La ISO 27001 como garantía de cumplimiento del Código Penal

@beacandano

27k1_penal_sigeaLa reforma del Código Penal establecida por la Ley Orgánica 5/2010, supone un hecho de especial importancia dentro del ámbito empresarial, pues ha introducido novedades como el reconocimiento de la responsabilidad penal de las personas jurídicas en determinados delitos, algunos de los cuales tienen relación directa con medidas de seguridad, procesos y protocolos que son de obligado cumplimiento para una empresa que tenga implantado un Sistema de Gestión de Seguridad de la Información certificado bajo la norma ISO 27001 .

Son los siguientes:

• Delitos de descubrimiento y revelación de secretos.
• Delitos que supongan daños informáticos.
• Delitos contra la propiedad intelectual .
• Delitos contra la propiedad industrial.

Es en este sentido, donde tener certificado un Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO 27001, puede convertirse en una adecuada herramienta de control, pues permite demostrar que el empresario establece mecanismos que permiten gestionar la Seguridad de la Información de su organización de forma eficiente, alineada con sus planes estratégicos y de negocio, estableciendo controles sobre sus principales activos a través del ciclo de mejora continua, revisando su sistema de gestión de manera periódica con auditorías y validándolo por un organismo de acreditación externo. Todo ello puede tener su extensión en el sentido en que el propio código penal exige:

• Identificar las leyes, normas o reglamentos aplicables así como las partes involucradas en ellas.
• Identificar los objetivos de cumplimiento.
• Identificar, evaluar y tratar a lo largo del tiempo, los riesgos que puedan hacer que la entidad no llegue a cumplir los objetivos de cumplimiento definidos.
• Impartir concienciación a todo el personal acerca de las consecuencias del incumplimiento de los citados objetivos.
• Supervisar el cumplimiento de forma periódica.
• Registrar y tratar las desviaciones emitidas por cualquier parte interesada.
• Mostrar una evolución continua en todo ello.

Todos los puntos arriba citados, son requeridos por la norma ISO 27001:2013 en lo relativo a Seguridad de la información. Por todo ello, mantener y certificar un SGSI podrá permitir a la empresa demostrar que:

• Establece controles internos y cumple los requisitos de gestión corporativa y de continuidad del negocio.
• Respeta y da cumplimiento a las leyes y normativas que le sean de aplicación.
• Verifica que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información.
• La cúpula directiva de la organización, apoya y muestra el compromiso con la seguridad de la información.
• Realiza auditorías internas a intervalos planificados que ayudan a supervisar continuamente el rendimiento y la mejora.
• Establece auditorías externas, que aseguran una visión externa, independiente y totalmente ajena a la rutina de la empresa, que siempre aporta muchos elementos de juicio y acciones de mejora.

Posted in: