Se me ocurrió redactar este artículo debido a una experiencia que tuve hace poco, por supuesto esta temática será abordad desde el punto de vista de un profesional en seguridad de la información con conocimientos básicos en el área legal, por lo que de antemano me disculpo por alguna posible incongruencia.
Para los que trabajamos con la serie del Sistema de Gestión de Seguridad de la Información (ISO 27K), sabemos que hay una fuerte relación entre el marco legal y la seguridad de la información, pero ¿cual es nivel de relación entre ambas? pues es mucho más de lo que muchos pensamos.
Podemos iniciar indicando que una de las fuentes para el establecimiento de los requisitos de seguridad es
“… el conjunto de requisitos legales, estatutarios, reglamentarios y contractuales que tiene que satisfacer la organización, sus socios de comerciales, los contratistas y los proveedores de servicios y su ambiente socio cultural” (ISO 27002, 0.3, numeral 2)
Es decir, uno de los insumos para determinar lo que se necesita para la implantación de un Sistema de Gestión de Seguridad de la Información, son los aspectos legales.
Otra referencia de la importancia de los aspectos legales lo podemos ver con el punto 0.6 “Punto de Partida de la Seguridad de la Información” de las ISO 27002;
“Algunos controles pueden considerarse como un buen punto de partida para implementar la seguridad de la información. Están basados sobre los requisitos legales esenciales, o considerados como la mejor práctica recomendada para la seguridad de la información.
Los controles que se consideran esenciales para una Organización desde un punto de vista legislativo, dependiendo de la legislación aplicable, incluyen:
a) la protección de los datos y privacidad de la información personal (véase apartado 15.1.4);
b) la protección de los registros de la Organización (véase apartado 15.1.3);
c) Los derechos de propiedad intelectual (véase el apartado 15.1.2).”
Es decir, se sugiere que uno buen puntos de partidas para la implementación de seguridad de la información es cumplir los requisitos legales esenciales.
Entonces, ya tenemos claro la importancia del cumplimiento legal en la Seguridad de la Información en el momento de comenzar a implementar esta, pero tenemos otros aspectos que tener en cuenta que comenzaremos a explorar ahora.
Aunque los requisitos legales son un buen elemento para iniciar un SGSI, es responsabilidad del área de seguridad de la información “Evitar el incumplimiento de cualquier ley, estatuto, obligación reglamentaria o contractuales…” (ISO 27002, Control 15.1), es decir, que estableciendo un conjunto de controles y elementos debemos velar por mantener la seguridad de la información desde este punto de vista, les recomiendo revisar el dominio de “Cumplimiento” de las ISO 27002, el cual da una serie de directrices que podrían ayudarlos en la gestión de esta tarea. Además les recomiendo leer “eLo que es el Jefe de Seguridad (CSO), ¿Tienes lo que se necesita?” donde se indica que el conocimiento legal es parte de sus tareas.
Ahora, a la práctica. ¿Cómo hacemos esta tarea?
Debemos empezar con reuniones con la alta gerencia y unidades de negocio, de forma que podamos ir levantando los requisitos de cada una de las partes,
También, debemos revisar los acuerdos de servicios (SLA) en los contratos de nuestros clientes y proveedores, de manera de poder verificar la congruencia entre lo que se ofrece y lo que se debe ofrecer, otra importancia de esta tarea es que cuando estemos implementando otros controles de seguridad debemos velar que los mismos no estén en contra de los requisitos del punto de vista legal, recordemos que la prioridad en una organización es el negocio no la seguridad en si. Y la intención de realizar esta revisión de contratos de nuestro proveedores es verificar que los mismo no van en contra de las Políticas de la organización, en especial con los proveedores de la tan famosa Cloud Computing donde nuestra única, posible, forma de controlar los datos que tenemos en la nube es a través de los contratos de servicio.
Les sugiero que revisen ITIL 2011 donde podemos ver mas detalles relacionados con los acuerdo de servicio.
A manera de reflexión les puedo dejar que esto no es solo trabajo de los abogado, ya que quienes administran los riesgo de la organización son los Oficiales de Seguridad de la Información, pero podemos hacer buenos equipos de trabajo entre el personal de seguridad de la información, consultoría jurídica y las áreas de negocio, si todos tenemos claro el objetivo de esta tarea.
¿Cual ha sido tu experiencia? ¿Qué eventos haz tenido en relación a este tema? Deja tus comentarios.