La importancia del cumplimiento de requisitos legales en la

gestión de la información
El cumplimiento de requisitos legales es un dominio de control importante dentro de
ISO 27001. Veamos cuales son las particularidades que una empresa que esté
buscando la certificación debería tener en cuenta en los temas relacionados el
cumplimiento legal. Cuando mencionamos los 10 pilares básicos de la norma ISO
27001 se incluía dentro de estos el cumplimiento

El cumplimiento de requisitos legales es un dominio de control importante dentro de

ISO 27001. Veamos cuales son las particularidades que una empresa que esté
buscando la certificación debería tener en cuenta en los temas relacionados
el cumplimiento legal.
Cuando mencionamos los 10 pilares básicos de la norma ISO 27001 se incluía
dentro de estos el cumplimiento de requisitos legales además de la revisión de la
política de seguridad y las consideraciones sobre la auditoría de sistemas. Es en
este objetivo de control donde además de asegurar que la empresa está cumpliendo
con las regulaciones propias del entorno donde ejecuta su actividad económica,
también se busca garantizar que se cuenten con los procedimientos adecuados que
permitan la revisión y mejora del sistema de gestión de seguridad de la información.

Teniendo en cuenta este dominio de control la empresa podrá evitar

incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de
cualquier requisito de seguridad, que pueda tener como consecuencia para la
empresa algún tipo de multa o demanda. Es importante identificar cuales son los
requisitos en cuanto al diseño, operación y gestión de los sistemas de información
con los que cuenta la empresa para de esta forma cuales son los requisitos legales
específicos que deberían ser tenidos en cuenta. Cabe destacar que estos requisitos
pueden cambiar de un país a otro.
Estos requisitos legales pueden estar relacionados con el manejo de la propiedad
intelectual, el uso y disposición de los registros contables de la empresa, el manejo
de las obligaciones contractuales entre otro tipo de características que pueden ser
inherentes a la actividad económica de cada empresa. Por ejemplo para entidad
financiera no aplican las mismas consideraciones que para una empresa de
distribución.
Por otra parte, en este mismo dominio de control se contempla el hecho de que se
debe garantizar la conformidad de los sistemas con las políticas y estándares de
seguridad que fueron definidos por la organización. De esta forma deben ser
establecidos los procedimientos que estén más acordes con la realidad de cada
empresa para que se realicen revisiones periódicas de los sistemas de información
según las políticas de seguridad adoptadas por la empresa. Con este tipo de
revisiones se podrá evaluar si realmente se ejecutan de forma correcta los
procedimientos implementados.
Finalmente, en este dominio de control se resalta la importancia que tiene la
auditoría del sistema para garantizar su mejoramiento continuo. En este sentido la
empresa debe garantizar que existen los controles para asegurar, además de la
seguridad de los activos de información de la empresa, la seguridad de
herramientas de auditoria. De esta forma se busca optimizar la efectividad del
proceso de auditoría sobre los sistemas de información, minimizando los conflictos
de interés en su gestión.
Vemos entonces que la norma además de ser bastante extensa en los
requerimientos para implementar un sistema de gestión que abarque la totalidad de
activos de información de una empresa, también incluye las actividades necesarias
que toda empresa debería seguir para que estos sistemas sean realmente
gestionables y que perduren en el tiempo.

los 10 pilares básicos de la norma ISO 27001

En la búsqueda del mejor estándar para gestionar la seguridad de la información en

una compañía, generalmente los resultados suelen están alrededor de la serie de
normas ISO 27000 ya que reúne todos los lineamientos en materia de gestión de
seguridad de la información. Una de las normas más importantes, que además es
certificable, es

En la búsqueda del mejor estándar para gestionar la seguridad de la información en

una compañía, generalmente los resultados suelen están alrededor de la serie de

normas ISO 27000 ya que reúne todos los lineamientos en materia de gestión de
 seguridad de la información. Una de las normas más importantes, que además

es certificable, es la ISO 27001, la cual está organizada en 11 dominios. A

continuación vamos a tratar 10 de ellos, pues en un post anterior mencionamos

lo que se debe tener en cuenta en la política de seguridad de la información, el

undécimo de los dominios de esta norma.

1. Aspectos administrativos: Este dominio se refiere a la asignación de

responsabilidades relativas a la seguridad de la información, donde se encuentra
el proceso de autorización de recursos para el tratamiento de la información,
los acuerdos de confidencialidad, el manejo de los grupos de interés y la revisión
independiente de la seguridad de la información. Además los aspectos que se tienen
que tener en cuenta con el manejo de terceros como la identificación de los riesgos
derivados del acceso de terceros y la seguridad en contratos con terceros.

2. Gestión de activos: Este segundo dominio contempla los lineamientos para la gestión
de activos que incluye el inventario y las declaraciones de uso de los mismos. Como
parte de esta gestión de activos se detallan las directrices para la clasificación de la
información.

3. Los recursos humanos y la seguridad de la información: El recurso humano es una

de las principales fuentes de riesgo para la seguridad de la información por lo
tanto en este dominio se tratan los aspectos que se deben tener en cuenta antes,
durante y después de la relación laboral. Se incluyen en este apartado los términos y
condiciones de contratación, los programas de concienciación, formación y
capacitación, los procesos disciplinarios y los puntos a tener en cuenta en caso de
cese de la relación laboral o cambio de puesto de trabajo como pueden ser la
devolución de activos y la suspensión de las credenciales de acceso.

4. Seguridad física: Este dominio trata dos aspectos: las áreas seguras, donde se
incluyen la definición de perímetros de seguridad física y los controles físicos de
entrada entre otros aspectos, y la seguridad de los equipos donde se relaciona,
entre otras, la seguridad del cableado, el mantenimiento y la seguridad de los equipos
fuera de la compañía.

5. Gestión de comunicaciones: Este es el dominio más amplio, en el se tratan las

responsabilidades y procedimientos de operación, la gestión de los servicios con
terceros, la protección contra código malicioso, las copias de seguridad,
la seguridad de redes, el intercambio de información, entre otros aspectos.
6. Control de acceso: Como parte de este dominio se desarrollan los lineamientos para
la política de control de acceso, la gestión de accesos de usuarios, los controles
de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Además
incluye las consideraciones para el manejo de ordenadores portátiles y teletrabajo.

7. Gestión de sistemas de información: Se desarrollan los requisitos de seguridad de

los sistemas de información, el tratamiento correcto de las aplicaciones, los controles
criptográficos, la seguridad en los procesos de desarrollo y soporte y la gestión de
las vulnerabilidades.

8. Gestión de incidentes: Se tratan recomendaciones alrededor de la notificación de

eventos y puntos débiles de seguridad de la información y los procedimientos y
responsabilidades que se deberían asignar para la gestión de incidentes y mejoras
de seguridad de la información.

9. Continuidad del negocio: Se mencionan los aspectos de seguridad que se deberían

tener en cuenta en la gestión de la continuidad del negocio; ya que al ser una etapa
donde la información puede estar altamente expuesta se debe desarrollar e implantar
de planes de continuidad que incluyan la seguridad de la información.

10. Requisitos legales: En este apartado se incluyen los aspectos que se deben observar
para el cumplimiento de los requisitos legales y las políticas y normas de seguridad y
cumplimiento técnico.

Una adecuada gestión de la seguridad de la información, es aquella que se

desarolle de una forma metódica, documentada y basada en unos objetivos

claros de seguridad y una evaluación de los riesgos y el estándar ISO 27001

provee el marco de trabajo para lograrlo