Objetivo: Evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la seguridad de la información o de los requisitos de seguridad.
18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales Control
Todos los requisitos pertinentes, tanto legales como regulatorios, estatutarios o contractuales, y el enfoque de la organización para cumplirlos, deberían definirse de forma explícita, documentarse y mantenerse actualizados para cada sistema de información de la organización.
Guía de implantación
Deberían también definirse y documentarse los controles específicos y las responsabilidades individuales para cumplir estos requisitos.
Los directivos o responsables deberían identificar toda la legislación aplicable a sus organizaciones para cumplir con los requisitos de su tipo de negocio. Si la organización tiene actividades de negocio en otros países, los directivos o responsables deberían considerar el cumplimiento en todos los países relevantes.
18.1.2 Derechos de propiedad intelectual (DPI) Control
Deberían implementarse procedimientos adecuados para garantizar el cumplimiento de los requisitos legales, regulatorios y contractuales sobre el uso de materiales, con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentados.
Guía de implantación
Deberían tenerse en cuenta las siguientes directrices para proteger cualquier material que pueda ser considerado propiedad intelectual:
a) publicar una política para el cumplimiento de los derechos de propiedad intelectual que defina el uso legal de los productos software y de los de información;
b) adquirir software únicamente a través de las fuentes conocidas y de confianza para garantizar que no se infringen los derechos de autor;
c) mantener el conocimiento de las políticas de protección de los derechos de propiedad intelectual y notificar la intención de aplicar medidas disciplinarias a cualquier miembro del personal que quebrante dichas políticas;
d) mantener registros adecuados de los activos e identificar todos los activos que requieran la protección de los derechos de propiedad intelectual;
e) mantener pruebas y evidencias de la propiedad de las licencias, discos maestros, manuales, etc.;
f) implementar controles para garantizar que no se excede el número máximo de usuarios permitidos por la licencia; g) llevar a cabo comprobaciones de que sólo se instala software autorizado y productos licenciados;
h) disponer de una política para mantener las condiciones de las licencias en forma adecuada;
i) disponer de una política para eliminar el software o para transferirlo a un tercero cuando cese su uso; j) cumplir las condiciones contractuales del software y de la información que se obtenga de redes públicas;
k) no duplicar ni convertir a otro formato y no extraer de grabaciones comerciales (película, audio) nada más que lo que permita la ley de derechos de autor;
l) no copiar parcial o totalmente libros, artículos, informes u otros documentos salvo lo que permita la ley de derechos de autor.
Información adicional
Los derechos de propiedad intelectual incluyen los derechos de autor sobre software o documentos, diseños, marcas comerciales, patentes y licencias sobre el código fuente.
Los productos software propietarios se suelen suministrar con un contrato de licencia que especifica las condiciones de la misma, por ejemplo, limitando el uso de los productos a unas máquinas específicas o limitando las copias exclusivamente a las de respaldo. Debería comunicarse al personal la importancia de los derechos de propiedad intelectual para el software desarrollado por la organización y concienciar sobre este tema.
Los requisitos legales, reglamentarios y contractuales pueden plantear restricciones a la copia del material propietario. En particular, pueden exigir que sólo pueda utilizarse material desarrollado por la organización, que cuente con licencia o que haya sido suministrado por el desarrollador a la organización. La infracción de los derechos de autor puede desembocar en acciones legales que pueden incluir multas y procedimientos penales.
18.1.3 Protección de los registros de la organización Control
Los registros deberían estar protegidos contra la pérdida, destrucción, falsificación, revelación o acceso no autorizados de acuerdo con los requisitos legales, regulatorios, contractuales y de negocio.
Guía de implantación
Debería considerarse la clasificación de los registros de acuerdo con el esquema establecido en la organización al decidir su protección. Los registros deberían categorizarse en tipos, por ejemplo, registros contables, registros de la base de datos, registros de transacciones, registros de auditoría y procedimientos operacionales, cada uno de ellos con detalles sobre los periodos de retención y los medios de almacenamiento permitidos, por ejemplo, papel, microfichas, magnéticos, ópticos. Debería almacenarse también cualquier clave criptográfica y programa asociado con archivos cifrados o firmas electrónicas (véase el capítulo 10) para permitir descifrar los registros durante el periodo de tiempo que éstos deberían ser retenidos.
Debería considerarse la posibilidad que los medios usados para el almacenamiento de los registros se deterioren. Los procedimientos para el almacenamiento y manipulación deberían estar implementados de acuerdo con las recomendaciones del fabricante.
Si se escogen soportes electrónicos de almacenamiento, deberían establecerse procedimientos que aseguren el acceso a los datos (tanto la legibilidad del soporte como del formato) durante el periodo de retención con el fin de proteger contra la pérdida causada por futuros cambios de la tecnología.
Deberían escogerse los sistemas de almacenamiento de datos teniendo en cuenta que los datos deberían ser recuperados en plazo y formato aceptables dependiendo de los requisitos a cumplir.
El sistema de almacenamiento y manipulación debería garantizar una clara identificación de los registros y de sus periodos de retención según defina la legislación y reglamentación nacional o regional que fuera aplicable. El sistema debería permitir la destrucción adecuada de los registros tras ese periodo si dejan de ser necesarios para la organización. Para cumplir los objetivos de salvaguarda de esos registros, la organización debería seguir los siguientes pasos:
a) debería publicar directrices sobre la retención, almacenamiento, manipulación y eliminación de registros e información;
b) debería prepararse un calendario de retención que identifique los registros y el periodo de tiempo que deberían conservarse;
c) debería mantenerse un inventario de fuentes de información clave. Información adicional
Algunos registros pueden necesitar ser retenidos de forma segura para cumplir con los requisitos legales, reglamentarios o contractuales además de dar soporte a las actividades esenciales del negocio. Los ejemplos incluyen registros que pueden ser requeridos como evidencia de que la organización opera de acuerdo con las reglas legales o reglamentarias, para asegurar la defensa ante demandas civiles o penales o para confirmar el estado financiero de la organización a accionistas, terceros y auditores. Las leyes o reglamentos nacionales pueden establecer el plazo y el contenido de la información a retener.
18.1.4 Protección y privacidad de la información de carácter personal Control
Debería garantizarse la protección y la privacidad de los datos, según se requiera en la legislación y la reglamentación aplicables.
Guía de implantación
Debería desarrollarse e implantarse una política de privacidad y protección de la información de carácter personal. Dicha política debería comunicarse a todas las personas involucradas en el tratamiento de la información de carácter personal.
El cumplimiento con esta política y la legislación y reglamentos aplicables sobre la privacidad de las personas y la protección de los datos de carácter personal requiere una estructura apropiada para su gestión y control. A menudo, la mejor manera es nombrar un responsable de protección de datos que debería orientar a los directivos, responsables, usuarios y proveedores de servicios sobre sus responsabilidades individuales y los procedimientos específicos a seguir. La responsabilidad para el tratamiento de la información de carácter personal y la garantía de que se conocen los principios de privacidad debería estar de acuerdo con la legislación y reglamentación aplicable. Deberían implantarse las medidas técnicas y organizativas apropiadas para proteger la información de carácter personal.
Información adicional
La Norma ISO/IEC 29100[25] contiene un marco de alto nivel para la protección de la información de carácter personal en los sistemas de información y comunicación. Varios países cuentan con legislación que define los controles a aplicar a la recogida, proceso y transmisión de la información de carácter personal (normalmente la información sobre personas vivas que puedan ser identificadas a partir de dicha información). Dependiendo de la legislación nacional, estos controles pueden imponer obligaciones en la recogida, tratamiento y diseminación de la información de carácter personal y también restringir la capacidad de transferir ésta a otros países.
18.1.5 Regulación de los controles criptográficos Control
Los controles criptográficos se deberían utilizar de acuerdo con todos los contratos, leyes y regulaciones pertinentes. Guía de implantación
Para el cumplimiento de los acuerdos, legislación y reglamentación aplicables deberían considerarse los puntos siguientes:
a) las restricciones en la importación o exportación de hardware y software que realice funciones criptográficas; b) las restricciones en la importación o exportación de hardware y software diseñado para tener funciones
criptográficas añadidas;
c) las restricciones al uso del cifrado;
d) los métodos de acceso obligatorio o discrecional para las autoridades de los países a la información cifrada con hardware y software que proporcione confidencialidad al contenido.
Debería contarse con consejo legal para asegurar el cumplimiento con la legislación y reglamentación aplicable. También en el caso de transferencia de información cifrada o controles criptográficos entre países.