrid y de más instituciones y/u órganos de la Administración Pública de la Comunidad de Madrid.
Queremos resaltar algunos de los puntos más interesantes de la presente recomendación, si bien sugerimos al lector realice una lectura completa del texto.
- Serán los responsables del tratamiento las Administraciones Públicas u órganos administrativos que ordenen la inserción de textos en el Boletín o Diario Oficial.
- No será necesario el consentimiento previo del ciudadano afectado siempre y cuando la publicación se fundamente en uno de los supuestos admitidos por la Ley 30/92 —Régimen Jurídico de las Administraciones Públicas—, por una norma con rango de Ley, a una norma comunitaria o a la libre aceptación de una relación jurídica que implique necesariamente la publicación de los mismos. Para cualquier otro caso no recogido, se hará necesario el consentimiento previo del afectado.
- Siempre deberá respetarse el principio de calidad, el derecho de información en la recogida de datos y en la aplicación de las medidas de seguridad necesarias.
- Cuando no rija el principio de publicidad se facilitará el acceso individual del ciudadano, ya sea por área restringida, firma electrónica avanzada u otros medios.
- El acceso a los tablones de anuncios electrónicos deberá verificarse a través de consulta identificada del interesado, utilizando cualquiera de los medios expuestos en el punto anterior.
- Sólo se publicarán aquellos datos personales que sean imprescindibles para la finalidad pretendida.
- Se recomienda que no se publiquen datos de salud, vida sexual, fines policiales, menores de edad, comisión de infracciones, personalidad del afectado y relacionados con el ejercicio tributario a no ser que haya una norma con rango de Ley o normativa comunitaria que haga habilitación expresa a la publicación de los mismos.
- Cuando la finalidad de la publicación sea meramente estadística o histórica se deberá disociar la información de carácter personal.
- La cancelación de datos sólo procederá cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- La cancelación de oficio no requerirán comunicación alguna al afectado.
- El bloqueo de datos deberá mantenerse mientras persista algún tipo de responsabilidad derivada.
-Los motores de búsqueda no deberán sobrepasar un periodo de 6 meses de conservación de los datos personales de los usuarios, ya sea por indexación automática como por obtención de búsqueda por datos personales.
- Se deberá permitir el ejercicio de derechos —acceso, rectificación, cancelación y oposición— de los afectados.
Estos son a grandes rasgos los puntos más importantes de la presente recomendación, si bien volvemos a incidir en la interesante redacción del texto, puesto que incluye supuestos concretos dándose respuesta a todos ellos:
http://www.madrid.org/cs/Satellite?blobcol=seccionpdf&blobheader=application%2Fpdf&blobkey=id&blobtable=CM_Seccion_BOCM&blobwhere=1142489423428&ssbinary=true
Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
La presente recomendación trata de concretar los principios y derechos de protección de datos a los servicios de Administración electrónica, en especial, lo referente a la política de privacidad, suscripción de noticias y servicios de alertas SMS, cookies, suscripción a bolsas de empleo, “chats” institucionales, procesos de participación electrónica y foros de opinión.
Resulta éste un texto muy interesante que resuelve dudas planteadas por diversos organismos de la Administración Pública de la Comunidad de Madrid, ofreciendo de esta forma un respaldo a la hora del tratamiento de datos de carácter personal.
Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores
Productos recomendados
Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes.
Resumen:
Desde la publicación de la Ley 8/2001 de Protección de Datos de la Comunidad de Madrid, se han ido publicando diversas recomendaciones a partir del año 2004 acerca de distintos sectores y tratamientos, como los de salud, custodia y archivo, utilización y tratamiento del padrón municipal, historias clínicas no informatizadas, etc.
Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas
A través del presente artículo vamos comentar las tres recomendaciones dictadas por la Agencia de Protección de Datos de la Comunidad de Madrid durante el año 2008, si bien desarrollaremos la Recomendación 2/2008, para en siguientes artículos desarrollar las otras dos recomendaciones:
- Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
- Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
- Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
Esta recomendación nace tras la inspección sectorial que llevó a cabo la Agencia de Protección de Datos de la Comunidad de Madrid a 12 organismos locales y regionales de Servicios Sociales de la Comunidad de Madrid, destacando la sensibilidad de la mayoría de estos ficheros, al recabar éstos datos de salud como el grado de minusvalía.
Con la redacción de la presente recomendación se intenta dar respuesta a la mayoría de preguntas realizadas por estos órganos y facilitar con ello, el cumplimiento de la normativa de protección de datos personales 15/99, así como el nuevo Reglamento de desarrollo 1720/2007, destacando que ésta es la primera norma que recoge supuestos específicos del Nuevo Reglamento.
Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
Cabe destacar de esta recomendación, al igual que en la anterior, la aplicación del nuevo Reglamento 1720/2007, pero sobretodo la longitud del texto, que en ningún caso es imperativo legal sino sólo programático, ya que incluye un apartado específico de supuestos concretos de publicación en Boletines y Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos y telemáticos administrativos, lo que hace que el texto de la presente recomendación sea de especial interés y ante todo práctico.
Si bien el título de la recomendación hace expresa mención a la publicación de Boletines y Diarios en Internet, la aplicación de la recomendación da un paso más y comprende, de igual forma, la publicación de datos personales realizada a través de soportes físicos en cualquier formato, constitutivos de impresiones, ediciones, reproducciones, etc., siempre y cuando éstos y/o los electrónicos sean publicados por la Asamblea de Madrid y de más instituciones y/u órganos de la Administración Pública de la Comunidad de Madrid.
Queremos resaltar algunos de los puntos más interesantes de la presente recomendación, si bien sugerimos al lector realice una lectura completa del texto.
- Serán los responsables del tratamiento las Administraciones Públicas u órganos administrativos que ordenen la inserción de textos en el Boletín o Diario Oficial.
- No será necesario el consentimiento previo del ciudadano afectado siempre y cuando la publicación se fundamente en uno de los supuestos admitidos por la Ley 30/92 —Régimen Jurídico de las Administraciones Públicas—, por una norma con rango de Ley, a una norma comunitaria o a la libre aceptación de una relación jurídica que implique necesariamente la publicación de los mismos. Para cualquier otro caso no recogido, se hará necesario el consentimiento previo del afectado.
- Siempre deberá respetarse el principio de calidad, el derecho de información en la recogida de datos y en la aplicación de las medidas de seguridad necesarias.
- Cuando no rija el principio de publicidad se facilitará el acceso individual del ciudadano, ya sea por área restringida, firma electrónica avanzada u otros medios.
- El acceso a los tablones de anuncios electrónicos deberá verificarse a través de consulta identificada del interesado, utilizando cualquiera de los medios expuestos en el punto anterior.
- Sólo se publicarán aquellos datos personales que sean imprescindibles para la finalidad pretendida.
- Se recomienda que no se publiquen datos de salud, vida sexual, fines policiales, menores de edad, comisión de infracciones, personalidad del afectado y relacionados con el ejercicio tributario a no ser que haya una norma con rango de Ley o normativa comunitaria que haga habilitación expresa a la publicación de los mismos.
- Cuando la finalidad de la publicación sea meramente estadística o histórica se deberá disociar la información de carácter personal.
- La cancelación de datos sólo procederá cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- La cancelación de oficio no requerirán comunicación alguna al afectado.
- El bloqueo de datos deberá mantenerse mientras persista algún tipo de responsabilidad derivada.
-Los motores de búsqueda no deberán sobrepasar un periodo de 6 meses de conservación de los datos personales de los usuarios, ya sea por indexación automática como por obtención de búsqueda por datos personales.
- Se deberá permitir el ejercicio de derechos —acceso, rectificación, cancelación y oposición— de los afectados.
Estos son a grandes rasgos los puntos más importantes de la presente recomendación, si bien volvemos a incidir en la interesante redacción del texto, puesto que incluye supuestos concretos dándose respuesta a todos ellos:
http://www.madrid.org/cs/Satellite?blobcol=seccionpdf&blobheader=application%2Fpdf&blobkey=id&blobtable=CM_Seccion_BOCM&blobwhere=1142489423428&ssbinary=true
Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
La presente recomendación trata de concretar los principios y derechos de protección de datos a los servicios de Administración electrónica, en especial, lo referente a la política de privacidad, suscripción de noticias y servicios de alertas SMS, cookies, suscripción a bolsas de empleo, “chats” institucionales, procesos de participación electrónica y foros de opinión.
Resulta éste un texto muy interesante que resuelve dudas planteadas por diversos organismos de la Administración Pública de la Comunidad de Madrid, ofreciendo de esta forma un respaldo a la hora del tratamiento de datos de carácter personal.
martes, 31 de marzo de 2009
ISO 27001: ¿Hacia un cumplimiento obligatorio?
Autor: Manuel Díaz San Pedro
Gestión de la calidad
06-02-2009
Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación.
Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001.
Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.
Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada.
En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano.
Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.
Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar.
Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere.
Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc.
La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas.
Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo.
Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados.
Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información.
Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre.
Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.
Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información.
Manuel Díaz San Pedro
Consultor de Seguridad.
www.audea.com
Aportado por: Elena Ortega de Nicolás
comunicacionarrobaaudea.com
Gestión de la calidad
06-02-2009
Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación.
Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001.
Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.
Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada.
En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano.
Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.
Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar.
Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere.
Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc.
La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas.
Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo.
Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados.
Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información.
Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre.
Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.
Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información.
Manuel Díaz San Pedro
Consultor de Seguridad.
www.audea.com
Aportado por: Elena Ortega de Nicolás
comunicacionarrobaaudea.com
Suscribirse a:
Entradas (Atom)
