Gestión de Despachos. La gestión de la seguridad de la información

y activo tuitero conocido como @MagistraThor, con 26,9 mil seguidores

Por Adolfo Hernández Lorente. Asociado Senior del Área de Governance, Risk & Compliance de ECIJA.

Viviendo en la Era de la Información, queda fuera de toda duda el valor de los activos de información en el seno de entidades públicas y privadas. Como consecuencia de ello, proteger los activos que dichas organizaciones necesitan para la correcta prestación de servicios, bien sea a los ciudadanos o a sus clientes, es uno de los principales retos a abordar.

En este contexto, un sistema de gestión de seguridad de la información (SGSI), basado en el estándar ISO 27001, cobra valor estableciéndose como un marco de referencia al que mirar cuando las organizaciones quieren dar contenido al verbo «proteger».

Las ventajas para las organizaciones que gestionan de forma integral la seguridad de la información son claras:

-La información que proporciona regularmente un SGSI sobre los activos de información permite incorporar fácilmente un proceso de estudio, identificación y consideración regular de posibles oportunidades de negocio.

-Al estar orientado a la mejora continua, a través de la gestión de acciones correctivas y preventivas, permite mejorar el ROI (Retorno de la Inversión (Return of Inversion)) sobre las Tecnologías de la Información y las Comunicaciones (TIC) y la seguridad.

-Garantiza la implantación de controles de seguridad consistentes, eficientes y apropiados al valor de la información protegida, a través de un análisis de riesgos y de auditorías y métricas.

-Transmite credibilidad y confianza ante clientes, ciudadanos, socios e inversores, erigiéndose como una herramienta diferencial frente a la competencia.

-Permite demostrar el cumplimiento y la observancia de las leyes y normativas legales de aplicación en el ámbito TIC.

Este último punto adquiere una relevancia especial, y es que por lo general, la responsabilidad de la ejecución de un SGSI recae en el departamento de Seguridad o bien de Tecnologías de la Información (TI), si bien este dominio de la norma, el correspondiente al cumplimiento normativo, es una de esas tareas que en la mayoría de las organizaciones queda fuera del alcance de los mismos, y en las que interviene tanto el departamento jurídico como recursos humanos, entre otros.

Este dominio obliga a identificar la legislación que aplica dentro del alcance de las TIC, entre las que cabe destacar, entre otras, la Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo, Ley de Medidas de Impulso de la Sociedad de la Información, Ley de Propiedad Intelectual, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, Esquema Nacional de Seguridad (Real Decreto 4/2010, de 8 de enero), Sarbanes-Oxley Act o Sistema de Control Interno sobre la Información Financiera (derivadas de la Ley de Auditoría de Cuentas y la Ley de Desarrollo Sostenible).

Un SGSI obliga como mínimo a disminuir la probabilidad de incumplir algún requisito legal que pueda acarrear un impacto para la organización, ya sea por sanciones, amonestaciones o daño reputacional. Si además dicho SGSI está certificado por una autoridad competente, se tendrá la garantía de que dicha organización ha realizado una revisión transversal del cumplimiento de las legislaciones aplicables dentro del alcance del sistema de gestión. Es importante tener presente que en el proceso de certificación del SGSI un incumplimiento legal (si aplica) suele ser considerado una No Conformidad mayor, obligando a la organización a subsanar la deficiencia en un plazo de dos a tres meses para regularizar su situación y obtener el certificado. No son pocas las empresas que pretenden implantar y certificar un SGSI sin cumplir las exigencias de la LOPD y su Reglamento de Desarrollo.

La pregunta que se plantea con frecuencia es si el despliegue de un SGSI supone un cumplimiento cruzado de todas estas legislaciones. La respuesta es que si bien no se traslada el cumplimiento directo de esas normativas sí que supone un marco de defensa jurídica y de debida diligencia eficiente.

De esta forma, un SGSI certificado por una autoridad competente supone una base sobre la cual sustentar una alegación jurídica o una defensa legítima, ya que pone de manifiesto la aplicación de medidas técnicas y organizativas, de forma que apoya la falta de intencionalidad y la buena fe frente a incidentes de seguridad de la información como fuga de datos o robo de información, no solamente de manera preventiva, sino también de forma reactiva a través de procedimientos de gestión de incidencias de seguridad, que, en definitiva, reflejan la voluntad de desplegar medios para evitar incidentes recurrentes similares, con rapidez y con arreglo a la ley. No en vano, comienzan a aparecer sentencias de la Audiencia Nacional en la línea comentada.

Desde ECIJA creemos que un SGSI certificado proporciona una buena base de defensa jurídica y al mismo tiempo un mecanismo de optimización de los procesos de negocio.

Si desea leer la sección en formato PDF puede hacerlo abriendo el documento adjunto.

...