Checklist para el cumplimiento legal en materia de Gestión de la Información

Gestión de la información

En la actualidad las organizaciones y las empresas deben tener claro cuáles son sus responsabilidades de cumplimiento legal en materia de Gestión la Información en el ámbito tecnológico. Estas leyes se encargan de regular aspectos de ciberseguridad en diferentes áreas, así como de la protección de los usuarios.

Las empresa y organizaciones hacen uso de la tecnología en la mayoría de las ocasiones para desarrollar su actividad, así como para establecer relaciones comerciales. Es por ello por lo que deben cumplir con todos los requerimientos legales establecidos en el país en el que se encuentren desarrollando su actividad comercial.

En el mundo globalizado actual, el cambio es constante y de igual modo ocurre con las leyes. Estas se actualizan muy frecuentemente y se revisan para estar siempre adaptadas a la realidad tecnológica del momento.

No obstante, el desconocimiento y el consecuente incumplimiento de la legislación vigente puede traer aparejadas sanciones económicas y penales. Además, esto puede suponer en muchos casos la pérdida de confianza y el deterioro de la imagen de la empresa u organización.

Checklist

El objetivo principal de tener presente y contar con una checklist en materia de Gestión de la Información es asegurar tanto el conocimiento como el cumplimiento de las obligaciones legales de la organización en esta materia.

Una checklist incluye una serie de controles que deben ser revisados con el fin de alcanzar el cumplimiento legal. Cabe tener en cuenta que entre ellos existen dos niveles de complejidad: básico y avanzado.

El nivel básico de complejidad hace referencia a aquellos recursos y esfuerzos que son asumibles, aplicables a través de funcionalidades sencillas. Por su parte el nivel avanzado se refiere a recursos y esfuerzos considerables, dada la complejidad de las configuraciones. Pero, ¿cuáles son los diferentes controles de la checklist en función de su complejidad en materia de Gestión de la Información?

Nivel básico

En este nivel se incluye el inventario de los servidores de almacenamiento. Este ítem hace referencia a la información dada a los empleados sobre los servidores de almacenamiento disponibles, la información que se comparte, qué datos deben almacenarse en ellos y las responsabilidades que conlleva.

También forma parte del nivel básico los criterios de almacenamiento. Este incluye la información dada a los empleados sobre los criterios de almacenamiento corporativos: qué se puede almacenar, quién tiene acceso y cuándo se elimina la información.

El tercer control de la checklist en este nivel básico tiene que ver con la clasificación de la información. En él se hace referencia a si la empresa u organización informa a los empleados acerca de la necesidad de cumplir con la política de clasificación de la información en el momento de almacenar y eliminar información en la red corporativa.

Nivel avanzado

En el nivel avanzado se incluye el control de acceso, si la empresa establece e implementa reglas de acceso que permiten llevar un control de quién tiene acceso y a qué discos o directorios. En cuanto a las copias de seguridad, se hace referencia a si la empresa u organización define un plan de copias de seguridad en el que se detalle la información a guardar, cada cuánto se va a hacer, dónde se va a guardar y el tiempo que se conservará la copia.

El acceso limitado es el ítem de la checklist referente a si se permite el acceso a los empleados únicamente a los repositorios necesarios para llevar a cabo su trabajo. También se hace referencia al almacenamiento clasificado. Este ítem incluye si se crean carpetas organizadas según la política de clasificación de la información para que el personal pueda almacenar la documentación donde corresponde. Además, dentro del mismo se hacer referencia a si se asignan los permisos de acceso pertinentes según el perfil de cada empleado.

En este nivel de controles avanzado se incluye uno de ellos referente a la auditoria de servidores. Esto es si la empresa u organización revisa de manera periódica el estado de los servidores, su uso actual, la capacidad, los registros o las estadísticas de uso, entre otros.

Finalmente, el último control de esta checklist para el cumplimiento legal es el referente al cifrado de la información. Este ítem de nivel avanzado hace referencia a si la organización cifra la información crítica almacenada en los servidores.

Software ISO 27001

El estándar internacional que supone la ISO 27001, junto con el resto de normas que componen su familia, proporcionan todos los requisitos necesarios para implementar un correcto SGSI de una forma eficaz y rápida. En este sentido el Software ISOTools Excellence presta solución a todas las cuestiones que se plantean a la hora de implementar un SGSI en una organización o empresa.