El último capítulo del anexo A de la norma ISO 27001 está dedicado a controles que nos permitan garantizar el cumplimiento con las políticas, normas y legislación aplicable enfocándose principalmente en lo que se refiere a seguridad de la información.
Citando la norma:
Objetivo 1:
Cumplimiento de los requisitos legales y contractuales
Evitar los incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la seguridad de la información y con los requisitos de seguridad.
- 18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
- 18.1.2 Derechos de propiedad intelectual (/PR)
- 18.1.3 Protección de los registros
- 18.1.4 Protección de los datos y privacidad de la información personal
- 18.1.5 Regulación de los controles criptográficos
Objetivo.2
Revisiones de seguridad de la información
Garantizar que la seguridad de la información es implementada y operada de acuerdo con las políticas y procedimientos organizacionales
- 18.2.1 Revisión independiente de la seguridad de la información
- 18.2.2 Cumplimiento de la política y las normas de seguridad
- 18.2.3 Revisión del cumplimiento técnico
Objetivo 1: Cumplimiento de los requisitos legales y contractuales
Hasta ahora hemos visto requisitos para enfrentar el panorama de amenazas para la seguridad de la información con el reto de estar atentos a la constante evolución y las nuevas formas de ataques.
En este punto se nos plantea el reto de cumplir con las leyes, los reglamentos y las obligaciones contractuales requeridas para la seguridad de la información
Esto para muchas organizaciones puede suponer un verdadero reto el enfrentar lo que a veces puede suponer una lista más o menos interminable de regulaciones y requisitos
Sin embargo esto no debe desanimarnos pues el cumplimiento legal puede ser tan importante como los capítulos anteriores
¿COMO IDENTIFICAMOS LOS REQUISITOS LEGALES?
Los requisitos obligatorios pueden venir en forma de leyes laborales, requisitos de seguridad relacionados con TI, derechos de propiedad intelectual y leyes de derechos de autor, privacidad, cifrado de datos y leyes de protección;
La pregunta que asusta en este entorno es:
¿Está tomando todas las medidas necesarias para garantizar que se cumplan las leyes y regulaciones?
Si Ud. no tiene capacidad de responder ni siquiera a cómo identificar el entorno legal que le afecta entonces:
Nosotros le ayudamos a identificar y cumplir con sus obligaciones legales con relación a la seguridad de la información.
18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
El control establece la necesidad de identificar de forma documentada todos los requisitos legales y contractuales que afecten a la organización, además de mantenerlos actualizados.
Las leyes y reglamentos que afectan a una actividad son algo que evidentemente cambia con el tiempo y pueden ser distintas en cuanto a:
- Leyes o reglamentos sectoriales que afectan a una actividad
- Leyes del parlamento europeo o leyes locales
- Requisitos legales aplicables a tipos de información por su clasificación
En la actualidad dado el crecimiento de los incidentes relacionados con la seguridad y la magnitud de su impacto han hecho que los gobiernos de todo el mundo sean conscientes de la necesidad de proteger a las personas y las empresas contra la gestión inadecuada de la información confidencial.
En el caso de España veamos un listado genérico de legislación aplicable en materia de seguridad de la información
REQUISITOS LEGALES SOBRE SEGURIDAD DE LA INFORMACION EN ESPAÑA
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva anterior 95/46/CE (Reglamento general de protección de datos).
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
Relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo DOUEL 04-05-2016 119 C. Deroga la Directiva anterior 95/46/CE (Reglamento general de protección de datos).
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
CIBERSEGURIDAD:
DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016
Relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
NORMATIVAS DE SEGURIDAD NACIONAL:
Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, Que regula los principios y organismos clave así como las funciones que deberán desempeñar para la defensa de la Seguridad Nacional.
Orden TIN/3016/2011, de 28 de Octubre, Por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
SECTOR SEGURIDAD
Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Ley 5/2014, de 4 de abril, de Seguridad Privada.
INCIDENTES DE SEGURIDAD
Este aspecto se desarrolla mayormente en directivas relacionadas con las Fuerzas Armadas aunque se incluyen aspectos sobre los incidentes de seguridad en la Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico antes mencionada
CIBERDELINCUENCIA
Real Decreto de aprobación de la Ley de Enjuiciamiento Criminal.
INTERNACIONALES
Escudo de la privacidad UE-EE.UU. o Privacy Shield
Seguridad jurídica para las empresas europeas, relacionada con las transferencias transatlánticas de datos apoyada en la “DECISIÓN DE LA COMISIÓN de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo”, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
18.1.2 Derechos de propiedad intelectual (/PR)
Este control nos requiere que se establezcan procedimientos que garanticen el uso del software de acuerdo a los términos previstos en la Ley de Propiedad Intelectual mencionada en el punto anterior
Para ello se establecen los siguientes puntos a tener en cuenta para cumplir con este control
- ¿Disponemos de una política de uso legal de productos Software?
- ¿Aseguro la no violación de derechos de copia?
- ¿Dónde compro los productos Software?
- ¿Mantengo la política de licencias del Software comprado?
- ¿Controlo el número máximo de usuarios por licencia?
- ¿Reviso periódicamente que se estén utilizando solamente productos Software con licencia?
- ¿Cumplo con los derechos de copia de material audiovisual, libros, informes etc.?
- ¿He comunicado al personal la política de uso legal de software aclarando que cosas están permitidas y cuáles no?
- ¿He advertido al personal sobre las consecuencias de la violación de las políticas de uso legal de software estableciendo las medidas disciplinarias oportunas?
- ¿He identificado (listado de activos) los activos de información que están afectados por derechos de propiedad intelectual?
- Finalmente debo mantener la documentación que justifique o acredite la propiedad de las licencias (discos, manuales etc.)
18.1.3 Protección de los registros
Este control nos pide mantener un análisis de los requisitos contractuales legales en cuanto a las obligaciones de debido control sobre la protección de los registros en cuanto a evitar su pérdida, falsificación o acceso no autorizado
¿De qué registros hablamos?
Se trata de clasificar los registros de información y aplicar los controles necesarios según los requisitos legales
Por ejemplo:
- Registros contables
- Bases de datos
- Bases de datos de transacciones
- Registros de auditoria (propios del sistema de Gestión de la Seguridad de la información)
- Procedimientos operativos
- Registros documentales en papel, microfichas, archivos electrónicos
- Archivos cifrados (contraseñas, firmas digitales)
- Etc.
Para cumplir con la protección de los registros se nos requiere revisar el cumplimiento con
- La definición y publicación de las directrices sobre la retención, almacenamiento, tratamiento y eliminación de los registros y la información;
- Mantenimiento de un calendario de retenciones donde se identifique los registros y los períodos de tiempo que deberían retenerse;
- Mantenga un inventario de los registros de información clave o critica
18.1.4 Protección de los datos y privacidad de la información personal
Este control nos requiere el establecimiento de controles para el cumplimiento de la legislación en materia de cumplimiento con la legislación vigente en materia de protección de datos personales
Actualmente en la Unión Europea y en España está vigente la RGPD Ley General de Protección de datos
18.1.5 Regulación de los controles criptográficos
En caso de utilizar mecanismos de cifrado deben tenerse en cuentas las normativas sobre uso de controles criptográficos vigentes.
En España deberemos tener en cuente leyes como:
- La Ley General de Telecomunicaciones
- Ley de Firma electrónica
Limitaciones en el uso de medios criptográficos
En muchos países existen limitaciones en el uso de medios criptográficos por lo que tendremos que tener en cuenta estas limitaciones o restricciones en las importaciones o exportaciones de Hardware y/o Software para funciones criptográficas.
También deberemos considerar si existen métodos obligatorios de cifrado de información y cumplir los requisitos legales del cifrado de información establecidos por los reglamentos de cada país.
Cifrado Obligatorio
En España debemos tener en cuenta el reglamento RGPD donde se establece la obligatoriedad de cifrar los datos de carácter personal para los casos siguientes:
Para datos que clasificados como:
- De origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos de salud y vidas sexuales
- Datos biométricos
- Uso de datos a gran escala afectados por sistemas de acceso publico
Códigos de conducta
Determinadas organizaciones y organismos pueden elaborar códigos de conducta sobre el tratamiento de datos personales VER Códigos de conducta en AEPD
En este caso si nos adherimos a dichos códigos deberemos cumplir con los requisitos en cuanto al uso y obligatoriedad de los sistemas de cifrado
EVALUACION DE RIESGOS
La evaluación de riesgos, también obligatoria en el reglamento RGPD sobre el tratamiento de datos personales puede determinar la necesidad de utilizar cifrado de datos como resultado de un control necesario para mitigar o evitar un riesgo para la seguridad de la información
CIFRADO LEGAL: REQUISITOS
En el caso que nos veamos obligados a cifrar datos según lo expuesto hasta ahora deberemos dedicar los recursos necesarios para cumplir con estos requisitos.
Cualquier sistema de cifrado no es suficiente.
Por ejemplo los archivos PDF o archivos comprimidos ZIP con clave no son considerados válidos para garantizar que la información no sea inteligible ni manipulada por terceros.
Aunque en España no se limita técnicamente el uso de técnicas de cifrado han de utilizarse técnicas profesionales que preserven la confidencialidad de los datos.
Objetivo.2 Revisiones de seguridad de la información
Garantizar que la seguridad de la información es implementada y operada de acuerdo con las políticas y procedimientos organizacionales.
La revisión de que las políticas de seguridad y procedimientos para la seguridad de la información se cumplen es un requisito fundamental dentro de la norma ISO 27001 como ya hemos visto.
Para ello se establecen los siguientes controles.
18.2.1 Revisión independiente de la seguridad de la información
¿Quién debe llevar a cabo las revisiones de cumplimiento de la seguridad de la información?
Las revisiones deben ser llevadas a cabo por personal independiente al personal que es auditado . Aunque pueden ser llevadas a cabo por personal interno siempre de áreas o departamentos independientes al auditado, conviene que de forma regular se realicen auditorias de cumplimiento de la seguridad de la información por personal externo.
Las auditorías realizadas por personal externo siempre podrán aportar beneficios como:
- Garantizar la independencia de las revisiones o auditorias
- Aportar un punto de vista imparcial
- Aportar la experiencia de profesionales de la seguridad de la información que conocen otras organizaciones y pueden aportar mejoras.
18.2.2 Cumplimiento de la política y las normas de seguridad
Este control nos pone como requisito la necesidad de que los responsables de cada área deben revisar que los procedimientos de la organización sean aplicados de acuerdo a los requisitos definidos
Para ello los responsables deberían:
- Determinar la forma de revisar cómo se cumplen los requisitos de seguridad de la información definidos en las políticas, normas y en otras regulaciones aplicables.
- Tener en cuenta la implementación de sistemas de medición automática y herramientas de informes
Cuando se identifican incumplimientos se deberá:
- Identificar las causas
- Evaluar la necesidad de tomar medidas
- Implementar las acciones correctivas apropiadas;
- Revisar la eficacia de las acciones correctivas
- Identificar las deficiencias y debilidades del sistema
NOTA: Se deben mantener registros documentados de los resultados de las revisiones y de las acciones correctivas realizadas para poder realizar informes con los resultados
18.2.3 Revisión del cumplimiento técnico
Para la evaluación de los sistemas de información debe revisarse periódicamente si están configurados correctamente de acuerdo a las reglas y políticas definidas
El objetivo es:
- Identificar fallos en las actualizaciones de los sistemas
- Establecer medidas correctivas antes de que estos fallos puedan suponer una amenaza real para el sistema