ISO 27001: Cumplimiento de los requisitos legales en Seguridad de la Información

Norma ISO 27001

La norma ISO 27001 auxilia a las empresas en el cumplimiento de los requisitos legales, los cuales, tienen la finalidad de eludir la vulneración de la legislación o el incumplimiento de toda obligación legal de las entidades de cualquier requisito de seguridad.

Pueden encontrarse sujetos a los requisitos legales o a los reglamentos contractuales de seguridad tanto el diseño, como el funcionamiento, uso y gestión de los Sistemas de Gestión de Seguridad de la Información.

Los requisitos correspondientes, tanto los requisitos legales como los reglamentos contractuales, así como el enfoque seguido por la empresa para cumplirlos, tienen que encontrarse definidos explícitamente, estar documentados e incluso mantenerse actualizados en cada Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001.

Tienen que definirse y documentarse cualquier control específico que se produzca, así como también tenerse en cuenta las responsabilidades que hayan sido atribuidas con el fin de realizar los controles oportunos que garantice el cumplimiento de la totalidad de requisitos de seguridad.

Se considera necesario preguntar a los asesores legales que cada empresa tenga contratado, habitualmente se trata de abogados perfectamente cualificados, en temas concernientes a los requisitos legales específicos que puedan perjudicar en función de la actividad que realiza cada empresa, además de la manera en que un país transmite a otro la información que se crea, esto es, el flujo transfronterizo de datos, por lo que en cada país encontramos requisitos legales muy distintos.

El desarrollo que se le da a los Sistemas de Gestión de Seguridad de la Información está sujeto a los requisitos legales, las contractuales de seguridad y los reglamentos.

El objetivo primordial que se persigue es eludir los incumplimientos de toda obligación legal o contractual.

Para realizar la implementación a este sistema se tienen que seguir determinados pasos:

• Reconocer los requisitos legales, los contractuales y los reglamentarios, aparte de definir y documentar el enfoque de la empresa para poder cumplirlo.
• Determinar procedimientos con el fin de cumplir la Ley de Protección Intelectual (LPI). Se tienen que reconocer la totalidad de los activos que requieren protección de derechos de propiedad intelectual. Se debería considerar:

–  No se pude duplicar, transformar ni copiar parte de los documentos, sin que lo permita la ley de derechos de autor.

– Se tiene que adquirir el software mediante fuentes fiables.

– Determinar una política que defina el uso legal del software y los productos de información. Estableciendo medidas disciplinarias en caso de infracción.

– Se tiene que definir una política para la conservación, manipulación y destrucción de los registros que contengan datos personales o información sensible.

– Mantener pruebas de la propiedad de licencias. Asegurar que no se excede el número de usuarios permitidos por la aplicación.

• Se tiene que determinar los procedimientos necesarios para el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD). Se deben de reconocer todos los ficheros que contengan datos de ámbito personal y establecer el nivel de protección que les corresponda. Se deben llevar a cabo las siguientes consideraciones:

– Se tiene que informar de si se ceden los datos personales a terceros y proceder a controlar los derechos de las personas perjudicadas.

– Los ficheros tienen que quedar registrados en el registro de la Agencia de Protección de Datos.

– Se debe elaborar un documento de seguridad que indique las medidas de carácter organizativo y técnico que se adoptan por parte de la organización, con las que garantiza la seguridad de los datos de carácter personal.

• Se establecen procedimientos que posibiliten el cumplimiento de la Ley de Servicios de la Sociedad de la Información (LSSI). En el caso el cual la empresa utilice el comercio electrónico:

– Se debe comunicar el nombre del dominio en el Registro Mercantil.

– Las condiciones generales y los trámites que tienen que seguirse para contratar on-line algún servicio prestado por la empresa. Enviar con acuse de recibo al cliente, el pedido realizado.

– En la página web se deben mostrar los datos de la entidad, el código de conducta, el precio de los productos.

La normativa a la que se hace referencia son leyes que regulan el sector de las tecnologías en España, ya que únicamente obtiene validez en el territorio español.

Cumplimiento de políticas y normas de seguridad y cumplimiento teórico

El propósito que persigue dicho control es generar una garantía de que los Sistemas de Gestión de Seguridad de la Información satisfacen todas las políticas y normas de seguridad de la organización.

Cada cierto tiempo, la Seguridad de la Información basada en la ISO 27001 tiene que examinarse. Estas revisiones se realizan a través de diferentes políticas de seguridad y tiene que auditarse que las plataformas técnicas y los sistemas de información  satisfagan la totalidad de normas de implementación de seguridad y controles de seguridad documentados que sean aplicables.

El control de que se está llevando a cabo el cumplimiento técnico únicamente tiene que estar revisado por los sujetos cualificados y además, estas personas tienen que estar autorizadas por la entidad, aunque puede pasar que lo realice otra persona bajo la supervisión del responsable. Se considera un elemento de reconocida importancia, por lo que hablamos del examen que tienen que pasar las entidades de sus sistemas operativos con el fin de asegurar que los software y los hardware han sido implantados perfectamente.

Con el fin de verificar lo expuesto anteriormente, se tiene que realizar por los trabajadores y es necesario que dispongan de los adecuados conocimientos para ese fin.

Si a lo largo de la comprobación se encuentra algún incumplimiento, el sujeto autorizado tendrá que:

• Establecer las causas que han llevado al incumplimiento.
• Evaluar las medidas que se tienen que tomar para asegurar que no vuelva a suceder el incumplimiento.
• Determinar e implementar las acciones correctivas necesarias.
• Revisar las acciones correctivas utilizadas, para saber si están funcionando.

Debe quedar registrado el resultado de las revisiones y de las acciones correctivas llevadas a cabo, y dichos registro tienen que conservarse.

Sistema de Gestión de Seguridad de la Información

Es muy importante que las empresas realicen la identificación de los riesgos en su Sistema de Gestión de Seguridad de la Información, la planificación de acciones correctivas y preventivas, así como el control de la eficiencia producida por el sistema.

Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad podéis visitar: https://www.isotools.us/normas/riesgos-y-seguridad/