15. CUMPLIMIENTO

15.1 CUMPLIMIENTO DE LOS REQUISITOS LEGALES

Objetivo: evitar el incumplimiento de cualquier ley, de obligaciones estatutarias,
reglamentarias o contractuales y de cualquier requisito de seguridad.
El diseño, el uso, la operación y la gestión de los sistemas de información pueden estar
sujetos a requisitos de seguridad estatutarios, reglamentarios y contractuales.
Se debería buscar asesoría sobre los requisitos legales específicos de los asesores jurídicos de la organización o de abogados practicantes calificados. Los requisitos legales varían de un país a otro y pueden variar para la información creada en un país y que se transmite a otro (es decir, el flujo de datos trans-fronterizo).

15.1.1 Identificación de la legislación aplicable

Control

Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, así como el
enfoque de la organización para cumplir estos requisitos se deberían definir explícitamente,
documentar y mantener actualizados para cada sistema de información y para la organización
Guía de implementación
Los controles específicos y las responsabilidades individuales para cumplir estos requisitos se deberían definir y documentar de forma similar

15.1.2 Derechos de propiedad intelectual (DPI)

Control

Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los
requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados.
Guía de implementación
Se deberían tomar en consideración las siguientes directrices para proteger todo material que se pueda considerar propiedad intelectual:
a) publicar una política de cumplimiento de los derechos de propiedad intelectual que
defina el uso legal del software y de los productos de información;
b) adquirir software únicamente a través de fuentes conocidas y de confianza para
garantizar que no se violan los derechos de copia;
c) mantener la concientización sobre las políticas para proteger los derechos de propiedad
intelectual y notificar la intención de tomar acciones disciplinarias para el personal que
los viole;
d) mantener registros apropiados de los activos e identificar todos los activos con
requisitos para proteger los derechos de propiedad intelectual;
e) mantener prueba y evidencia sobre la propiedad de licencias, discos maestros,
manuales, etc.;
f) implementar controles para asegurar que no se excede el número máximo de usuarios
permitidos;
g) verificar que únicamente se instalan software autorizado y productos con licencia;
h) suministrar una política para mantener las condiciones de licencia apropiadas;
i) suministrar una política para la disposición o transferencia de software a otros;
j) usar las herramientas de auditoría adecuadas;
k) cumplir los términos y condiciones para el software y la información obtenidos de redes
públicas;
l) no duplicar, convertir en otro formato ni extraer de grabaciones comerciales (película,
audio) diferentes a los permitidos por la ley de derechos de copia;
m) no copiar total ni parcialmente libros, artículos, informes ni otros documentos diferentes
a los permitidos por la ley de derechos de copia.
Información adicional
Los derechos de propiedad intelectual incluyen derechos de copia de software o de
documentos, derechos de diseño, marcas registradas, patentes y licencias de códigos fuente.
Los productos de software patentados usualmente se suministran bajo un acuerdo de licencia
que especifica los términos y condiciones de la licencia, por ejemplo, limitar el uso de los
productos a máquinas específicas o limitar el copiado a la creación de copias de respaldo
únicamente. La situación de DPI del software desarrollado por la organización requiere ser
aclarada con el personal.
Los requisitos legales, reglamentarios y contractuales pueden imponer restricciones a la copia de material patentado. En particular pueden exigir que únicamente se utilice el material desarrollado por la organización o que tiene licencia y es suministrado a la organización por quien lo desarrolla. La violación de los derechos de copia puede conducir a acciones legales que pueden implicar procedimientos judiciales.

15.1.3 Protección de los registros de la organización

Control

Los registros importantes se deberían proteger contra pérdida, destrucción y falsificación, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio.
Guía de implementación
Los registros se deberían clasificar en tipos de registro, por ejemplo registros de contabilidad, registros de bases de datos, registros de transacciones, registros de auditoría y procedimientos operativos, cada uno con detalles de los periodos de retención y los tipos de medio de almacenamiento como papel, microfichas, medios magnéticos, ópticos, etc. Todo material relacionado con claves criptográficas y programas asociados con archivos encriptados o firmas digitales (véase el numeral 12.3), también se debería almacenar para permitir el descifrado de los registros durante el periodo de tiempo durante el cual se retienen los registros.
Es conveniente tomar en consideración la posibilidad de deterioro de los medios utilizados para almacenar los registros. Los procedimientos de almacenamiento y manipulación se deberían implementar según las recomendaciones del fabricante. Para almacenamiento a largo plazo, se recomienda considerar el uso de papel y microfichas.
procedimientos para garantizar la capacidad de acceso a los datos (facilidad tanto del medio como del formato) durante todo el periodo de retención para salvaguardar contra pérdida debido a cambio en la tecnología futura.
Los sistemas de almacenamiento de datos se deberían seleccionar de forma tal que los datos requeridos se puedan recuperar en el periodo de tiempo y el formato aceptable, dependiendo de los requisitos que se deben cumplir.
El sistema de almacenamiento y manipulación debería garantizar la identificación de los
registros y de su periodo de retención tal como se define en los reglamentos o la legislación
nacional o regional, si se aplica. Este sistema debería permitir la destrucción adecuada de los registros después de este periodo, si la organización no los necesita.
Para cumplir estos objetivos de salvaguarda de registros, la organización debería seguir los
siguientes aspectos:
a) se deberían publicar directrices sobre retención, almacenamiento, manipulación y
eliminación de registros e información;
b) es conveniente publicar una programación de retención que identifique los registros y el
periodo de tiempo de su retención;
c) se recomienda conservar un inventario de las fuentes de información clave;
d) se deberían implementar los controles apropiados para proteger los registros y la
información contra pérdida, destrucción y falsificación.
Información adicional
Puede ser necesario retener algunos registros de manera segura para cumplir requisitos
estatutarios, reglamentarios o contractuales, así como para dar soporte a las actividades
esenciales del negocio. Los ejemplos incluyen los registros que se pueden necesitar como para garantizar la defensa adecuada contra potenciales acciones civiles o criminales o para
confirmar el estado financiero de la organización con respecto a socios, terceras partes y
auditores. El periodo de tiempo y el contenido de los datos para la retención de información
pueden ser establecidos por la ley o la reglamentación nacional.
Información adicional sobre la gestión de los registros de la organización se puede encontrar en la norma ISO 15489-1.

15.1.4 Protección de los datos y privacidad de la información personal

Control

Se debería garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si se aplica, con las cláusulas del contrato.
Guía de implementación
Se debería desarrollar e implementar una política de protección y privacidad de los datos. Esta política se debería comunicar a todas las personas involucradas en el procesamiento de información personal.
El cumplimiento de esta política y de todos los reglamentos y leyes pertinentes a la protección de datos requiere estructura y control adecuados de gestión. Con frecuencia esto se logra mejor nombrando a una persona responsable, como por ejemplo un funcionario para protección
de datos, quien debería brindar guía a directores, usuarios y proveedores de servicios sobre sus responsabilidades individuales y los procedimientos específicos que se deberían seguir. La responsabilidad del manejo de la información personal y de la concientización sobre los principios de protección de datos debería estar acorde con los reglamentos y la legislación correspondientes. Se deberían implementar medidas técnicas y organizacionales apropiadas.
Información adicional
Varios países han introducido leyes que imponen controles a la recolección, el procesamiento y la transmisión de datos personales (generalmente se trata de información sobre personas vivas que pueden ser identificadas a partir de tal información). Dependiendo de la respectiva legislación nacional, estos controles pueden imponer funciones sobre aquellos que recolectan, procesan y distribuyen información personal y pueden restringir la capacidad de transferencia de datos a otros países.

15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información

Control

Se debería disuadir a los usuarios de utilizar los servicios de procesamiento de información
para propósitos no autorizados.
Guía de implementación
La dirección debería aprobar el uso de los servicios de procesamiento de información. Todo
uso de estos servicios para propósitos no relacionados con el negocio sin autorización de la
dirección (véase el numeral 6.1.4), o para cualquier propósito no autorizado se debería
considerar uso inadecuado de los servicios. Si se identifica alguna actividad no autorizada por medio de monitoreo u otros medios, esta actividad debería llamar la atención del director correspondiente para estudiar la acción legal y/o disciplinaria adecuada.
Antes de implementar los procedimientos de monitoreo se debería tener asesoría legal.
Todos los usuarios deberían conocer el alcance preciso de su acceso permitido y del monitoreo implementado para detectar el uso no autorizado. Esto se puede lograr dando a los usuarios autorización escrita, una copia de la cual debería estar firmada por el usuario y la organización debería conservarla. A los empleados de la organización, contratistas y usuarios de terceras partes se les debería advertir que no se permitirá acceso que no esté autorizado.
En el momento del registro de inicio, se debería presentar un mensaje de advertencia que
indique que el servicio de procesamiento de información al cual se está ingresando es
propiedad de la organización y que no se permite el acceso no autorizado. El usuario debe
reconocer y reaccionar apropiadamente al mensaje de la pantalla para continuar con el proceso de registro de inicio (véase el numeral 11.5.1).
Información adicional
Los servicios de procesamiento de información de una organización tienen el fin principal o
exclusivo de los propósitos del negocio.
La detección de intrusión, la inspección del contenido y otras herramientas de monitoreo
pueden ayudar y evitar el uso inadecuado de los servicios de procesamiento de información.
Muchos países tienen legislaciones que protegen contra el uso inadecuado del computador.
Puede ser un acto criminal usar el computador con propósitos no autorizados.
La legalidad de monitorear la utilización varía de un país a otro y puede exigir que la dirección advierta a los usuarios sobre tal monitoreo y / o obtenga su acuerdo. Cuando el sistema al cual se ingresa se utiliza para acceso público (por ejemplo en un servidor web público) y está sujeto a monitoreo de seguridad, se debería mostrar un mensaje que así lo indique.

15.1.6 Reglamentación de los controles criptográficos

Control

Se deberían utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los
reglamentos pertinentes.
Guía de implementación
Se recomienda tener presentes los siguientes elementos para el cumplimiento con acuerdos, leyes y reglamentos pertinentes:
a) restricción de importaciones y/o exportaciones de hardware y software de computadores
para la ejecución de funciones criptográficas;
b) restricción de importaciones y/o exportaciones de hardware y software de computadores
diseñados para adicionarles funciones criptográficas;
c) restricciones al uso de encriptación;
d) métodos obligatorios o discrecionales de acceso por parte de las autoridades del país a
la información encriptada mediante hardware o software para brindar confidencialidad al
contenido.
Se debería buscar asesoría legal para garantizar el cumplimiento con las leyes y los
reglamentos nacionales. Antes de desplazar la información encriptada o los controles
criptográficos a otros países, se debería tener asesoría legal.

15.2 CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO

Objetivo: asegurar que los sistemas cumplen con las normas y políticas de seguridad de la
organización.
La seguridad de los sistemas de información se debería revisar a intervalos regulares.
Dichas revisiones se deberían llevar a cabo frente a las políticas de seguridad apropiadas y se deberían auditar las plataformas técnicas y los sistemas de información para determinar el cumplimiento de las normas aplicables sobre implementación de la seguridad y los controles de seguridad documentados.

15.2.1 Cumplimiento con las políticas y las normas de seguridad

Control

Los directores deberían garantizar que todos los procedimientos de seguridad dentro de sus áreas de responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las políticas y las normas de seguridad.
Guía de implementación
Los directores deberían revisar con regularidad en su área de responsabilidad el cumplimiento del procesamiento de información con las políticas de seguridad adecuadas, las normas y cualquier otro requisito de seguridad.
Si se halla algún incumplimiento como resultado de la revisión, los directores deberían:
a) determinar la causa del incumplimiento;
b) evaluar la necesidad de acciones para garantizar que no se presenten incumplimientos;
c) determinar e implementar la acción correctiva apropiada,
d) revisar la acción correctiva que se ejecutó.
Se deberían registrar los resultados de las revisiones y las acciones correctivas llevadas a cabo por los directores y conservar dichos registros. Los directores deberían informar de los
resultados a las personas que realizan revisiones independientes (véase el numeral 6.1.8),
cuando la revisión independiente tiene lugar en el área de su responsabilidad.
Información adicional
En el numeral 10.10 se discute el monitoreo operativo del sistema.

15.2.2 Verificación del cumplimiento técnico

Control

Los sistemas de información se deberían verificar periódicamente para determinar el
cumplimiento con las normas de implementación de la seguridad.
Guía de implementación
La verificación del cumplimiento técnico se debería realizar bien sea manualmente (con soporte de las herramientas de software apropiadas, si es necesario) por un ingeniero de sistemas con experiencia y / o con la ayuda de herramientas automáticas que generan un informe técnico para la interpretación posterior por parte del especialista técnico.
Si se utilizan evaluaciones de vulnerabilidad o pruebas de penetración, se recomienda tener cuidado puesto que dichas actividades pueden poner en peligro la seguridad del sistema. Tales pruebas se deberían planificar, documentar y ser repetibles.
La verificación del cumplimiento técnico únicamente la deberían realizar personas autorizadas y competentes o bajo supervisión de dichas personas.
Información adicional
La verificación del cumplimiento técnico involucra el examen de los sistemas operativos para asegurar que los controles de hardware y software se han implementado correctamente. Este tipo de verificación del cumplimiento requiere experiencia técnica especializada.
La verificación del cumplimiento también comprende, por ejemplo pruebas de penetración y
evaluaciones de la vulnerabilidad, las cuales pueden ser realizadas por expertos
independientes especialmente contratados para este propósito. Ello puede ser útil para
detectar vulnerabilidades en el sistema y verificar qué tan efectivos son los controles evitando el acceso no autorizado debido a estas vulnerabilidades.
Las pruebas de penetración y las evaluaciones de vulnerabilidad proveen una visión
instantánea de un sistema en un estado específico en un momento específico. Esta
instantánea se limita a aquellas porciones del sistema que se someten a prueba real durante el (los) intento (s) de penetración. Las pruebas de penetración y las evaluaciones de vulnerabilidad no substituyen a la evaluación de riesgos.

15.3 CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN

Objetivo: maximizar la eficacia de los procesos de auditoría de los sistemas de información y minimizar su interferencia.
Deberían existir controles para salvaguardar los sistemas operativos y las herramientas de
auditoría durante las auditorías de los sistemas de información.
También se requiere protección para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoría.

15.3.1 Controles de auditoría de los sistemas de información

Control

Los requisitos y las actividades de auditoría que implican verificaciones de los sistemas
operativos se deberían planificar y acordar cuidadosamente para minimizar el riesgo de
interrupciones de los procesos del negocio.
Guía de implementación
Se deberían tener presente las siguientes directrices:
a) los requisitos de auditoría se deberían acordar con la dirección correspondiente;
b) se debería acordar y controlar el alcance de las verificaciones;
c) las verificaciones se deberían limitar al acceso de sólo lectura del software y los datos;
d) el acceso diferente al de sólo lectura únicamente se debería permitir para copias
aisladas de archivos del sistema que se puedan borrar al terminar la auditoría, o se
debería dar protección adecuada, si existe la obligación de conservar dichos archivos
según los requisitos de documentación de la auditoría;
e) los recursos para llevar a cabo las verificaciones se deberían identificar explícitamente y
estar disponibles;
f) se deberían identificar y acordar los requisitos para el procesamiento especial o
adicional;
g) todo acceso se debería monitorear y registrar para crear un rastro para referencia; el
uso de rastros de referencia de tiempo se debería considerar para datos o sistemas
críticos;
h) se recomienda documentar todos los procedimientos, requisitos y responsabilidades;
i) la persona que realiza la auditoría debería ser independiente de las actividades
auditadas.

15.3.2 Protección de las herramientas de auditoría de los sistemas de información

Control

Se debería proteger el acceso a las herramientas de auditoría de los sistemas de información para evitar su uso inadecuado o ponerlas en peligro.
Guía de implementación
Las herramientas de auditoría de los sistemas de información, por ejemplo, software o archivos de datos, se deberían separar de los sistemas operativos y de desarrollo y no mantenerse en librerías de cinta, salvo que se les proporcione un nivel adecuado de protección adicional.