Cumplimiento

Anexo 18 - ISO 27001

Video Consejo INCIBE

Descubre qué debes incluir en los acuerdos de confidencialidad


Explicación orientativa

El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales.

Los requisitos normativos y contractuales pertinentes a cada sistema de información deberían estar debidamente definidos y documentados.

El objetivo es cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la organización y/o a los empleados que incurran en responsabilidad civil o penal como resultado de incumplimientos.

Se debe revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

18.1 Cumplimiento de los requisitos legales y contractuales

El objetivo es evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la seguridad de la información y/o de cualquier otro requisito de seguridad.

El diseño, operación, uso y gestión de los sistemas de información pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.

Los requisitos legales específicos deberían ser advertidos por los asesores legales de la organización o por profesionales adecuadamente cualificados.

Los requisitos que marca la legislación cambian de un país a otro y pueden variar para la información que se genera en un país y se transmite a otro país distinto (por ej., flujos de datos entre fronteras).

Obtenga asesoramiento legal competente, especialmente si la organización opera o tiene clientes en múltiples jurisdicciones.

Una falta de control en estos aspectos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...)

18.1.1 Identificación de la legislación aplicable: Se deberían identificar, documentar y mantener al día de manera explícita para cada sistema de información y para la organización todos los requisitos estatutarios, normativos y contractuales legislativos junto al enfoque de la organización para cumplir con estos requisitos.

18.1.2 Derechos de propiedad intelectual (DPI): Se deberían implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.

18.1.3 Protección de los registros de la organización: Los registros se deberían proteger contra pérdidas, destrucción, falsificación, accesos y publicación no autorizados de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.

18.1.4 Protección de datos y privacidad de la información personal: Se debería garantizar la privacidad y la protección de la información personal identificable según requiere la legislación y las normativas pertinentes aplicables que correspondan.

18.1.5 Regulación de los controles criptográficos: Se deberían utilizar controles de cifrado de la información en cumplimiento con todos los acuerdos, la legislación y las normativas pertinentes.

Key differences from traditional builders:
* Minimalistic, extremely easy-to-use interface
* Mobile-friendliness, latest website blocks and techniques "out-the-box"
* Free for commercial and non-profit use

Agencia Española Protección de Datos: Publicaciones en español sobre cuestiones y legislación relevante en la prestación de servicios e intercambio de información con especial atención a los datos de carácter personal y a la protección de la privacidad de los individuos.


Centro Nacional para la Protección de las Infraestructuras Críticas: Órgano director y coordinador de cuantas actividades relacionadas con la protección de las infraestructuras críticas tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior, a la que está adscrito. El principal objetivo es prestar una eficaz colaboración para mantener seguras las infraestructuras críticas españolas que proporcionan los servicios esenciales a nuestra sociedad. Legislación aplicable, enlaces nacionales e internacionales desde la web del centro.


Fiscal.es: Documentación y normativa de la fiscalía especialista en materia de delincuencia informática.


CSIRT Comunitat Valenciana: Información y recursos en materia de seguridad de la información con referencias a la legislación vigente realizada por el Centro de Seguridad TIC de Comunidad Valenciana.


ENISA: Resumen de las áreas de actividad a las que aplica legistlación en la UE en relacióna a la declaración de incidentes y acciones relacionadas con la Ciberseguridad.


Esquema Nacional de Seguridad (España): El ámbito de aplicación del Esquema Nacional de Seguridad es el de las Administraciones Públicas, los ciudadanos en sus relaciones con las mismas y el de las relaciones entre ellas, según se establece en el artículo 2 de la Ley 11/2007. Estarán excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo de la Agencia Española de Protección de Datos y del Consejo de Estado.


EUR-LEx: La Comisión Europea propone una serie de medidas tendentes a reforzar la prevención, la preparación y la respuesta de la Unión ante ataques terroristas contra infraestructuras críticas.


Information Shield: Enlace a una lista de leyes internacionales de privacidad por país y región. (inglés).


Portal de la Administración Pública: El Portal de la Administración Electrónica tiene como objetivo ser el punto único de atención para los ciudadanos, empresas y Administraciones Públicas, coordinando los esfuerzos de contenidos, tecnología y personas hacia la consecución del punto único de información de Administración electrónica. Incluye documentos correspondientes a proyectos de normas técnicas relacionadas con el ámbito de la gestión documental, el intercambio de asientos registrales, la firma electrónica y la conexión a la Red de comunicaciones de las Administraciones Públicas españolas.


RED IBEROAMERICA DE PROTECCION DE DATOS: La Red Iberoamericana de Protección de Datos (RIPD), surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD) con la asistencia de representantes de 14 países iberoamericanos. Desde su portal se puede localizar información de la legislación relevantes y agencias de los 14 países.


Belarc: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.


BSA: Herramientas para la auditoría promovido por Business Software Alliance, para el control corporativo de activos de software y sus correspondientes licencias.


Copyscape: Copyscape es una herramienta online que permite detectar plagios de una página web (tiene una versión gratuita).


Creative Commons: Las licencias Creative Commons propocionan alternativas estandarizadas al sistema habitual de propiedad intelectual de "todos los derechos reservados".


Viper Plagiarism: Aplicación antiplagio compatible con Windows que escanea y su originalidad.


Plagiarisma: Aplicación antiplagio que se aplica a cualquier texto pegado o subido a la página.


PaperRater: Aplicación antiplagio que analiza estructuras gramaticales y la originalidad de su construcción (p.ej. en casos de traducciones literales de traductores como el de Google).


Copyscape: Aplicación antiplagio que comprueba la originalidad del texto y en caso de plagio averigua de dónde se ha obtenido el mismo.


Free Software Foundation: La Licencia Pública General GNU (GNU GPL) es la licencia de software libre más utilizada.


ISO: Especificaciones para el etiquetado de software con el objeto de optimizar su identificación y gestión. (inglés).


Ministerio de Cultura: Ley de propiedad intelectual española.


Ministerio de la Presidencia: Modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.


ManageEngine: Herramienta de gestión de activos en red, que ayuda, entre otras cosas, a la gestión de licencias. La versión gratuita tiene un límite de 25 nodos. La versión de prueba de 30 días, un límite de 250.


SANS: Modelos para la comunicación y gestión de incidentes contra la propiedad intelectual (inglés).


Software Legal: Portal argentino con información, legislación, enlaces, consejos, etc., sobre software legal.


Wikipedia: Gráfico que establece un mapa conceptual del software libre.


AGENCIA ESPAÑOLA DE PROTECCION DE DATOS: Herramienta de diagnóstico basado en un autotest basado en preguntas con respuesta múltiple. Al final, la Agencia Española de Protección de Datos, le facilita un informe con indicaciones y recursos que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD.


Agencia Española de Protección de Datos: Legislación y canal de documentación de la Agencia de Protección de Datos española con recomendaciones, informes jurídicos, resoluciones, sentencias, códigos tipo, entre otros, relacionados con la Ley Orgánica de Protección de Datos de Carácter Personal.


BOE: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Legislación española.


Security Breaches: Este blog, escrito en inglés, francés, portugués y español incluye opiniones, comentarios sobre noticias recientes, leyes u otros desarrollos, notas de investigación e informes de conferencias en el área de violaciones a la seguridad de la información, principalmente en los Estados Unidos, Europa y América Latina.


Identity Finder: Sistema de protección de identidad en el ordenador con versión gratuita. Identity Finder localiza números de tarjetas de crédito y contraseñas que son vulnerables al robo de identidad y fraude. Permite buscar los archivos que pueden contener información personal privada como Word, Excel, PowerPoint, Adobe PDF, texto y HTML. Una vez encontrado, el uso de las herramientas permite eliminar definitivamente los archivos, eliminar las contraseñas de Firefox e Internet Explorer para Windows y asegurar la información sensible. El uso adicional de herramientas integradas de seguridad, como la bóveda de identidad File Finder y Shredder para asegurarse de que su identidad está a salvo en su ordenador.


Safe Harbor: Este website proveee la informacion actualizada sobre el estado del programa U.S.-EU Safe Harbor.


BOE: La Ley de Economía Sostenible modifica aspectos de la LOPD en la Disposición final quincuagésima sexta, especialmente en el tema de sanciones.



18.2 Revisiones de la seguridad de la información

El objetivo es garantizar que la seguridad de la información se implemente y opere de acuerdo con las políticas y los procedimientos organizacionales.

Se deberían realizar revisiones regulares de la seguridad de los sistemas de información.

Las revisiones se deberían realizar según las políticas de seguridad apropiadas y las plataformas técnicas y sistemas de información deberían ser auditados para el cumplimiento de los estándares adecuados de implantación de la seguridad y controles de seguridad documentados.

Alinee los procesos de auto-evaluación de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la dirección y verificaciones externas de buen funcionamiento.

Deberían existir controles para proteger los sistemas en activo y las herramientas de auditoría durante el desarrollo de las auditorías de los sistemas de información.

Invierta en auditoría TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estándares y métodos de buenas prácticas similares como referencias de comparación.

Examine ISO 19011 "Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental" como fuente valiosa para la realización de auditorías internas del SGSI.

Una falta de control en estos aspectos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...) 

18.2.1 Revisión independiente de la seguridad de la información: Se debería revisar el enfoque de la organización para la implementación (los objetivos de control, los controles, las políticas, los procesos y procedimientos para la seguridad de la información) y gestión de la seguridad de la información en base a revisiones independientes e intervalos planificados o cuando tengan lugar cambios significativos en la organización.

18.2.2 Cumplimiento de las políticas y normas de seguridad: Los gerentes deberían revisar regularmente el cumplimiento del procesamiento y los procedimientos de información dentro de su área de responsabilidad respecto a las políticas, normas y cualquier otro tipo de requisito de seguridad correspondiente.

18.2.3 Comprobación del cumplimiento: Los sistemas de información se deberían revisar regularmente para verificar su cumplimiento con las políticas y normas de seguridad dispuestas por la información de la organización.

Número de cuestiones o recomendaciones de política interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).

Porcentaje de revisiones de cumplimiento de seguridad de la información sin incumplimientos sustanciales.

Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).

Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.

The Center for Internet Security: Variedad de herramientas de auditoría (en modalidad de libre acceso, pago por uso, suscripción o según zonas territoriales) para evaluar el cumplimiento de los puntos de referencia CIS.


Microsoft TechNet: Guías de seguridad para la auditoría y la monitorización.


OSSIM: Open Source Security Information Management: Colección de herramientas bajo la licencia BSD, diseñadas para ayudar a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención.


DSNIFF: Colección de herramientas de auditoría para redes y de penetración. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorizan la red en busca de datos de interés (passwords, e-mail, files, etc.). arpspoof, dnsspoof, y macof facilitan la intercepción de tráfico de red habitualmente no disponible a un atacante (p.ej. layer-2 switching). sshmitm y webmitm para ataques "monkey-in-the-middle" para redirecciones de sesiones SSH y HTTPS.


Backtrack: BackTrack está dirigido a público profesional en la seguridad con más experiencia y a recién llegados al campo de la seguridad de la información. BackTrack promueve una forma rápida y fácil de encontrar y actualizar la base de datos más grande en herramientas de seguridad.


SANS: SIFT Workstation es un Appliance de VMware pre-configurado con todas las herramientas necesarias para llevar a cabo un examen forense detallado digital. Es compatible con el formato Expert Witness Format (E01), Advanced Forensic Format (AFF), y formatos raw (dd) de evidencias.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de auditorías internas.


Microsoft Technet: La Herramienta de Evaluación de Seguridad de Microsoft (MSAT) es una herramienta gratuita, en español, diseñada para ayudar a las organizaciones de menos de 1.000 empleados a evaluar los puntos débiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad así como orientación específica para minimizar esos riesgos.


ISO27001security.com: Modelo de procedimiento, en inglés, para el establecimiento de un proceso de auditoría interna de un SGSI, conforme a ISO 27001. Está realizado por el ISO 27001 Implementer’s Forum.


FFIEC: Diversas listas de verificación -checklists- y recursos, en inglés, del Federal Financial Institutions Examination Council, para auditar los procesos de planificación de continuidad de negocio, desarrollo y adquisición de TI, banca electrónica, seguridad de la información, outsourcing de TI, dirección y gestión de TI, operaciones TI, supervisión de proveedores TI, retail payment systems, wholesale payment systems y del propio proceso de auditoría TI.


© 2005 Aviso Legal - Términos de uso información iso27000.es