ISO 27001: ¿Cómo cumplir los requisitos legales en Seguridad de la Información?
ISO 27001
La norma ISO 27001 ayuda a las organizaciones a cumplir con los requisitos legales, que tienen la finalidad de evitar la vulneración de la legislación o el incumplimiento de cualquier obligación legal de las organizaciones de cualquier requisito de seguridad.
Tanto el diseño, como el funcionamiento, uso y gestión de los Sistemas de Gestión de Seguridad de la Información pueden encontrase sujetos a los requisitos legales o a los reglamentos contractuales de seguridad.
Los requisitos concernientes, tanto los requisitos legales como los reglamentos contractuales y el enfoque seguido por la organización para cumplirlos, deben encontrase definidos explícitamente, estar documentados y mantenerse actualizados en cada Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
Deben definirse y documentarse todos los controles específicos que se realicen y también deben tener en cuenta las responsabilidades que hayan sido asignadas para realizar los controles oportunos que aseguren que se cumplen todos los requisitos de seguridad.
Es necesario consultar a los asesores legales que cada empresa tenga contratado, normalmente se trata de abogados adecuadamente cualificados, en temas de los requisitos legales específicos que pueden afectar en función de la actividad que realiza cada organización, además de como la información que se crea en un país se transmite a otro, es decir, el flujo transfronterizo de datos, ya que en cada país podemos encontrar requisitos legales muy diferentes.
El tratamiento que se le da a los Sistemas de Gestión de Seguridad de la Información queda sujeto a los requisitos legales, los reglamentos y las contractuales de seguridad.
El principal objetivo que se persigue es evitar los incumplimientos de cualquier obligación legal o contractual.
Para llevar a cabo la implantación se deben seguir estos pasos:
1. Identificar los requisitos legales, los reglamentarios y los contractuales, además de definir y documentar el enfoque de la empresa para poder cumplirlo.
2. Establecer procedimientos para cumplir la Ley de Protección Intelectual (LPI). Se tienen que identificar todos los activos que requieren protección de derechos de propiedad intelectual. Se debe considerar:
- Establecer una política que defina el uso legal del software y los productos de información. Estableciendo medidas disciplinarias en caso de infracción.
- Mantener pruebas de la propiedad de licencias. Garantizar que no se excede el número de usuarios permitidos por la aplicación.
- Se tiene que adquirir el software mediante fuentes fiables.
- No se pude duplicar, transformar ni copiar parte de los documentos, sin que lo permita la ley de derechos de autor.
- Se debe definir una política para la conservación, manipulación y destrucción de los registros que contengan datos personales o información sensible.
3. Se tiene que establecer los procedimientos necesarios para cumplir con la Ley Orgánica de Protección de Datos (LOPD). Se tienen que identificar todos los ficheros que contengan datos de carácter personal y establecer el nivel de protección que les corresponda. Se tiene que considerar:
- Los ficheros deben quedar registrados en el registro de la Agencia Española de Protección de Datos.
- Se debe informar de si se ceden los datos personales a terceros y proceder a controlar los derechos de las personas afectadas.
- Se tiene que elaborar un documento de seguridad que indique las medidas de carácter organizativo y técnico que se adoptan por parte de la organización, con las que garantiza la seguridad de los datos de carácter personal.
4. Se establecen procedimientos que faciliten el cumplimiento de la Ley de Servicios de la Sociedad de la Información (LSSI). Si la organización utiliza el comercio electrónico:
- En la página web se deben mostrar los datos de la organización, el código de conducta, el precio de los productos.
- Se tiene que comunicar el nombre del dominio en el Registro Mercantil.
- Las condiciones generales y los trámites que tienen que seguirse para contratar on-line algún servicio prestado por la empresa. Enviar con acuse de recibo al cliente, el pedido realizado.
La legislación a la que se hace referencia, son leyes que regulan el sector de las tecnologías en España, por lo que solo dispone de validez en el territorio español.
Cumplimiento de políticas y normas de seguridad y cumplimiento teórico
La finalidad que persigue dicho control es genera una garantía de que los Sistemas de Gestión de Seguridad de la Información cumplen todas las políticas y normas de seguridad de la empresa.
La seguridad de los Sistemas de Gestión de Seguridad de la Información debe revisarse cada cierto tiempo. Las revisiones deben llevarse a cabo comparando las diferentes políticas de seguridad y debe auditarse que las plataformas técnicas y los sistemas de información cumplen con todas las normas de implementación de seguridad y controles de seguridad documentados que sean aplicables.
La comprobación de que se está llevando a cabo el cumplimiento técnico sólo debe estar revisado por personal cualificado y además, estas personas deben estar autorizadas por la organización, aunque también se puede dar el caso de que lo realice otra persona bajo la supervisión del responsable. Es un factor muy importante ya que estamos hablando del examen que debe pasar las organizaciones de sus sistemas operativos para garantizar que los software y los hardware han sido implementados satisfactoriamente.
Para poder comprobar lo comentado anteriormente, se debe realizar por personal que dispongan de los conocimientos adecuados para ese fin.
Si durante la comprobación se encuentra algún incumplimiento, la persona autorizada deberá:
- Determinar las causas que han llevado al incumplimiento.
- Evaluar las medidas que se deben tomar para garantizar que no vuelva a suceder el incumplimiento.
- Determinar e implementar las acciones correctivas necesarias.
- Revisar las acciones correctivas utilizadas, para saber si están funcionando.
El resultado de las revisiones y de las acciones correctivas llevadas a cabo debe quedar registrado, y estos registros tienen que conservarse.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISO 27001 facilita a las organizaciones el proceso de identificación de los riesgos en Seguridad de la Información, planificación de acciones correctivas y preventivas, y el control de la eficiencia generada por el sistema.