15. CUMPLIMIENTO
15.1 CUMPLIMIENTO DE
LOS REQUISITOS LEGALES
Objetivo: evitar el incumplimiento de cualquier ley, de
obligaciones estatutarias, reglamentarias o contractuales y de cualquier
requisito de seguridad.
El diseño, el uso, la operación y la gestión de los sistemas
de información pueden estar sujetos a requisitos de seguridad estatutarios,
reglamentarios y contractuales.
Se debería buscar asesoría sobre los requisitos legales
específicos de los asesores jurídicos de la organización o de abogados
practicantes calificados. Los requisitos legales varían de un país a otro y
pueden variar para la información creada en un país y que se transmite a otro
(es decir, el flujo de datos trans-fronterizo).
15.1.1 Identificación
de la legislación aplicable
Control
Todos los requisitos estatutarios, reglamentarios y contractuales
pertinentes, así como el enfoque de la organización para cumplir estos
requisitos se deberían definir explícitamente, documentar y mantener actualizados
para cada sistema de información y para la organización
Guía de
implementación
Los controles específicos y las responsabilidades
individuales para cumplir estos requisitos se deberían definir y documentar de
forma similar
15.1.2 Derechos de
propiedad intelectual (DPI)
Control
Se deberían implementar procedimientos apropiados para asegurar
el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre
el uso del material con respecto al cual pueden existir derechos de propiedad
intelectual y sobre el uso de productos de software patentados.
Guía de
implementación
Se deberían tomar en consideración las siguientes
directrices para proteger todo material que se pueda considerar propiedad
intelectual:
a). publicar una política de cumplimiento de los derechos de
propiedad intelectual que defina el uso legal del software y de los productos
de información;
b). adquirir software únicamente a través de fuentes
conocidas y de confianza para garantizar que no se violan los derechos de
copia;
c). mantener la concientización sobre las políticas para proteger
los derechos de propiedad intelectual y notificar la intención de tomar
acciones disciplinarias para el personal que los viole;
d). mantener registros apropiados de los activos e
identificar todos los activos con requisitos para proteger los derechos de
propiedad intelectual;
e). mantener prueba y evidencia sobre la propiedad de
licencias, discos maestros, manuales, etc.;
f). implementar controles para asegurar que no se excede el
número máximo de usuarios permitidos;
g). verificar que únicamente se instalan software autorizado
y productos con licencia;
h). suministrar una política para mantener las condiciones
de licencia apropiadas;
i). suministrar una política para la disposición o
transferencia de software a otros;
j). usar las herramientas de auditoría adecuadas;
k). cumplir los términos y condiciones para el software y la
información obtenidos de redes públicas;
l). no duplicar, convertir en otro formato ni extraer de
grabaciones comerciales (película, audio) diferentes a los permitidos por la
ley de derechos de copia;
m). no copiar total ni parcialmente libros, artículos,
informes ni otros documentos diferentes a los permitidos por la ley de derechos
de copia.
Información adicional
Los derechos de propiedad intelectual incluyen derechos de
copia de software o de documentos, derechos de diseño, marcas registradas,
patentes y licencias de códigos fuente.
Los productos de software patentados usualmente se suministran
bajo un acuerdo de licencia que especifica los términos y condiciones de la
licencia, por ejemplo, limitar el uso de los productos a máquinas específicas o
limitar el copiado a la creación de copias de respaldo únicamente. La situación
de DPI del software desarrollado por la organización requiere ser aclarada con
el personal.
Los requisitos legales, reglamentarios y contractuales
pueden imponer restricciones a la copia de material patentado. En particular
pueden exigir que únicamente se utilice el material desarrollado por la
organización o que tiene licencia y es suministrado a la organización por quien
lo desarrolla. La violación de los derechos de copia puede conducir a acciones
legales que pueden implicar procedimientos judiciales.
15.1.3 Protección de
los registros de la organización
Control
Los registros importantes se deberían proteger contra
pérdida, destrucción y falsificación, de acuerdo con los requisitos
estatutarios, reglamentarios, contractuales y del negocio.
Guía de
implementación
Los registros se deberían clasificar en tipos de registro,
por ejemplo registros de contabilidad, registros de bases de datos, registros
de transacciones, registros de auditoría y procedimientos operativos, cada uno
con detalles de los periodos de retención y los tipos de medio de almacenamiento
como papel, microfichas, medios magnéticos, ópticos, etc. Todo material relacionado
con claves criptográficas y programas asociados con archivos encriptados o
firmas digitales (véase el numeral 12.3), también se debería almacenar para
permitir el descifrado de los registros durante el periodo de tiempo durante el
cual se retienen los registros.
Es conveniente tomar en consideración la posibilidad de
deterioro de los medios utilizados para almacenar los registros. Los
procedimientos de almacenamiento y manipulación se deberían implementar según
las recomendaciones del fabricante. Para almacenamiento a largo plazo, se recomienda
considerar el uso de papel y microfichas.
Al seleccionar los medios de almacenamiento electrónico, se
deberían incluir los procedimientos para garantizar la capacidad de acceso a
los datos (facilidad tanto del medio como del formato) durante todo el periodo
de retención para salvaguardar contra pérdida debido a cambio en la tecnología
futura.
Los sistemas de almacenamiento de datos se deberían seleccionar
de forma tal que los datos requeridos se puedan recuperar en el periodo de
tiempo y el formato aceptable, dependiendo de los requisitos que se deben
cumplir.
El sistema de almacenamiento y manipulación debería garantizar
la identificación de los registros y de su periodo de retención tal como se
define en los reglamentos o la legislación nacional o regional, si se aplica.
Este sistema debería permitir la destrucción adecuada de los registros después
de este periodo, si la organización no los necesita.
Para cumplir estos objetivos de salvaguarda de registros, la
organización debería seguir los siguientes aspectos:
a). se deberían publicar directrices sobre retención,
almacenamiento, manipulación y eliminación de registros e información;
b). es conveniente publicar una programación de retención
que identifique los registros y el periodo de tiempo de su retención;
c). se recomienda conservar un inventario de las fuentes de
información clave;
d). se deberían implementar los controles apropiados para
proteger los registros y la información contra pérdida, destrucción y
falsificación.
Información adicional
Puede ser necesario retener algunos registros de manera
segura para cumplir requisitos estatutarios, reglamentarios o contractuales,
así como para dar soporte a las actividades esenciales del negocio. Los
ejemplos incluyen los registros que se pueden necesitar como evidencia de que
la organización funciona cumpliendo las reglas estatutarias o reglamentarias, para
garantizar la defensa adecuada contra potenciales acciones civiles o criminales
o para confirmar el estado financiero de la organización con respecto a socios,
terceras partes y auditores. El periodo de tiempo y el contenido de los datos para
la retención de información pueden ser establecidos por la ley o la
reglamentación nacional.
Información adicional sobre la gestión de los registros de
la organización se puede encontrar en la norma ISO 15489-1.
15.1.4 Protección de
los datos y privacidad de la información personal
Control
Se debería garantizar la protección de los datos y la
privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si
se aplica, con las cláusulas del contrato.
Guía de
implementación
Se debería desarrollar e implementar una política de
protección y privacidad de los datos. Esta política se debería comunicar a
todas las personas involucradas en el procesamiento de información personal.
El cumplimiento de esta política y de todos los reglamentos
y leyes pertinentes a la protección de datos requiere estructura y control
adecuados de gestión. Con frecuencia esto se logra mejor nombrando a una
persona responsable, como por ejemplo un funcionario para protección de datos,
quien debería brindar guía a directores, usuarios y proveedores de servicios
sobre sus responsabilidades individuales y los procedimientos específicos que
se deberían seguir. La responsabilidad del manejo de la información personal y de
la concientización sobre los principios de protección de datos debería estar
acorde con los reglamentos y la legislación correspondientes. Se deberían
implementar medidas técnicas y organizacionales apropiadas.
Información adicional
Varios países han introducido leyes que imponen controles a
la recolección, el procesamiento y la transmisión de datos personales
(generalmente se trata de información sobre personas vivas que pueden ser
identificadas a partir de tal información). Dependiendo de la respectiva legislación
nacional, estos controles pueden imponer funciones sobre aquellos que
recolectan, procesan y distribuyen información personal y pueden restringir la
capacidad de transferencia de datos a otros países.
15.1.5 Prevención del
uso inadecuado de los servicios de procesamiento de información
Control
Se debería disuadir a los usuarios de utilizar los servicios
de procesamiento de información para propósitos no autorizados.
Guía de
implementación
La dirección debería aprobar el uso de los servicios de procesamiento
de información. Todo uso de estos servicios para propósitos no relacionados con
el negocio sin autorización de la dirección (véase el numeral 6.1.4), o para
cualquier propósito no autorizado se debería considerar uso inadecuado de los
servicios. Si se identifica alguna actividad no autorizada por medio de
monitoreo u otros medios, esta actividad debería llamar la atención del
director correspondiente para estudiar la acción legal y/o disciplinaria
adecuada.
Antes de implementar los procedimientos de monitoreo se
debería tener asesoría legal.
Todos los usuarios deberían conocer el alcance preciso de su
acceso permitido y del monitoreo implementado para detectar el uso no
autorizado. Esto se puede lograr dando a los usuarios autorización escrita, una
copia de la cual debería estar firmada por el usuario y la organización debería
conservarla. A los empleados de la organización, contratistas y usuarios de
terceras partes se les debería advertir que no se permitirá acceso que no esté
autorizado.
En el momento del registro de inicio, se debería presentar
un mensaje de advertencia que indique que el servicio de procesamiento de
información al cual se está ingresando es propiedad de la organización y que no
se permite el acceso no autorizado. El usuario debe reconocer y reaccionar
apropiadamente al mensaje de la pantalla para continuar con el proceso de
registro de inicio (véase el numeral 11.5.1).
Información adicional
Los servicios de procesamiento de información de una
organización tienen el fin principal o exclusivo de los propósitos del negocio.
La detección de intrusión, la inspección del contenido y otras
herramientas de monitoreo pueden ayudar y evitar el uso inadecuado de los
servicios de procesamiento de información.
Muchos países tienen legislaciones que protegen contra el
uso inadecuado del computador.
Puede ser un acto criminal usar el computador con propósitos
no autorizados.
La legalidad de monitorear la utilización varía de un país a
otro y puede exigir que la dirección advierta a los usuarios sobre tal
monitoreo y / o obtenga su acuerdo. Cuando el sistema al cual se ingresa se
utiliza para acceso público (por ejemplo en un servidor web público) y está
sujeto a monitoreo de seguridad, se debería mostrar un mensaje que así lo
indique.
15.1.6 Reglamentación
de los controles criptográficos
Control
Se deberían utilizar controles criptográficos que cumplan
todos los acuerdos, las leyes y los reglamentos pertinentes.
Guía de
implementación
Se recomienda tener presentes los siguientes elementos para
el cumplimiento con acuerdos, leyes y reglamentos pertinentes:
a). restricción de importaciones y/o exportaciones de hardware
y software de computadores para la ejecución de funciones criptográficas;
b). restricción de importaciones y/o exportaciones de hardware
y software de computadores diseñados para adicionarles funciones
criptográficas;
c). restricciones al uso de encriptación;
d). métodos obligatorios o discrecionales de acceso por
parte de las autoridades del país a la información encriptada mediante hardware
o software para brindar confidencialidad al contenido.
Se debería buscar asesoría legal para garantizar el cumplimiento
con las leyes y los reglamentos nacionales. Antes de desplazar la información
encriptada o los controles criptográficos a otros países, se debería tener
asesoría legal.
15.2 CUMPLIMIENTO DE
LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO
Objetivo: asegurar que los sistemas cumplen con las normas y
políticas de seguridad de la organización.
La seguridad de los sistemas de información se debería
revisar a intervalos regulares.
Dichas revisiones se deberían llevar a cabo frente a las
políticas de seguridad apropiadas y se deberían auditar las plataformas
técnicas y los sistemas de información para determinar el cumplimiento de las
normas aplicables sobre implementación de la seguridad y los controles de
seguridad documentados.
15.2.1 Cumplimiento
con las políticas y las normas de seguridad
Control
Los directores deberían garantizar que todos los procedimientos
de seguridad dentro de sus áreas de responsabilidad se llevan a cabo
correctamente para lograr el cumplimiento con las políticas y las normas de
seguridad.
Guía de
implementación
Los directores deberían revisar con regularidad en su área
de responsabilidad el cumplimiento del procesamiento de información con las
políticas de seguridad adecuadas, las normas y cualquier otro requisito de
seguridad.
Si se halla algún incumplimiento como resultado de la
revisión, los directores deberían:
a). determinar la causa del incumplimiento;
b). evaluar la necesidad de acciones para garantizar que no
se presenten incumplimientos;
c). determinar e implementar la acción correctiva apropiada,
d). revisar la acción correctiva que se ejecutó.
Se deberían registrar los resultados de las revisiones y las
acciones correctivas llevadas a cabo por los directores y conservar dichos
registros. Los directores deberían informar de los resultados a las personas
que realizan revisiones independientes (véase el numeral 6.1.8), cuando la
revisión independiente tiene lugar en el área de su responsabilidad.
Información adicional
En el numeral 10.10 se discute el monitoreo operativo del sistema.
15.2.2 Verificación
del cumplimiento técnico
Control
Los sistemas de información se deberían verificar periódicamente
para determinar el cumplimiento con las normas de implementación de la
seguridad.
Guía de
implementación
La verificación del cumplimiento técnico se debería realizar
bien sea manualmente (con soporte de las herramientas de software apropiadas,
si es necesario) por un ingeniero de sistemas con experiencia y / o con la
ayuda de herramientas automáticas que generan un informe técnico para la
interpretación posterior por parte del especialista técnico.
Si se utilizan evaluaciones de vulnerabilidad o pruebas de penetración,
se recomienda tener cuidado puesto que dichas actividades pueden poner en
peligro la seguridad del sistema. Tales pruebas se deberían planificar,
documentar y ser repetibles.
La verificación del cumplimiento técnico únicamente la
deberían realizar personas autorizadas y competentes o bajo supervisión de
dichas personas.
Información adicional
La verificación del cumplimiento técnico involucra el examen
de los sistemas operativos para asegurar que los controles de hardware y
software se han implementado correctamente. Este tipo de verificación del
cumplimiento requiere experiencia técnica especializada.
La verificación del cumplimiento también comprende, por ejemplo
pruebas de penetración y evaluaciones de la vulnerabilidad, las cuales pueden
ser realizadas por expertos independientes especialmente contratados para este
propósito. Ello puede ser útil para detectar vulnerabilidades en el sistema y
verificar qué tan efectivos son los controles evitando el acceso no autorizado
debido a estas vulnerabilidades.
Las pruebas de penetración y las evaluaciones de vulnerabilidad
proveen una visión instantánea de un sistema en un estado específico en un
momento específico. Esta instantánea se limita a aquellas porciones del sistema
que se someten a prueba real durante el (los) intento (s) de penetración. Las
pruebas de penetración y las evaluaciones de vulnerabilidad no substituyen a la
evaluación de riesgos.
15.3 CONSIDERACIONES
DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
Objetivo: maximizar la eficacia de los procesos de auditoría
de los sistemas de información y minimizar su interferencia.
Deberían existir controles para salvaguardar los sistemas operativos
y las herramientas de auditoría durante las auditorías de los sistemas de
información.
También se requiere protección para salvaguardar la
integridad y evitar el uso inadecuado de las herramientas de auditoría.
15.3.1 Controles de
auditoría de los sistemas de información
Control
Los requisitos y las actividades de auditoría que implican
verificaciones de los sistemas operativos se deberían planificar y acordar
cuidadosamente para minimizar el riesgo de interrupciones de los procesos del
negocio.
Guía de
implementación
Se deberían tener presente las siguientes directrices:
a). los requisitos de auditoría se deberían acordar con la
dirección correspondiente;
b). se debería acordar y controlar el alcance de las verificaciones;
c). las verificaciones se deberían limitar al acceso de sólo
lectura del software y los datos;
d). el acceso diferente al de sólo lectura únicamente se
debería permitir para copias aisladas de archivos del sistema que se puedan
borrar al terminar la auditoría, o se debería dar protección adecuada, si
existe la obligación de conservar dichos archivos según los requisitos de
documentación de la auditoría;
e). los recursos para llevar a cabo las verificaciones se
deberían identificar explícitamente y estar disponibles;
f). se deberían identificar y acordar los requisitos para el
procesamiento especial o adicional;
g). todo acceso se debería monitorear y registrar para crear
un rastro para referencia; el uso de rastros de referencia de tiempo se debería
considerar para datos o sistemas críticos;
h). se recomienda documentar todos los procedimientos,
requisitos y responsabilidades;
i). la persona que realiza la auditoría debería ser independiente
de las actividades auditadas.
15.3.2 Protección de
las herramientas de auditoría de los sistemas de información
Control
Se debería proteger el acceso a las herramientas de
auditoría de los sistemas de información para evitar su uso inadecuado o
ponerlas en peligro.
Guía de
implementación
Las herramientas de auditoría de los sistemas de
información, por ejemplo, software o archivos de datos, se deberían separar de
los sistemas operativos y de desarrollo y no mantenerse en librerías de cinta,
salvo que se les proporcione un nivel adecuado de protección adicional.
No hay comentarios:
Publicar un comentario