El cumplimiento de requisitos legales es un dominio de control importante dentro de ISO 27001. Veamos cuales son las particularidades que una empresa que esté buscando la certificación debería tener en cuenta en los temas relacionados el cumplimiento legal.
Cuando mencionamos los 10 pilares básicos de la norma ISO 27001 se incluía dentro de estos el cumplimiento de requisitos legales además de la revisión de la política de seguridad y las consideraciones sobre la auditoría de sistemas. Es en este objetivo de control donde además de asegurar que la empresa está cumpliendo con las regulaciones propias del entorno donde ejecuta su actividad económica, también se busca garantizar que se cuenten con los procedimientos adecuados que permitan la revisión y mejora del sistema de gestión de seguridad de la información.
Teniendo en cuenta este dominio de control la empresa podrá evitar incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requisito de seguridad, que pueda tener como consecuencia para la empresa algún tipo de multa o demanda. Es importante identificar cuales son los requisitos en cuanto al diseño, operación y gestión de los sistemas de información con los que cuenta la empresa para de esta forma cuales son los requisitos legales específicos que deberían ser tenidos en cuenta. Cabe destacar que estos requisitos pueden cambiar de un país a otro.
Estos requisitos legales pueden estar relacionados con el manejo de la propiedad intelectual, el uso y disposición de los registros contables de la empresa, el manejo de las obligaciones contractuales entre otro tipo de características que pueden ser inherentes a la actividad económica de cada empresa. Por ejemplo para entidad financiera no aplican las mismas consideraciones que para una empresa de distribución.
Por otra parte, en este mismo dominio de control se contempla el hecho de que se debe garantizar la conformidad de los sistemas con las políticas y estándares de seguridad que fueron definidos por la organización. De esta forma deben ser establecidos los procedimientos que estén más acordes con la realidad de cada empresa para que se realicen revisiones periódicas de los sistemas de información según las políticas de seguridad adoptadas por la empresa. Con este tipo de revisiones se podrá evaluar si realmente se ejecutan de forma correcta los procedimientos implementados.
Finalmente, en este dominio de control se resalta la importancia que tiene la auditoría del sistema para garantizar su mejoramiento continuo. En este sentido la empresa debe garantizar que existen los controles para asegurar, además de la seguridad de los activos de información de la empresa, la seguridad de herramientas de auditoria. De esta forma se busca optimizar la efectividad del proceso de auditoría sobre los sistemas de información, minimizando los conflictos de interés en su gestión.
Vemos entonces que la norma además de ser bastante extensa en los requerimientos para implementar un sistema de gestión que abarque la totalidad de activos de información de una empresa, también incluye las actividades necesarias que toda empresa debería seguir para que estos sistemas sean realmente gestionables y que perduren en el tiempo.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
