ISO 27001 – Anexo A.18: Cumplimiento

¿Cuál es el objetivo del Anexo A.18.1?

El Anexo A.18.1 trata sobre el cumplimiento de los requisitos legales y contractuales. El objetivo es evitar incumplimientos de obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la seguridad de la información y de cualquier requisito de seguridad.

Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.

A.18.1.1 Identificación de la legislación aplicable y requisitos contractuales

Un buen control describe cómo todos los requisitos legislativos, reglamentarios y contractuales relevantes, y el enfoque de la organización para cumplir con estos requisitos, deben identificarse, documentarse y mantenerse actualizados explícitamente para cada sistema de información y la organización. Dicho en términos simples, la organización necesita asegurarse de mantenerse actualizada y documentar la legislación y regulación que afecta el logro de sus objetivos comerciales y los resultados del SGSI.

Es importante que la organización comprenda la legislación, la regulación y los requisitos contractuales que debe cumplir y estos deben registrarse de forma centralizada en un registro para facilitar la gestión y la coordinación. La identificación de lo relevante dependerá en gran medida de; Dónde está ubicada u opera la organización; Cuál es la naturaleza del negocio de la organización; y La naturaleza de la información que se maneja dentro de la organización. Es probable que la identificación de la legislación, la regulación y los requisitos contractuales pertinentes incluya la colaboración con expertos jurídicos, organismos reguladores y gestores de contratos.

Esta es un área que a menudo sorprende a las organizaciones, ya que generalmente hay mucha más legislación y regulación que afecta a la organización de lo que se considera inicialmente. El auditor observará cómo la organización ha identificado y registrado sus obligaciones legales, reglamentarias y contractuales; las responsabilidades para cumplir dichos requisitos y cualquier política, procedimiento y otros controles necesarios para cumplir con los controles.

Además, se asegurarán de que este registro se mantenga de forma regular frente a cualquier cambio relevante, especialmente en la legislación en áreas comunes que esperarían que afectaran a cualquier organización.

A.18.1.2 Derechos de propiedad intelectual

Un buen control describe cómo los procedimientos adecuados garantizan el cumplimiento de los requisitos legislativos, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software propietarios. En términos simples, la organización debe implementar procedimientos apropiados que garanticen el cumplimiento de todos sus requisitos, ya sean legislativos, regulatorios o contractuales, relacionados con el uso de productos de software o derechos de propiedad intelectual.

Hay dos aspectos de la gestión de los DPI a considerar; Protección de los derechos de propiedad intelectual propiedad de la organización; y Prevención del mal uso o violación de los derechos de propiedad intelectual de otros. El primero también se abordará en A.13.24 para acuerdos de no divulgación y confidencialidad, donde también sugerimos que las empresas gestionen sus contratos maestros más amplios con terceros y también dentro de A.15 para la cadena de suministro específicamente. Para el personal, A7.1.2 Términos y condiciones de empleo también cubrirá los DPI.

Es probable que se necesiten políticas, procesos y controles técnicos para ambos aspectos. Dentro de los registros de activos y las políticas de uso aceptable, es probable que sea necesario tener en cuenta los derechos de propiedad intelectual; por ejemplo, cuando un activo es o contiene protección de derechos de propiedad intelectual de este activo, se debe considerar el aspecto de los derechos de propiedad intelectual. Los controles para garantizar que dentro de la organización sólo se utilice software autorizado y con licencia deben incluir inspecciones y auditorías periódicas.

El auditor querrá asegurarse de que se mantengan y actualicen los registros de licencias propiedad de la organización para el uso del software y otros activos de otros. De particular interés para ellos será garantizar que cuando las licencias incluyan un número máximo de usuarios o instalaciones, este número no se exceda y que los números de usuarios e instalaciones se auditen periódicamente para verificar el cumplimiento. El auditor también observará cómo la organización protege sus propios DPI, que podrían incluir: Controles de prevención y pérdida de datos; Políticas y programas de sensibilización dirigidos a la educación de los usuarios; o Acuerdos de no divulgación y confidencialidad que continúen después de la terminación del empleo.

A.18.1.3 Protección de registros

Un buen control describe cómo se protegen los registros contra pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de acuerdo con los requisitos legislativos, reglamentarios, contractuales y comerciales.

Es probable que diferentes tipos de registros requieran diferentes niveles y métodos de protección. Es fundamental que los registros estén protegidos de manera adecuada y proporcional contra pérdida, destrucción, falsificación, acceso o divulgación no autorizados. La protección de registros debe cumplir con cualquier legislación, regulación u obligaciones contractuales pertinentes. Es especialmente importante comprender durante cuánto tiempo deben, deben o podrían conservarse los registros y qué problemas técnicos o físicos podrían afectarlos con el tiempo, teniendo en cuenta que algunas leyes pueden prevalecer sobre otras en cuanto a retención y protección. El auditor verificará que se hayan tomado consideraciones para la protección de registros en función de los requisitos comerciales y las obligaciones legales, reglamentarias y contractuales.

A.18.1.4 Privacidad y protección de la información de identificación personal

Un buen control describe cómo se garantiza la privacidad y la protección de la información de identificación personal según la legislación y regulación pertinentes. Es probable que cualquier información manejada que contenga información de identificación personal (PII) esté sujeta a las obligaciones de la legislación y la regulación. Es especialmente probable que la PII tenga altos requisitos de confidencialidad e integridad y, en algunos casos, también de disponibilidad (por ejemplo, información de salud, información financiera). Según algunas leyes (por ejemplo, el RGPD), algunos tipos de PII se definen como “sensibles” adicionales y requieren controles adicionales para garantizar su cumplimiento.

Es importante que se utilicen campañas de concientización con el personal y las partes interesadas para garantizar una comprensión repetida de la responsabilidad individual de proteger la PII y la privacidad. El auditor observará cómo se maneja la PII, si se han implementado los controles apropiados, si están siendo monitoreados, revisados ​​y, cuando sea necesario, mejorados. También buscarán comprobar que se cumplan los requisitos de manipulación y que se auditen adecuadamente. También existen responsabilidades adicionales; por ejemplo, el RGPD exigirá una auditoría periódica de las áreas donde los datos personales estén en riesgo. Las organizaciones inteligentes vincularán estas auditorías con sus auditorías ISO 27001 y evitarán duplicaciones o lagunas.

A.18.1.5 Regulación de controles criptográficos

Un buen control describe cómo se utilizan los controles criptográficos de conformidad con todos los acuerdos, leyes y regulaciones pertinentes. El uso de tecnologías criptográficas está sujeto a legislación y regulación en muchos territorios y es importante que una organización comprenda cuáles son aplicables e implemente controles y programas de concientización que aseguren el cumplimiento de dichos requisitos. Esto es especialmente cierto cuando la criptografía se transporta o utiliza en territorios distintos del lugar de residencia u operación normal de la organización o del usuario. Las leyes de importación/exportación transfronterizas pueden incluir requisitos relacionados con el uso o las tecnologías criptográficas. El auditor observará que se hayan realizado consideraciones para la regulación adecuada de los controles criptográficos y que se hayan implementado controles y programas de concientización relevantes para garantizar el cumplimiento.

¿Cuál es el objetivo del Anexo A.18.2?

El Anexo A.18.2 trata sobre revisiones de seguridad de la información. El objetivo de este Anexo es garantizar que la seguridad de la información se implemente y opere de acuerdo con las políticas y procedimientos de la organización.

A.18.2.1 Revisión independiente de la seguridad de la información

Un buen control describe el enfoque de la organización para gestionar la seguridad de la información y su implementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) se revisa de forma independiente a intervalos planificados o cuando se producen cambios significativos.

Es bueno obtener una revisión independiente de los riesgos y controles de seguridad para garantizar la imparcialidad y la objetividad, así como para beneficiarse de una visión nueva. Eso no significa que tenga que ser externo, simplemente beneficiarse de que otro colega revise las políticas además del autor/administrador principal. Estas revisiones deben llevarse a cabo a intervalos regulares planificados y cuando se produzcan cambios significativos y relevantes para la seguridad; ISO interpreta que regular es al menos una vez al año.

El auditor buscará una revisión de seguridad independiente periódica y una revisión cuando se produzcan cambios significativos, además de confiar en que existe un plan para revisiones periódicas. También requerirán evidencia de que se han llevado a cabo revisiones y de que cualquier problema o mejora identificada en las revisiones se gestiona adecuadamente.

A.18.2.2 Cumplimiento de políticas y estándares de seguridad

Los administradores del SGSI deben revisar periódicamente el cumplimiento del procesamiento de la información y los procedimientos dentro de su área de responsabilidad. Las políticas sólo son efectivas si se aplican y su cumplimiento se prueba y revisa periódicamente. Por lo general, es responsabilidad de la gerencia inmediata garantizar que su personal subordinado cumpla con las políticas y controles de la organización, pero esto debe complementarse con revisiones y auditorías independientes ocasionales. Cuando se identifique un incumplimiento, se debe registrar y gestionar, identificando por qué ocurrió, con qué frecuencia ocurre y la necesidad de acciones de mejora, ya sea en relación con el control o con la concientización, educación o capacitación del usuario que causó el incumplimiento. incumplimiento.

El auditor observará que ambos; Existen, se implementan y son eficaces políticas preventivas, controles y programas de concientización proactivos; y También se implementan monitoreo, revisión y auditoría de cumplimiento reactivo. También buscarán ver que haya evidencia de cómo se realizan mejoras a lo largo del tiempo para garantizar una mejora en los niveles de cumplimiento o mantenimiento si el cumplimiento ya es del 100%. Esto encaja con los principales requisitos de ISO 27001 para 9 y 10 en torno a auditorías internas, revisiones de la gestión, mejoras y también no conformidades. También es importante vincular la concientización y el compromiso del personal de acuerdo con A 7.2.2 en esta parte para lograr confianza en el cumplimiento.

A.18.2.3 Revisión de Cumplimiento Técnico

Los sistemas de información deben revisarse periódicamente para comprobar que cumplen con las políticas y estándares de seguridad de la información de la organización. Normalmente se utilizan herramientas automatizadas para verificar el cumplimiento técnico de los sistemas y redes y estas deben identificarse e implementarse según corresponda. Cuando se utilizan herramientas como estas, es necesario restringir su uso al menor número posible de personal autorizado y controlar y coordinar cuidadosamente cuándo se utilizan para evitar comprometer la disponibilidad e integridad del sistema. Los niveles adecuados de pruebas de cumplimiento dependerán de los requisitos comerciales y los niveles de riesgo, y el auditor esperará ver evidencia de que se hayan realizado estas consideraciones. También esperarán poder inspeccionar los cronogramas y registros de las pruebas.

¿Cómo ayuda ISMS.online con el Cumplimiento?

ISMS.online facilita considerablemente gran parte del aspecto de cumplimiento de la seguridad de la información. Los procesos de aprobación integrados y los recordatorios automatizados para las revisiones hacen la vida mucho más fácil y ofrecen un "plan de vida" para mostrar a los auditores que usted tiene el control del SGSI. La herramienta de riesgo de legislación aplicable precargada incluye muchas áreas comunes de legislación y regulación que con frecuencia se pasan por alto, además de facilitar toda esa área de gestión. Las auditorías internas y externas, las acciones correctivas, las mejoras y las no conformidades se gestionan fácilmente con las herramientas y funciones prediseñadas. El cumplimiento de los recursos humanos, ya sea personal, proveedores u otros, también se demuestra fácilmente con la herramienta Policy Pack. Los socios de ISMS.online también ofrecen controles de salud independientes especializados y soporte de auditoría trabajando dentro de su plataforma si es necesario.