Adopción del RGPD Utilizando

COBIT® 5

Resumen
Este artículo técnico aborda los elementos clave del Reglamento General de Protección de Datos (RGPD), la importancia del
gobierno de la TI de la Empresa (GEIT) y el papel de COBIT® 5 en el establecimiento de un marco de gobierno, las conexiones
entre COBIT 5 y los requisitos de cumplimiento del RGPD, así como consejos y enseñanzas clave para los esfuerzos de
implementación del RGPD utilizando COBIT 5.
Introducción – El tiempo se agota para el RGPD
El 25 de mayo de 2018, fecha límite para el cumplimiento con el
Reglamento General de Protección de Datos (RGPD), se acerca
rápidamente; sin embargo, muchas compañías multinacionales
todavía están atrasadas en sus preparativos. Aprobada por el
Parlamento Europeo y el Consejo Europeo en abril de 2016, la
reforma de Protección de Datos de la UE sustituye a la Directiva de
Protección de Datos, y es un reglamento general que obliga a las
organizaciones a cumplir con requisitos muy estrictos en materia
de protección de datos personales de los ciudadanos de la UE. Por
primera vez, este requisito también afecta a las compañías con sede
fuera de Europa que hacen negocios en Europa. Este cumplimiento
afectará a los equipos de seguridad y privacidad que manejan
información personalmente identificable (PII), incluyendo información
básica de identidad; direcciones (incluyendo direcciones de internet);
e información médica, biométrica, étnica, política o sexual. Es un
desarrollo importante que las empresas deben abordar.
¿Por qué el RGPD es diferente? Los requisitos para proteger
la información personal no son nuevos, pero han crecido
significativamente con la explosión de la computación y el
almacenamiento en la nube. La nube, la seguridad y el cumplimiento
son las principales áreas de interés dentro del RGPD. Desde una
perspectiva normativa, este tipo de implementación no es nada
nuevo. Hasta la fecha, el mundo ha visto las directivas de privacidad
de la UE, la Ley de Transferencia y Responsabilidad de Seguro
Médico (HIPAA) de EE.UU., el Puerto Seguro, la Ley Gramm-Leach-
Bliley (GLBA) de EE.UU., la Ley Patriota de EE.UU., y muchas otras.
En los últimos años, las autoridades de protección de datos de la UE
se han vuelto mucho más activas a raíz de algunos acontecimientos
importantes relacionados con la privacidad. El RGPD es mucho más
agresivo que los requisitos anteriores, con consecuencias más duras
por quiebras de seguridad. Sin embargo, el lenguaje del RGPD deja
espacio para la interpretación: Utiliza el término "razonable" en su
definición del nivel de protección requerido con respecto a los datos
personales, pero no define qué significa "razonable" en realidad. Esto
ofrece al órgano rector del RGPD un amplio margen de maniobra a la
hora de evaluar las multas por incumplimiento.
En resumidas cuentas: no importa dónde se encuentre una empresa.
Si la empresa aloja información privada sobre un ciudadano de la
UE, es responsable de la protección de dichos datos. Esto tendrá
un efecto drástico en la forma en que las empresas mantienen,
almacenan y utilizan los datos de clientes, empleados, proveedores o
cualquier otra persona. Está obligando a muchas empresas de fuera
de la UE a replantearse su estrategia en el mercado europeo, por
los siguientes motivos: cualquier compañía que almacene o procese
información personal de ciudadanos de la UE debe cumplir con
estos requisitos. Entre los criterios específicos que desencadenan
el cumplimiento se incluyen los siguientes: 1) La presencia física de
una empresa en la UE, o 2) El tratamiento de datos personales de
residentes de la UE por parte de una empresa, aunque ésta no tenga
presencia física en la UE.
Adopción del RGPD Utilizando COBIT® 5 // 2
Elementos clave del RGPD
La legislación del RGPD tiene numerosas facetas, y muchas
organizaciones al inicio podrían sentirse abrumadas con los
requisitos. Sin embargo, una vez que se desglosa en sus elementos
básicos, es posible ver los bloques constitutivos que finalmente
formarán el plan general del proyecto. El RGPD bosqueja los
principios clave relacionados con el tratamiento de datos personales.
Éstos se pueden considerar como el nivel más alto en la taxonomía
de los requisitos. Pueden desglosarse y correlacionarse con las
prácticas actuales de la empresa para paliar el impacto de la
magnitud de la legislación.
Estos son los principios1 clave del RGPD que se aplican al tratamiento
de datos personales:
• Licitud, lealtad y transparencia. Los datos personales se deben
tratar de forma lícita, leal y transparente en relación con el
interesado.
• Limitación de la finalidad. Los datos personales se deben recoger
para fines determinados, explícitos y legítimos, y no tratarse
ulteriormente de manera incompatible con dichos fines.
Gobierno de las TI de la Empresa y principios COBIT
Para las empresas que ya cuentan con una estructura de gobierno
sólida, la batalla del cumplimiento podría estar medio ganada.
Para aquellas sin una estructura formal establecida, el RGPD
acaba de convertirse en uno de los principales impulsores para su
adopción. Los marcos de gobierno son buenas prácticas diseñadas
para ser adaptables al entorno específico en el que operan y,
generalmente, resisten la prueba del tiempo; es decir, son aplicables
independientemente del entorno externo cambiante y de los cambios
en las tecnologías. Los buenos marcos de gobierno definen un
lenguaje común, proporcionan un enfoque empresarial preciso y
ayudan a satisfacer los requisitos de cumplimiento y normativos al
proporcionar métodos repetibles. Y lo más importante, los marcos de
gobierno se enfocan en proporcionar valor a las partes interesadas
de la empresa al garantizar la entrega de beneficios, mientras se
optimizan los riesgos y los recursos. A pesar de que actualmente
existen innumerables marcos en el mercado aplicables a la asistencia
con el cumplimiento del RGPD, uno de ellos destaca como una
herramienta apropiada y útil: COBIT.
1 Artículo 5, Reglamento General de Protección de Datos—Principios relativos al tratamiento, http://www.privacy-regulation.eu/es/5.htm
• Minimización de datos. Los datos personales deben ser
adecuados, pertinentes y limitados a lo necesario en relación con
los fines para los que se tratan.
• Exactitud. Los datos personales deben ser exactos, y si fuera
necesario, mantenerse actualizados; deben adoptarse todas las
medidas razonables para garantizar que los datos personales
inexactos, con respecto a los fines para los que se estén tratando,
se eliminen o rectifiquen sin demora.
• Limitación de almacenamiento. Los datos personales se deben
mantener en una forma que permita la identificación de los
interesados durante un período no superior al necesario para los
fines para los que los datos personales se estén tratando.
• Integridad y confidencialidad. Los datos personales se deben
tratar de manera que se les garantice una seguridad adecuada,
incluyendo la protección contra el tratamiento no autorizado
o ilícito y contra su pérdida, destrucción o daño accidental,
utilizando las medidas técnicas u organizativas adecuadas.
• Responsabilidad. El responsable de tratamiento será responsable
del cumplimiento del RGPD y deberá poder demostrarlo.
Aunque hoy en día el marco se conoce simplemente como
COBIT, sus orígenes se basan en la confidencialidad, integridad,
disponibilidad y aseguramiento de la información, de ahí el acrónimo
original de Objetivos de Control para la Información y Tecnología
relacionada. La versión más reciente, COBIT 5, se considera el único
marco empresarial que se enfoca en el gobierno y la gestión de las
TI empresariales (GEIT). Este modelo holístico, basado en principios,
es un instrumento idóneo para ayudar en la adopción de buenas
prácticas para soportar la meta empresarial de creación de valor
para sus partes interesadas. Su fortaleza es asegurar el logro de
beneficios, la optimización de riesgos y la optimización de recursos,
así como proporcionar un marco de gran alcance para gobernar y
gestionar los esfuerzos hacia el cumplimiento con el RGPD. La figura
1 ilustra los principios de COBIT 5 y su aplicabilidad de alto nivel al
éxito de la adopción del RGPD.
Una buena característica de COBIT 5 es que se puede aprovechar
como un marco para gestionar marcos. Esto significa que las
Adopción del RGPD Utilizando COBIT® 5 // 3
organizaciones pueden obtener una mejor visibilidad y control de
los diversos marcos, estándares y mejores prácticas que utilizan al
organizarlos bajo un modelo centralizado. Figura 1: Principios de COBIT 5

Aprovechar COBIT para lograr un cumplimiento no es nada nuevo.

De hecho, muchas organizaciones utilizaron con éxito el marco
para ayudar en la adopción de prácticas en apoyo a la legislación Satisfacción de
Sarbanes-Oxley de los EE.UU., por lo que también es adecuado para las Necesidades
ayudar con el RGPD. de
las Partes
Interesadas
Diferentes partes interesadas
tienen diferentes requisitos de
aseguramiento, y la cascada de
metas de COBIT valida la alineación
de las necesidades de las partes
interesadas con las prácticas y los

Habilitación de un
procesos específicos.

Enfoque Holístico COBIT cubre todas las funciones y

los procesos dentro de la empresa,
En el núcleo del marco se encuentran los catalizadores. En la cobertura y trata la información y las
integral de la tecnologías relacionadas como
figura 2 se ilustran catalizadores que son "factores que, individual y
empresa activos que necesitan tratarse
colectivamente, influyen sobre si algo funcionará o no".2 como cualquier otro activo por
todos los miembros de la empresa.
Los catalizadores se pueden considerar como los ingredientes de
un enfoque holístico para gobernar y administrar la información en
relación con los requisitos del RGPD. Las siguientes categorías de
catalizadores proporcionan una visión completa del enfoque de la COBIT se alinea con otros
empresa para adoptar las prácticas necesarias para satisfacer las estándares y marcos de referencia
Aplicación
necesidades de conformidad y desempeño: relevantes a un nivel alto y, por lo
de un marco
• Principios, políticas y marcos. Los comportamientos deseados tanto, puede servir como el marco
integrado único
de referencia global para la gestión
se traducen en una guía práctica y en los marcos flexibles que
y el gobierno de las TI de empresa.
gestionan las conexiones y las modificaciones a esos principios
y políticas. Las buenas prácticas incluyen el alcance y la validez,
las consecuencias del incumplimiento, los medios para manejar
las excepciones y las formas en que el cumplimiento se va a COBIT define un conjunto de
monitorizar y a medir. Habilitación componentes interactivos, o
de un Enfoque catalizadores, para soportar la
• Procesos. Un proceso es un conjunto organizado de prácticas y Holístico implementación de un sistema
actividades para lograr ciertos objetivos y producir un conjunto integral de gobierno y gestión.
de productos en aras de las metas generales de la empresa. El
modelo de referencia del proceso COBIT identifica 37 procesos
en cinco dominios (un dominio de gobierno y cuatro dominios de
gestión). Afortunadamente, hay una guía de catalizadores, COBIT COBIT hace una clara distinción
5: Procesos Catalizadores , que es un magnifico recurso. La entre gobierno y gestión, lo cual es
aplicabilidad al cumplimiento con el RGPD es significativa. Para clave para garantizar que se evalúan
diferenciar el
cada uno de los procesos, COBIT identifica lo siguiente: las necesidades, condiciones y
gobierno de la
opciones de las partes interesadas
gestión
para determinar los objetivos
empresariales equilibrados y
acordados que se pretenden lograr.

Fuente: ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de

Empresa, figura 2, EE.UU., 2012

2 ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, página 27, EE.UU., 2012

Adopción del RGPD Utilizando COBIT® 5 // 4

 FIGURA 2: Catalizadores de COBIT 5
Procesos
Principios, Políticas y Marcos
Información
Fuente: ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, figura 12, EE.UU., 2012
• Descripción y finalidad
• Metas relacionados con las TI y métricas asociadas
• Metas del proceso y métricas asociadas
• Prácticas de gobierno y gestión (la guía necesaria para alcanzar
las metas del proceso)
• Las actividades que apoyan cada práctica (la guía para lograr las
prácticas de gobierno y gestión)
• Matriz de asignación de responsabilidades Responsable,
Encargado, Consultado e Informado (RACI)
• Entradas y salidas a nivel práctico
• Orientación relacionada (otros marcos y estándares industriales
que se pueden consultar para obtener información más detallada)
Finalmente, las buenas prácticas de proceso incluyen el modelo
de referencia de procesos de COBIT 5, completado con prácticas,
actividades y referencias de la industria específicas para lograr la
finalidad del tratamiento. Los 37 procesos que conforman el modelo
de referencia del proceso se indican en la figura 3. Esta publicación
hará referencia a algunos procesos específicos en secciones
posteriores.
• Estructuras organizativas. Este catalizador con frecuencia es
el más fácil de identificar, pero el más difícil de documentar, y
supone mucho más que la mera creación de organigramas.
Incluye buenas prácticas, tales como entidades clave para la toma
de decisiones, alcance del control, nivel/delegación de autoridad,
principios operacionales y procedimientos de escalamiento en una
empresa.
Estructuras Cultura, Ética y
Organizativas Comportamiento
Servicios, Personas,
Infraestructuras y Habilidades y
Aplicaciones Competencias
• Cultura, ética y comportamiento. Con frecuencia subestimado
como un factor de éxito en las actividades de gobierno y gestión,
este catalizador se refiere al conjunto de comportamientos
individuales y colectivos en una empresa que apoyan la meta
general de proporcionar valor. Las buenas prácticas incluyen
comunicación, concienciación del comportamiento deseado,
incentivos, y reglas y normas.
• Información. Este catalizador se puede considerar el alma no
solo de COBIT, sino también del RGPD. Embebida en cualquier
organización, incluye toda la información producida y utilizada por
la empresa. La naturaleza de la información se puede comprender
mejor definiendo y aclarando sus propiedades, incluyendo toda
la información generada y tratada por los procesos empresariales
o de TI a lo largo del ciclo de vida de sus datos, desde la
información hasta el conocimiento y el valor. Se puede encontrar
una descripción más detallada del ciclo de vida y los atributos
clave de la información en COBIT 5: Información Catalizadora.
• Servicios, infraestructuras y aplicaciones. Este catalizador incluye
toda la tecnología que proporciona el tratamiento de información
y servicios. Las buenas prácticas incluyen reutilización, compra
vs. construcción, simplicidad, agilidad, apertura y, por supuesto,
marcos industriales adicionales para la gestión de servicios,
tales como la Biblioteca de Infraestructura de Tecnologías de
Información (ITIL®).
• Personas, habilidades y competencias. Se precisan personas
para la conclusión exitosa de las actividades y la toma de
Adopción del RGPD Utilizando COBIT® 5 // 5
FIGURA 3: Modelo de referencia DE PROCESOS DE COBIT 5

GOBIERNO GESTIÓN

Evaluar, Orientar y Alinear, Planificar y Construir, Adquirir e Entregar, dar Servicio y Supervisar, Evaluar y Valorar
Supervisar Organizar Implementar Soporte

EDM01 Asegurar el APO01 Gestionar el BAI01 Gestionar los DSS01 Gestionar las MEA01 Supervisar,
Establecimiento y Marco de Gestión Programas y Operaciones Evaluar y Valorar
el Mantenimiento de TI Proyectos Rendimiento y
del Marco de Conformidad
DSS02 Gestionar las
Gobierno
APO02 Gestionar la BAI02 Gestionar la Peticiones y los
Estrategia Definición de Incidentes del MEA02 Supervisar,
EDM02 Asegurar la Entrega Requisitos Servicio Evaluar y Valorar
de Beneficios el Sistema de
APO03 Gestionar la
BAI03 Control Interno
Arquitectura Gestionar la DSS03 Gestionar los
EDM03 Asegurar la Empresarial Identificación y la Problemas
Optimización del Construcción de MEA03 Supervisar,
Riesgo Soluciones Evaluar y Valorar
APO04 Gestionar la DSS04 Gestionar la
el Cumplimiento
Innovación Continuidad
BAI04 con los
EDM04 Asegurar la Gestionar la
Requisitos
Optimización de los Disponibilidad y DSS05
APO05 Gestionar el Gestionar los Externos
Recursos la Capacidad
Portafolio Servicios de
Seguridad
EDM05 Asegurar la APO06 Gestionar el
BAI05 Gestionar la
Transparencia Introducción DSS06
Presupuesto y los Gestionar los
hacia las Partes de Cambios
Costes Controles de
Interesadas Organizativos
los Procesos de
Negocio
APO07 Gestionar
BAI06 Gestionar los
los Recursos
Cambios
Humanos

APO08 BAI07 Gestionar la

Gestionar las
Aceptación del
Relaciones
Cambio y de la
Transición
APO09 Gestionar los
Acuerdos de
BAI08 Gestionar el
Servicio
Conocimiento

APO10 Gestionar los

BAI09 Gestionar los
Proveedores
Activos

APO11 Gestionar la
BAI10 Gestionar la
Calidad
Configuración

APO12 Gestionar el
Riesgo

APO13 Gestionar la
Seguridad

Fuente: ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, figura 16, EE.UU., 2012

Adopción del RGPD Utilizando COBIT® 5 // 6

 decisiones; por lo tanto, definir los roles y competencias correctos
es crucial para el éxito empresarial. Las buenas prácticas para
este catalizador incluyen la determinación de los requisitos de
habilidades objetivo para cada rol, que son diferentes para cada
nivel de habilidad y categoría.
Para cada catalizador, COBIT 5 identifica cuatro dimensiones
comunes que aportan profundidad. Éstas incluyen:
• Partes interesadas. Cada catalizador tiene partes interesadas que
desempeñan un rol o que tienen un interés en el catalizador. Hay
partes interesadas internas y externas.
• Metas. Cada catalizador tiene diversas metas, y el logro de
estas metas contribuye a la meta general de proporcionar valor.
Estas metas se clasifican como intrínsecas, contextuales y de
accesibilidad/seguridad.
• Ciclo de vida. Cada catalizador tiene un ciclo de vida que
abarca desde el inicio hasta la eliminación. Las fases incluyen
la planificación, el diseño, el desarrollo / la adquisición /
la implementación, el uso / la operación, la evaluación / la
monitorización y la actualización / la eliminación.
• Buenas prácticas. Cada catalizador puede tener definidas algunas
Cómo COBIT puede ayudar con el cumplimiento del RGPD
El RGPD contiene casi 100 artículos que definen los requisitos y
los derechos otorgados a los ciudadanos de la UE, la estructura de
cumplimiento y las sanciones por incumplimiento. Por supuesto, cada
organización necesita revisar el RGPD y determinar sus próximos
pasos específicos. En las siguientes secciones se bosquejan algunas
de las áreas clave de preocupación y el enfoque COBIT relevante.
Definición de Datos de Alto Riesgo y Evaluaciones
de Impacto
Las compañías deben realizar evaluaciones de impacto de la
protección de datos (EIPDs) cuando utilicen las nuevas tecnologías
para cualquier dato que se considere de alto riesgo para los derechos
y libertades de los ciudadanos de la UE. Estas evaluaciones también
deben describir cómo la compañía está abordando el riesgo a
través de actividades sistemáticas y extensas de tratamiento o
monitorización. Esto es similar a una evaluación de riesgos, que
evalúa el riesgo y las medidas establecidas para abordarlo. Estos son
los principales procesos COBIT que se deben considerar:
• EDM02 Asegurar la Entrega de Beneficios
• EDM03 Asegurar la Optimización del Riesgo
• APO11 Gestionar la Calidad
• APO12 Gestionar el Riesgo
buenas prácticas que apoyan el logro de las metas del catalizador.
Estos son ejemplos o sugerencias sobre la mejor forma de
implementar el catalizador. Pueden ser bien ejemplos específicos
de COBIT, o bien guías de otros estándares y marcos.
Como es evidente, aprovechar los catalizadores es una forma
estupenda no solo de gobernar y gestionar eficazmente las TI y la
información de la empresa, sino también de proporcionar un enfoque
razonable para determinar qué áreas considerar. Es importante
señalar que cada uno de estos catalizadores, aunque se describan
como temas separados, tiene un impacto importante en todos
los demás catalizadores. Por lo tanto, la creación de un marco de
gobierno equilibrado y detallado significa reconocer la interacción
entre estos ingredientes.
A continuación, se presenta una descripción más detallada de cada
catalizador y de la forma en que puede ayudar a organizar una
campaña de cumplimiento del RGPD. Se incluye una breve definición
de estos catalizadores. Se pueden encontrar más detalles sobre los
catalizadores en COBIT 5: Un Marco de Negocio para el Control y
la Gestión de las TI de la Empresa. Se indican todas las referencias
adicionales.
• APO13 Gestionar la Seguridad
• DSS05 Gestionar los Servicios de Seguridad
• DSS06 Gestionar los Controles de los Procesos de Negocio
Protección, Tratamiento y Almacenamiento de
Datos personales
Para cada persona, todos los datos personales deben tratarse de
forma transparente y únicamente con la finalidad especificada. Las
compañías deben proporcionar un nivel "razonable" de protección de
los datos y la privacidad. Los datos se deben tratar de forma segura
para protegerlos contra accesos no autorizados, pérdidas o daños.
Esto debe hacerse utilizando las medidas técnicas/organizacionales
apropiadas. El RGPD no define lo que significa eso, pero es seguro
suponer que, si los datos se pierden o son robados, la empresa está
incumpliendo claramente la normativa. Estos son los principales
procesos COBIT que se deben considerar:
• EDM05 Asegurar la Transparencia hacia las Partes Interesadas
• APO01 Gestionar el Marco de Gestión de TI
• APO02 Gestionar la Estrategia
• APO03 Gestionar la Arquitectura Empresarial
• APO10 Gestionar los Proveedores
Adopción del RGPD Utilizando COBIT® 5 // 7
• BAI01 Gestionar los Programas y Proyectos
• BAI02 Gestionar la Definición de los Requisitos
• BAI03 Gestionar la Identificación y la Construcción de Soluciones
• BAI04 Gestionar la Disponibilidad y la Capacidad
• BAI06 Gestionar los Cambios
• BAI07 Gestionar la aceptación del Cambio y de la Transición
• BAI08 Gestionar el Conocimiento
• BAI09 Gestionar los Activos
• BAI10 Gestionar la Configuración
Consentimiento, Portabilidad, Derecho de Acceso
y Derecho al Olvido
Las personas deben dar su consentimiento respecto a los datos
personales que se vayan a almacenar, y tienen derecho a saber,
previa solicitud, qué datos personales está utilizando una empresa y
cómo se están utilizando. Un ciudadano de la UE puede transferir sus
datos personales de una compañía a otra si lo solicita en un formato
legible por máquinas. Además, las compañías dejarán de tratar y/o
eliminarán datos personales a petición de un ciudadano de la UE.
Este requisito va un paso más allá: permitiendo a los ciudadanos de la
UE el derecho al olvido mediante una solicitud de eliminación de sus
datos personales. Estos son los principales procesos COBIT que se
deben considerar:
• EDM05 Asegurar la Transparencia hacia las Partes Interesadas
• APO01 Gestionar el Marco de Gestión de TI
• APO08 Gestionar las Relaciones
• APO09 Gestionar los Acuerdos de Servicio
• APO10 Gestionar los Proveedores
• BAI08 Gestionar el Conocimiento
Nombramiento de Delegados de Protección de
Datos
Algunas compañías deben nombrar a un delegado de protección de
datos (DPD), que supervisa la estrategia de seguridad de datos de la
compañía y el cumplimiento general con el RGPD. ¿Qué empresas
deben tener un DPD? El requisito se aplica a aquellas que tratan o
almacenan grandes cantidades de datos de ciudadanos de la UE,
tratan o almacenan datos personales, monitorizan regularmente a
interesados o son autoridades públicas. Estos son los principales
procesos COBIT que se deben considerar:
• EDM01 Asegurar el Establecimiento y el Mantenimiento del Marco
de Gobierno
• APO07 Gestionar los Recursos Humanos
• BAI05 Gestionar la Introducción de Cambios Organizativos
Notificación de las Violaciones de la Seguridad de
Datos Personales
Las empresas (más concretamente, los responsables de tratamiento)
están obligados a notificar a las autoridades de protección de datos
en un plazo de 72 horas a partir de la detección de una quiebra de
seguridad. Los encargados del tratamiento descubren, comúnmente,
los incumplimientos y son responsables de notificar al responsable
del tratamiento. Muchas organizaciones ya han establecido estos
procedimientos, pero son pocas las que llevan a cabo pruebas
para garantizar el cumplimiento con los estándares. Estos son los
principales procesos COBIT que se deben considerar:
• DSS01 Gestionar las Operaciones
• DSS02 Gestionar las Peticiones y los Incidentes del Servicio
• DSS03 Gestionar los Problemas
• DSS04 Gestionar la Continuidad
• DSS05 Gestionar los Servicios de Seguridad
• DSS06 Gestionar los Controles de los Procesos de Negocio
Garantizar el Cumplimiento Regulatorio
Para garantizar el cumplimiento adecuado de la legislación,
las organizaciones necesitan monitorizar, evaluar y valorar
constantemente sus controles, e investigar continuamente mejoras
en términos de tecnologías e ideas innovadoras. Las organizaciones
deben facilitar garantías de que están siguiendo los requisitos
establecidos. Estos son los principales procesos COBIT que se
deben considerar:
• APO04 Gestionar la Innovación
• APO05 Gestionar el Portafolio
• APO06 Gestionar el Presupuesto y los Costes
• MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la
Conformidad
• MEA02 Supervisar, Evaluar y Valorar el Sistema
de Control Interno
• MEA03 Supervisar, Evaluar y Valorar la Conformidad con los
Requisitos Externos
Adopción del RGPD Utilizando COBIT® 5 // 8
Los lectores que hayan realizado un seguimiento podrán haberse
dado cuenta de que los 37 procesos del modelo de referencia de
procesos de COBIT 5 pueden conectarse con un programa RGPD.
Cierto es que algunas de estas conexiones son muy fuertes y otras
mínimas, pero el mensaje es claro: Adoptar un marco de GEIT, como
COBIT 5, puede mejorar drásticamente la postura de una empresa
Consejos y aprendizajes clave para la implementación del
RGPD
Para aliviar los esfuerzos de alcanzar el cumplimiento, se presentan
a continuación una serie de consejos de implementación. Sobre la
base de las observaciones y recomendaciones de diversas entidades
que ya han iniciado el camino hacia el cumplimiento del RGPD, a
continuación se presenta una lista de factores clave de éxito que se
deben considerar en el viaje hacia el cumplimiento:
1. Desarrollar un sentido de urgencia. No es de extrañar que éste
sea el primero de la lista. La obtención de apoyo a nivel ejecutivo
es clave en este sentido, ya que ese apoyo impulsa las actitudes
y expectativas necesarias para adoptar con éxito las buenas
prácticas de gobierno para aplicar y cumplir con el RGPD.
Consejo: Lea COBIT 5: Implementación para obtener más
consejos y técnicas sobre cómo conseguir el apoyo del nivel
ejecutivo y que se reconozca la necesidad de actuar.
2. Pensar en el RGPD como una oportunidad. A pesar de que
conseguir y mantener el cumplimiento parece laborioso, es
claramente el enfoque correcto. Recuerde que la razón por la que
existe la empresa es para crear valor para las partes interesadas,
y el RGPD bien aplicado es un importante contribuyente de valor
agregado.
Consejo: La cascada de metas de COBIT 5 identifica las
necesidades de las partes interesadas que derivan en las metas
empresariales, en las metas relacionadas con TI y en las metas de
los catalizadores con el fin de ayudar a determinar los procesos
más apropiados sobre los que enfocar para aumentar el valor de
las partes interesadas.
3. Obtener un inventario de los marcos y prácticas actuales de
gobierno de la empresa, incluyendo el plan de protección de datos.
La mayoría de las empresas ya cuentan con un plan en curso, pero
deberán revisarlo y actualizarlo para asegurarse de que se ajuste a
los requisitos del RGPD.
Consejo: El RGPD es una preocupación regulatoria que puede
satisfacerse adoptando las mejores prácticas existentes, tales
como COBIT, ITIL, el marco de The Open Group Architecture
Forum (TOGAF), las publicaciones del Instituto Nacional de
Normas y Tecnología de EE.UU. (NIST), las normas de la
hacia el cumplimiento del RGPD, así como con la mayoría de los
requisitos regulatorios que existen en el mercado hoy en día. Los
37 procesos son solo uno de los siete catalizadores, y comprender
las conexiones entre estos catalizadores proporciona una imagen
clara de las necesidades de las partes interesadas, así como de las
prácticas precisas para satisfacer esas necesidades.
Organización Internacional de Normalización (ISO), y muchas
otras.
4. Considerar COBIT 5 como un marco para gestionar marcos, pero
no detenerse con un único marco. Esta es una extensión del
consejo anterior. Aunque es el único marco empresarial para GEIT,
COBIT no es el único marco disponible. Sin embargo, es adecuado
para servir como un marco central que ayuda a determinar los
componentes necesarios de otros marcos para proporcionar un
verdadero modelo GEIT.
Consejo: El sitio web de COBIT en Internet tiene información
adicional sobre este enfoque en https://cobitonline.isaca.org/
about.
5. Designar ahora un DPD y otros roles aplicables. Incluso en
empresas que no se ven afectadas por el RGPD, siguen siendo
buenos roles que identificar y asignar. Es posible que estos roles
ya se estén realizando en este momento aunque bajo diferentes
denominaciones.
Consejo: COBIT 5: Procesos Catalizadores identifica las matrices
RACI para los 37 procesos.
6. Llevar a cabo una evaluación del riesgo empresarial para ayudar en
la toma de decisiones. Es importante conocer cuales son los datos
de ciudadanos de la UE que la empresa almacena y trata, así como
cualquier riesgo asociado. Las evaluaciones de riesgos pueden
ayudar a identificar el riesgo, determinar medidas para mitigarlo y
desarrollar planes de acción para gestionarlo.
Consejo: COBIT 5 para Riesgos y la ISO 31000 son excelentes
puntos de partida para determinar un proceso apropiado de
evaluación de riesgos y al vincularlo a los requisitos del RGPD.
7. Desplegar un amplio programa de concienciación y capacitación.
Todos los miembros de la organización deben estar familiarizados
con los requisitos del RGPD, así como con sus roles específicos.
La capacitación es probablemente una de las acciones más
importantes que una empresa puede adoptar para aumentar la
probabilidad de éxito de un programa.
Adopción del RGPD Utilizando COBIT® 5 // 9
 Consejo: En las empresas que están aprovechando COBIT
como ayuda para sus esfuerzos de cumplimiento, el curso de
Fundamentos de COBIT 5 es un buen punto de partida.
8. Planificar y ensayar los planes de respuesta a incidentes. La
mayoría de las organizaciones ya cuentan con algún tipo de plan
de respuesta a incidentes; sin embargo, el RGPD tiene algunos
requisitos que podrían no haberse considerado. Las empresas
deben notificar las quiebras de seguridad dentro de las 72 horas
posteriores a su descubrimiento. Cuan bien reaccionen los equipos
de respuesta impactará directamente al riesgo de la empresa a
afrontar multas por incumplimiento.
Consejo: Mejore los procedimientos de respuesta a incidentes
actuales analizando los procesos COBIT e ITIL aplicables, y
creando luego un modelo específico para el RGPD.
9. Enfocarse en la información. Recuerde que la información es
un activo, un recurso, y si no se protege, un riesgo legal. La
comprensión de los atributos, la ubicación y el ciclo de vida de
los datos puede mejorar la capacidad de la empresa para
proporcionar las protecciones necesarias bajo el RGPD.
Consejo: COBIT 5: Información Catalizadora puede ayudar a
entender estos ciclos de vida y atributos.
10. Realizar la evaluación y el aseguramiento continuos. Mantener
el cumplimiento requiere la monitorización y la mejora continuas.
Es importante que la empresa no deje que sus esfuerzos se
desvanezcan a medida que se traslada a la próxima iniciativa, de
lo contrario, pueden ocurrir sorpresas desagradables. Mantenga el
impulso.
Consejo: Utilice el modelo de implementación de COBIT o
el enfoque de Mejora Continua del Servicio (CSI) de ITIL, y
asegúrese de que la función de aseguramiento/auditoría interna
esté involucrada.
En resumen, las organizaciones que se enfocan únicamente en el
cumplimiento no cuentan con un marco de gobierno holístico en vigor.
El cumplimiento con los requisitos del RGPD debe ser un componente
de conformidad de una iniciativa más amplia de riesgo/beneficio
que equilibre dicha conformidad con el desempeño de la empresa.
El marco COBIT 5, si bien es completo en la cobertura de gobierno
empresarial, no satisface todas las necesidades de cumplimiento
que tiene una empresa, pero sin duda puede proporcionar el marco
de gobierno y gestión para ayudar a determinar el enfoque más
adecuado para crear valor y confianza para las partes interesadas.
En este caso, se trata de asegurar que los datos personales tengan la
confidencialidad, integridad y disponibilidad basadas en la legislación
RGPD.
Adopción del RGPD Utilizando COBIT® 5 // 10
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA ISACA®
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443 ISACA (isaca.org) ayuda a profesionales de todo el mundo a liderar, adaptar y garantizar la confianza en
Correo electrónico: info@isaca.org un mundo digital en evolución, ofreciéndoles conocimientos innovadores de primera clase, estándares,
Sitio web: www.isaca.org relaciones personales, acreditaciones y desarrollo profesional. Establecida en 1969, ISACA es una
asociación global sin ánimo de lucro con 140.000 profesionales en 180 países. ISACA también ofrece el
Envíe sus comentarios a: Cybersecurity Nexus™ (CSX), un recurso holístico de ciberseguridad, y COBIT®, un marco de negocio
www.isaca.org/GDPRusingCOBIT5 para el gobierno y la gestión de las TI de la empresa.
Participe en el Centro de
Conocimientos de ISACA:
www.isaca.org/knowledge-center

Siga a ISACA en Twitter:

https://twitter.com/ISACANews
Exclusión de Responsabilidad
Este es un recurso educativo, y no incluye toda la información necesaria para garantizar un resultado exitoso. Los lectores deben aplicar su
Únase a ISACA en LinkedIn: propio juicio profesional a su situación particular.
ISACA (Oficial),
http://linkd.in/ISACAOfficial

Dé un Me gusta a ISACA en Facebook:

Reserva de Derechos
www.facebook.com/ISACAHQ © 2017 ISACA. Todos los derechos reservados.

Adopción del RGPD Utilizando COBIT® 5 // 11

AGRADECIMIENTOS
ISACA desea reconocer a las siguientes personas:

5, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd,

Autor Consejo Directivo de ISACA Sudáfrica, Director
Mark Thomas Theresa Grafenstine
CRISC, CGEIT, Escoute Consulting, EE.UU. CISA, CGEIT, CRISC, CGAP, CGMA, CIA, CISSP, CPA,
Christos K. Dimitriadis, Ph.D.
CISA, CRISC, CISM, Intralot, S.A., Grecia, Expresidente
Cámara de Representantes de los Estados Unidos, EE.UU.,
Presidente Robert E Stroud
Revisores Expertos CRISC, CGEIT, Forrester Research, Inc., EE.UU.,
Robert Clyde
Sue Milton Expresidente
CISM, Clyde Consulting LLC, EE.UU., Vicepresidente
CISA, CGEIT, Asesora Comercial GEIT, Reino Unido Tony Hayes
Brennan Baybeck
Peter Tessin CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de
CISA, CRISC, CISM, CISSP, Oracle Corporation,
CISA, CRISC, CGEIT, ISACA, EE.UU. Queensland, Australia, Expresidente
EE.UU., Director

Zubin Chagpar Matt Loeb

CGEIT, FASAE, CAE, ISACA, EE.UU., Director
CISA, CISM, PMP, Amazon Web Services, Reino Unido,
Director

Peter Christiaans
CISA, CRISC, CISM, PMP, Deloitte Consulting LLP,
EE.UU., Director

Hironori Goto
CISA, CRISC, CISM, CGEIT, ABCP, Five-I, LLC,
Japón, Director

Mike Hughes
CISA, CRISC, CGEIT, Haines Watts, Reino Unido, Director

Leonard Ong
CISA, CRISC, CISM, CGEIT, CPP, CFE, PMP, CIPM, CIPT,
CISSP ISSMP-ISSAP, CSSLP, CITBCM, GCIA, GCIH, GSNA,
GCFA, Merck & Co., Inc.,
Singapur, Director

R.V. Raghu
CISA, CRISC, Versatilist Consulting India Pvt. Ltd.,
India, Director

Jo Stewart-Rattray
CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich,
Australia, Director

Ted Wolff
CISA, Vanguard, Inc., EE.UU., Director

Tichaona Zororo
CISA, CRISC, CISM, CGEIT, Evaluador Certificado de COBIT

Adopción del RGPD Utilizando COBIT® 5 // 12