ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

18. Cumplimiento

El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales.


Los requisitos normativos y contractuales pertinentes a cada sistema de información deberían estar debidamente definidos y documentados.


El objetivo es cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la organización y/o a los empleados que incurran en responsabilidad civil o penal como resultado de incumplimientos.


Se debe revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.



Objetivo de control


Objetivo

El objetivo es evitar incumplimientos a requisitos relacionados con la seguridad de la información de cualquier tipo especialmente a las obligaciones legales, estatutarias, normativas o contractuales.


18.1 Cumplimiento de los requisitos legales y contractuales

El diseño, operación, uso y gestión de los sistemas de información pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.


Los requisitos legales específicos deberían ser advertidos por los asesores legales de la organización o por profesionales adecuadamente cualificados.


Los requisitos que marca la legislación cambian de un país a otro y pueden variar para la información que se genera en un país y se transmite a otro país distinto (por ej., flujos de datos entre fronteras).


Obtenga asesoramiento legal competente, especialmente si la organización opera o tiene clientes en múltiples jurisdicciones.


Actividades de control del riesgo

18.1.1 Identificación de la legislación aplicable: Se deberían identificar, documentar y mantener al día de manera explícita para cada sistema de información y para la organización todos los requisitos estatutarios, normativos y contractuales legislativos junto al enfoque de la organización para cumplir con estos requisitos.


18.1.2 Derechos de propiedad intelectual (DPI): Se deberían implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.


18.1.3 Protección de los registros de la organización: Los registros se deberían proteger contra pérdidas, destrucción, falsificación, accesos y publicación no autorizados de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.


18.1.4 Protección de datos y privacidad de la información personal: Se debería garantizar la privacidad y la protección de la información personal identificable según requiere la legislación y las normativas pertinentes aplicables que correspondan.


18.1.5 Regulación de los controles criptográficos: Se deberían utilizar controles de cifrado de la información en cumplimiento con todos los acuerdos, la legislación y las normativas pertinentes.


Métricas asociadas

Número de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).


Porcentaje de requisitos externos clave que, mediante auditorías objetivas o de otra forma admisible, han sido considerados conformes.


Enlaces a soluciones recomendadas

Agencia Española Protección de Datos: Publicaciones en español sobre cuestiones y legislación relevante en la prestación de servicios e intercambio de información con especial atención a los datos de carácter personal y a la protección de la privacidad de los individuos.


BSA: Guía en español de la Business Software Alliance de argumentos jurídicos relacionados con los riesgos de utilizar software no legal en las organizaciones.


Centro Nacional para la Protección de las Infraestructuras Críticas: Órgano director y coordinador de cuantas actividades relacionadas con la protección de las infraestructuras críticas tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior, a la que está adscrito. El principal objetivo es prestar una eficaz colaboración para mantener seguras las infraestructuras críticas españolas que proporcionan los servicios esenciales a nuestra sociedad. Legislación aplicable, enlaces nacionales e internacionales desde la web del centro.


COMISION DEL MERCADO DE LAS TELECOMUNICACIONES: La situación legal de los programas criptológicos varía según los países, y las leyes que rigen el uso y comercio de estos programas evolucionan con rapidez. Wikitel es un proyecto promovido por la Comisión del Mercado de las Telecomunicaciones (CMT).


CRIMINALIDAD INFORMÁTICA DE LAS FISCALÍAS: Sobre el Fiscal de sala de criminalidad informática y las secciones de criminalidad informática de las fiscalías.


CSIRT Comunitat Valencian: Listado de legislación vigente realizada por el Centro de Seguridad TIC de Comunidad Valenciana..


DGONZALEZ.NET: En este capítulo desarrollado por Diego González se hace un breve repaso por el estado de los sistemas legales del mundo, en el marco legal de Europa y en el de España. Se comentan los aspectos legales relacionados con delitos informáticos, y más concretamente, los relacionados con los Sistemas de Detección de Intrusiones.


ENISA: Sumario de legislación relevante a incidentes y medidas relacionadas con la Ciberseguridad..


Esquema Nacional de Seguridad (España): El ámbito de aplicación del Esquema Nacional de Seguridad es el de las Administraciones Públicas, los ciudadanos en sus relaciones con las mismas y el de las relaciones entre ellas, según se establece en el artículo 2 de la Ley 11/2007. Estarán excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo de la Agencia Española de Protección de Datos y del Consejo de Estado.


EUROPA - Official site: La Comisión Europea propone una serie de medidas tendentes a reforzar la prevención, la preparación y la respuesta de la Unión ante ataques terroristas contra infraestructuras críticas.


INFORMATION SHIELD: Enlace a una lista de leyes internacionales de privacidad por país y región. (inglés).


Portal de la Administración Pública: El Portal de la Administración Electrónica tiene como objetivo ser el punto único de atención para los ciudadanos, empresas y Administraciones Públicas, coordinando los esfuerzos de contenidos, tecnología y personas hacia la consecución del punto único de información de Administración electrónica. Incluye documentos correspondientes a proyectos de normas técnicas relacionadas con el ámbito de la gestión documental, el intercambio de asientos registrales, la firma electrónica y la conexión a la Red de comunicaciones de las Administraciones Públicas españolas.


RED IBEROAMERICA DE PROTECCION DE DATOS: La Red Iberoamericana de Protección de Datos (RIPD), surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD) con la asistencia de representantes de 14 países iberoamericanos. Desde su portal se puede localizar información de la legislación relevantes y agencias de los 14 países.


100% legal: Portal del Ministerio de Industria español con información sobre software legal, enlaces a software libre, etc.


Belarc: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.


BSA: Guía de buenas prácticas en español, de la Business Software Alliance, para el control corporativo de activos de software y sus correspondientes licencias.


Copyscape: Copyscape es una herramienta online que permite detectar plagios de una página web (tiene una versión gratuita).


Creative Commons: Las licencias Creative Commons propocionan alternativas estandarizadas al sistema habitual de propiedad intelectual de "todos los derechos reservados".


EducaRed: La aplicación Antiplagio, de EducaRed, permite localizar e identificar documentos plagiados a partir del análisis de diferentes fuentes.


Free Software Foundation: La Licencia Pública General GNU (GNU GPL) es la licencia de software libre más utilizada.


Frontrange: Herramienta de realización de inventarios de HW y SW en una red. La versión de prueba de 30 días permite hacer un inventario gratuito de hasta 25 PCs.


ISO: Especificaciones para el etiquetado de software con el objeto de optimizar su identificación y gestión. (inglés).


Ministerio de Cultura: Ley de propiedad intelectual española.


Ministerio de Cultura: Guía del Ministerio de Cultura español sobre cómo implantar medidas en una red informática para garantizar el cumplimiento del derecho de propiedad intelectual.


Ministerio de la Presidencia: Modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.


ManageEngine: Herramienta de gestión de activos en red, que ayuda, entre otras cosas, a la gestión de licencias. La versión gratuita tiene un límite de 25 nodos. La versión de prueba de 30 días, un límite de 250.


Microsoft: Microsoft Software Inventory Analyzer es una herramienta que permite hacer un inventario automatizado de todo el software de Microsoft instalado en un equipo o en una red.


Microsoft: Guía en español, publicada por Microsoft, sobre aspectos relacionados con el software legal: conceptos, legislación, herramientas, etc.


SANS: Modelos para la comunicación y gestión de incidentes contra la propiedad intelectual (inglés).


Software Legal: Portal argentino con información, legislación, enlaces, consejos, etc., sobre software legal.


Wikipedia: Gráfico que establece un mapa conceptual del software libre.


AGENCIA ESPAÑOLA DE PROTECCION DE DATOS: Herramienta de diagnóstico basado en un autotest basado en preguntas con respuesta múltiple. Al final, la Agencia Española de Protección de Datos, le facilita un informe con indicaciones y recursos que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD.


AGENCIA ESPAÑOLA DE PROTECCION DE DATOS: Canal de documentación de la Agencia de Protección de Datos española, con legislación, recomendaciones, informes jurídicos, resoluciones, sentencias, códigos tipo, etc., relacionados con la Ley Orgánica de Protección de Datos de Carácter Personal.


BOE: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Legislación española.


EPIC: EPIC es un centro de investigacín de interés público establecido en 1994 que dedica especial atención a la protección de la privacidad y libertades civiles. EPIC ha recibido premios por la publicación de sus noticias, además de reportajes, libros entre otros asuntos de interés.


IDENTITY FINDER: Sistema de protección de identidad en el ordenador con versión gratuita. Identity Finder localiza números de tarjetas de crédito y contraseñas que son vulnerables al robo de identidad y fraude. Permite buscar los archivos que pueden contener información personal privada como Word, Excel, PowerPoint, Adobe PDF, texto y HTML. Una vez encontrado, el uso de las herramientas permite eliminar definitivamente los archivos, eliminar las contraseñas de Firefox e Internet Explorer para Windows y asegurar la información sensible. El uso adicional de herramientas integradas de seguridad, como la bóveda de identidad File Finder y Shredder para asegurarse de que su identidad está a salvo en su ordenador.


SAFE HARBOR: Este website proveee la informacion que una organización necesitaría contemplar (y posteriormente cumplir) en relación al programa U.S.-EU Safe Harbor además de consejerías comerciales disponibles para consulta en todo el mundo.


BOE: La Ley de Economía Sostenible modifica aspectos de la LOPD en la Disposición final quincuagésima sexta, especialmente en el tema de sanciones.



Objetivo de control


Objetivo

El objetivo es garantizar que se implementa y opera la seguridad de la información de acuerdo a las políticas y procedimientos organizacionales.


18.2 Revisiones de la seguridad de la información

Se deberían realizar revisiones regulares de la seguridad de los sistemas de información.


Las revisiones se deberían realizar según las políticas de seguridad apropiadas y las plataformas técnicas y sistemas de información deberían ser auditados para el cumplimiento de los estándares adecuados de implantación de la seguridad y controles de seguridad documentados.


Alinee los procesos de auto-evaluación de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la dirección y verificaciones externas de buen funcionamiento.


Deberían existir controles para proteger los sistemas en activo y las herramientas de auditoría durante el desarrollo de las auditorías de los sistemas de información.


Invierta en auditoría TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estándares y métodos de buenas prácticas similares como referencias de comparación.


Examine ISO 19011 "Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental" como fuente valiosa para la realización de auditorías internas del SGSI.


Actividades de control del riesgo

18.2.1 Revisión independiente de la seguridad de la información: Se debería revisar el enfoque de la organización para la implementación (los objetivos de control, los controles, las políticas, los procesos y procedimientos para la seguridad de la información) y gestión de la seguridad de la información en base a revisiones independientes e intervalos planificados o cuando tengan lugar cambios significativos en la organización.


18.2.2 Cumplimiento de las políticas y normas de seguridad: Los gerentes deberían revisar regularmente el cumplimiento del procesamiento y los procedimientos de información dentro de su área de responsabilidad respecto a las políticas, normas y cualquier otro tipo de requisito de seguridad correspondiente.


18.2.3 Comprobación del cumplimiento: Los sistemas de información se deberían revisar regularmente para verificar su cumplimiento con las políticas y normas de seguridad dispuestas por la información de la organización.


Métricas asociadas

Número de cuestiones o recomendaciones de política interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).


Porcentaje de revisiones de cumplimiento de seguridad de la información sin incumplimientos sustanciales.


Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).


Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.


Enlaces a soluciones recomendadas

THE CENTER FOR INTERNET SECURITY: Variedad de herramientas de auditoría para evaluar el cumplimiento de los puntos de referencia CIS.


MICROSOFT TECHNET: Guías de seguridad para la auditoría y la monitorización.


OSSA: Informe VA/PT para un banco ficticio llamado Eclipse Bank PLC llevada a cabo por otra empresa ficticia Cynergi Solutions Inc. Todos los nombres, las direcciones URL, direcciones IP, etc son ficticios.


OSSIM: Open Source Security Information Management: Colección de herramientas bajo la licencia BSD, diseñadas para ayudar a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención.


DSNIFF: Colección de herramientas de auditoría para redes y de penetración. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorizan la red en busca de datos de interés (passwords, e-mail, files, etc.). arpspoof, dnsspoof, y macof facilitan la intercepción de tráfico de red habitualmente no disponible a un atacante (p.ej. layer-2 switching). sshmitm y webmitm para ataques "monkey-in-the-middle" para redirecciones de sesiones SSH y HTTPS.


Backtrack: BackTrack está dirigido a público profesional en la seguridad con más experiencia y a recién llegados al campo de la seguridad de la información. BackTrack promueve una forma rápida y fácil de encontrar y actualizar la base de datos más grande en herramientas de seguridad.


MATRIUX: Matriux es una distribución open source que incluye un conjunto de herramientas para tests de penetración, hacking ético, administración de sistemas y redes, informática forense, análisis de vulnerabilidades, etc.


SANS: SIFT Workstation es un Appliance de VMware pre-configurado con todas las herramientas necesarias para llevar a cabo un examen forense detallado digital. Es compatible con el formato Expert Witness Format (E01), Advanced Forensic Format (AFF), y formatos raw (dd) de evidencias.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de auditorías internas.


Microsoft Technet: La Herramienta de Evaluación de Seguridad de Microsoft (MSAT) es una herramienta gratuita, en español, diseñada para ayudar a las organizaciones de menos de 1.000 empleados a evaluar los puntos débiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad así como orientación específica para minimizar esos riesgos.


ISO27001security.com: Modelo de procedimiento, en inglés, para el establecimiento de un proceso de auditoría interna de un SGSI, conforme a ISO 27001. Está realizado por el ISO 27001 Implementer’s Forum.


ISO27001security.com: Guía y checklist de auditoría de un SGSI, conforme a ISO 27001. Está realizada por el ISO 27001 Implementer’s Forum.


FFIEC: Diversas listas de verificación -checklists- y recursos, en inglés, del Federal Financial Institutions Examination Council, para auditar los procesos de planificación de continuidad de negocio, desarrollo y adquisición de TI, banca electrónica, seguridad de la información, outsourcing de TI, dirección y gestión de TI, operaciones TI, supervisión de proveedores TI, retail payment systems, wholesale payment systems y del propio proceso de auditoría TI.