Documentos de Académico
Documentos de Profesional
Documentos de Cultura
D1.jolv2 11 El Debido
D1.jolv2 11 El Debido
Obligación
protección de la Debido cuidado Responsabilidad Figura 2—Responsabilidades Frente a Fallas de
seg. información frente a las fallas
información de seguridad Seguridad de la Información
Major nivel de
responsabilidad
Junta Directiva
Grupos de Interés
Gobierno de valoración de
impactos Gerentes/Directores
seguridad
Jefes/Coordinadores
Reporte Profesionales
Técnico y
acciones
remediales
Obligación Legal de Proteger a la Información
La obligación legal de las organizaciones de proteger la Jerarquía Organiacional Menor nivel de
responsabilidad
información no solamente se encuentra articulada por las
normatividades nacionales e internacionales que obligan a
En este sentido, el primer responsable frente a la
las empresas para establecer medidas de salvaguarda de la
materialización de una falla de seguridad es la alta gerencia,
misma, sino en el entendimiento y aseguramiento de:8
quien al declarar a la información como un activo a proteger
• La forma en la cual la información es creada, procesada,
es el primer patrocinador del aseguramiento de la misma
almacenada, transmitida, usada y comunicada
en los diferentes frentes de la organización. Si bien dicha
• ¿Quién tiene acceso a la información?
responsabilidad, se materializa en el responsable corporativo
• ¿Qué pueden hacer las personas con la información?
de la seguridad de la información, es deber de los cuerpos de
• ¿Cuánto tiempo éstas tendrán acceso?
gobierno corporativo, establecer las respuestas concretas y
• ¿Quién tiene la autoridad para cambiar el acceso y cómo?
efectivas para los interesados (mayoritarios y minoritarios)
En este sentido, la obligación legal de proteger la
sobre lo ocurrido, sus impactos y las posibles disminuciones
información es una realidad inherente a las buenas prácticas
de valor que han tenido sus intereses en la empresa.
nacionales e internacionales, que lo único que hacen
Algunas exigencias en este sentido, se hacen directamente
es detallar en las acciones y actividades cotidianas del
en la ley GLBA en Norteamerica, que obliga a todos los
tratamiento de la información, las condiciones mínimas antes
establecimientos financieros a proteger la información
enumeradas como fuente de elementos probatorios de la
personal de sus clientes y efectuar los reportes públicos del
responsabilidad de cada una de las personas en su papel frente
caso cuando se presenta un incidente de seguridad que pone
al uso de la información (propietario, usuario o custodio).
en riesgo dicha información.
3 US Health Insurance Portability and Accountability Act 12 Jegousse, L., “Risk-based Approach to IT Systems Life Cycle
(HIPAA), 1996, http://www.cms.gov/HIPAAGenInfo/ and Change Control, ISACA Journal. 2010, no. 5, pág. 28
Downloads/HIPAALaw.pdf (consultado 29 Octubre 2010) 13 Rodriguez, C., “Seguridad de la Información: Estrategia
US Gramm-Leach-Bliley Act (GLBA), 1999,
4
Para Fortalecer el Gobierno Corporativo,” Revista de
http://www.gpo.gov/fdsys/pkg/PLAW-106publ102/html/ Derecho Privado, Junio 2010, no.43. Facultad de Derecho.
PLAW-106publ102.htm (consultado 29 Octubre 2010) Universidad de los Andes, http://derechoprivado.uniandes.
5 Payment Card Industry (PCI) Security Standards Council, edu.co/ (consultado 29 Octubre 2010)
https://www.pcisecuritystandards.org/security_standards/ Bagley, C. y Dauchy, C., The Entrepreneur’s Guide to
14
documents.php (consultado 29 Octubre 2010) Business Law, 3rd Edition. South Western College. Cengage
6 International Organization for Standardization, ISO Learning, USA, 2008, pág. 554
31000:2009, Switzerland, 2009, www.iso.org/ 15 Op cit., Etsbeth, capítulo 8
iso/catalogue_detail.htm?csnumber=43170
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription
to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance
Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in
writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St.,
Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date,
volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without
express permission of the association or the copyright owner is expressly prohibited.
www.isaca.org