1 26 Table of Contents 28 84

Red Seguridad 081

red seguridad segundo trimestre 2018 27 protección de datos opinión La evaluación tomando como referencia el riesgo aceptable será el indicador que sirva para decidir si las medidas actuales de seguridad del tratamiento son suficientes 27001 y el Esquema Nacional de Seguridad, ENS (RD 3/2010 modifi- cado por el RD 951/2015), requieren de un análisis de riesgos de seguri- dad de la información. Por lo tanto, en una organización en la que deba implantarse el RGPD, el ENS y/o la norma ISO 27001, podrá realizarse un análisis de ries- gos conjunto, que sea el eje común a todo el marco regulatorio y que integre las amenazas de seguridad de la información con las asociadas a los tratamientos de datos persona- les para los derechos y libertades de las personas físicas. La propia herramienta de aná- lisis de riesgos PILAR (Programa Informático Lógico de Análisis de Riesgos, que implementa la meto- dología Magerit) ya incluye esta posi- bilidad. Además, en el caso de las admi- nistraciones públicas, el propio pro- yecto de Ley Orgánica Protección de Datos española menciona en su disposición adicional primera (Medidas de seguridad en el ámbi- to del sector público) que el ENS incluirá las medidas de seguridad de tratamiento, adaptando los cri- terios de determinación del riesgo en el tratamiento de los datos a lo establecido en el mencionado artículo 32 del Reglamento (UE) 2016/679. Esto refuerza el argu- mento para realizar un proceso de análisis de riesgos conjunto RGPD-ENS. Así, pues, una organización suje- ta a diferentes requisitos regulato- rios y estándares de seguridad (RGPD, ENS, ISO 27001) podría seguir el enfoque anteriormente descrito, desarrollando un proceso de análisis y gestión de riesgos en la seguridad y privacidad como eje común y punto de partida, y apro- vechando las sinergias y coinci- dencias entre las distintas normas y leyes aplicables, a modo de sim- plificar los esfuerzos tanto de implantación como de manteni- miento. Enfoque global del cumplimiento de los requisitos regulatorios de seguridad de la información y privacidad.

RkJQdWJsaXNoZXIy MzA3NDY=