Historia de la legislación de seguridad de la información
Ciertamente, las organizaciones legalmente ya no pueden ignorar el problema. Hay un número creciente de leyes que son relevantes para la seguridad de la información. Veamos, según los países más importantes del mundo.
El primer mundo
En los Estados Unidos de Norte América, la mayoría de estados ahora tienen leyes de denuncia de notificación de violaciones de datos y regulación sectorial como HIPAA, GLBA, FISMA y otros requerimientos estrictos impuestos en las organizaciones. Todos los países de la Unión Europea tienen legislaciones de protección de datos. Las economías emergentes también aprueban leyes de protección de datos y ciber-seguridad, reconociendo que la seguridad mejorada es un requisito para competir en el mundo desarrollado, rico en datos. En paralelo, PCI DSS, un estándar para la seguridad en el sector privado, ha emergido como un requerimiento contractual para las organizaciones que aceptan información de tarjetas de créditos y débitos, y curiosamente, el cumplimiento con PCI DSS ha sido consagrado en las leyes de algunos estados de Estados Unidos, y el ICO (Oficina del Comisionado de Información) en Reino Unido, ha reconocido su importancia.
Decisiones
Los directores de los negocios sujetos a estas leyes, de las organizaciones del sector público y compañías en toda la cadena de suministros, deben ser capaces de identificar las actividades que ellos han decidido llevar a cabo para proteger la confidencialidad, integridad y disponibilidad de los activos de información de las organizaciones. En todas estas instancias, la existencia de una política de seguridad de la información basada en riesgos, implementado a través de un Sistema de Gestión de Seguridad de la Información (SGSI), evidencia claramente que la organización ha considerado la necesidad de los pasos apropiados.
Perú
En Perú, existe la Ley de Protección de Datos Personales, donde toda persona jurídica del país debe declarar la información de clientes o trabajadores que posee para su propia gestión y que debe proteger bajo juramento o compromiso. También existe la ley contra delitos informáticos, que en resumen busca proteger la información de los sistemas de información ante el acceso no autorizado. Las entidades correspondientes a los diversos rubros, tal es el caso de la SBS y SUNAT, entre otros, han determinado en estos últimos años, diversas regulaciones, tanto para transacciones financieras en internet como facturación electrónica respectivamente, y estas han reforzado la protección de datos personales de ciudadanos, contribuyentes, empresas, etc.
Consejo audit
Tal como exige la norma ISO 27001, las leyes y regulaciones son un papel importante en el SGSI, debido a que es el eje principal de la misma, y el incumplimiento ocasionaría multas graves a la empresa, daño a la reputación y desconfianza en los servicios. En audit, asesoramos a las organizaciones en el alineamiento de su SGSI con las leyes internacionales, nacionales, locales, municipales, respecto a la seguridad de la información.