Astrea presta serveis en relaci\u00f3 amb totes les fases d’un proc\u00e9s de conformitat legal, seguint un model de maduresa, des de l’etapa inicial en qu\u00e8 es pren consci\u00e8ncia dels requisits a complir i el seu grau efectiu de conformitat, fins a la gesti\u00f3 de canvi dels controls jur\u00eddics implementats.<\/p>\n
La conformitat legal \u00e9s una de les necessitats i requisits imprescindibles per a tota persona o entitat que realitza activitats regulades, sent especialment rellevant en els casos d’activitats que afecten a la informaci\u00f3, en forma paper o electr\u00f2nica, donat el cada vegada major valor dels actius d’informaci\u00f3 i el seu impacte en els drets de les persones.<\/p>\n
D’altra banda, en temps recents s’ha produ\u00eft un important paquet de mesures legislatives dirigides a la reglamentaci\u00f3 de la societat de la informaci\u00f3 i, m\u00e9s en concret, de les seves diferents manifestacions sectorials, com poden ser el comer\u00e7 electr\u00f2nic, l’administraci\u00f3 electr\u00f2nica, la salut electr\u00f2nica o la just\u00edcia electr\u00f2nica.<\/p>\n
Aquestes lleis han superat la simple tend\u00e8ncia de reglamentar l’\u00fas dels sistemes d’informaci\u00f3, sin\u00f3 que han anat creant un conjunt de nous drets dels ciutadans, amb les corresponents obligacions per a organitzacions p\u00fabliques i privades, com succeeix amb la legislaci\u00f3 de protecci\u00f3 de dades de car\u00e0cter personal, de serveis de la societat de la informaci\u00f3 i del comer\u00e7 electr\u00f2nic.<\/p>\n
Aix\u00ed mateix, els aspectes legals juguen un paper cada vegada m\u00e9s important en la seguretat de la informaci\u00f3, de forma semblant a la rellev\u00e0ncia que presenten en relaci\u00f3 amb la gesti\u00f3 del negoci. Diversos factors han contribu\u00eft a aquest protagonisme de les q\u00fcestions jur\u00eddiques, entre els quals s’ha de considerar l’aparici\u00f3, relativament recent, de normativa legal que regula de manera espec\u00edfica la seguretat de la informaci\u00f3, especialment quan es tracta d’informaci\u00f3 personal, informaci\u00f3 propietat del sector p\u00fablic o que afecta les anomenades infraestructures cr\u00edtiques i la seguretat nacional.<\/p>\n
D’aquesta manera es reconeix en normes de millors pr\u00e0ctiques en la gesti\u00f3 de la seguretat de la informaci\u00f3, com ISO 27002:2005, que dedica al compliment legal la secci\u00f3 15.1 de les seves recomanacions.<\/p>\n
Aquesta secci\u00f3 estableix com a objectiu de control l'”evitar infraccions de qualssevol obligacions legals, reglament\u00e0ries, administratives o contractuals, aix\u00ed com de qualsevol requisit de seguretat”, partint de la consideraci\u00f3 que el disseny, l’operaci\u00f3, l’\u00fas i la gesti\u00f3 dels sistemes d’informaci\u00f3 pot trobar-se (i de fet, sol ser el cas habitual) subjecte al compliment de regulacions jur\u00eddiques.<\/p>\n
La norma ISO 27002:2005 identifica una s\u00e8rie de controls habituals, orientats al compliment legal i de la seguretat de la informaci\u00f3:<\/p>\n
Atesa la naturalesa de la norma internacional ISO 27002:2005, en aquest cas recopilant les millors pr\u00e0ctiques en mat\u00e8ria de seguretat, cal completar els controls que proposa i adaptar-los a la pr\u00e0ctica de cada Estat i cada tipus d’organitzaci\u00f3, realitzant una assessoria cont\u00ednua del grau de compliment legal i gestionant els riscos jur\u00eddics corresponents.<\/p>\n
En concret, a Espanya ha estat aprovat el Reial Decret 3\/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat de la Informaci\u00f3 en l’\u00e0mbit de les administracions p\u00fabliques.<\/p>\n
La conformitat legal s’ha de tractar com un aspecte m\u00e9s de l’estructura de control d’una organitzaci\u00f3, de manera que es pugui assegurar que els processos de negoci siguin conformes a dret, evitant riscos per a l’organitzaci\u00f3 i per a l’equip directiu de la mateixa. D’aquesta manera, la conformitat legal ha passat a formar part essencial de les estructures de govern de negoci i de les tecnologies de la informaci\u00f3 de les organitzacions.<\/p>\n
Finalment, la conformitat legal complementa la definici\u00f3 estrat\u00e8gica de negoci d’una organitzaci\u00f3, at\u00e8s que un r\u00e0pid moviment de canvi legislatiu ofereix noves oportunitats, tant per a la reducci\u00f3 de costos com per a la definici\u00f3 de nous serveis i productes.<\/p>\n
\n
La primera actuaci\u00f3 que s’ha de realitzar en relaci\u00f3 amb la conformitat legal \u00e9s precisament revisar, de forma peri\u00f2dica, el grau o nivell de compliment normatiu (sovint anomenat “adequaci\u00f3 a la norma”), dels serveis i processos de negoci de l’organitzaci\u00f3.<\/p>\n
Aquesta revisi\u00f3 \u00e9s un primer an\u00e0lisi, i no una auditoria, d’aquest grau de compliment, i persegueix identificar i mostrar les mancances que, si escau, puguin existir, amb una proposta concreta d’actuacions a emprendre, sempre constructiva i mai culpabilitzant, aspecte molt important en aquest moment, at\u00e8s que encara l’organitzaci\u00f3 no ha pres consci\u00e8ncia de les necessitats reals de conformitat legal.<\/p>\n
Un aspecte molt important d’aquesta fase de revisi\u00f3 de conformitat \u00e9s la formaci\u00f3 i conscienciaci\u00f3 dels membres de l’organitzaci\u00f3 pel que fa a les necessitats de compliment regulatori, at\u00e8s que una gran majoria de casos, hi ha un desconeixement important de les obligacions legals.<\/p>\n
La segona actuaci\u00f3 a realitzar en relaci\u00f3 amb la conformitat legal \u00e9s la implementaci\u00f3 dels controls jur\u00eddics que van ser identificats en la fase de revisi\u00f3, que s’ha de produir en diferents formes.<\/p>\n
En tots els casos, resulta necessari procedir a preparar determinada documentaci\u00f3 legalment exigible, com contractes, condicions generals de la contractaci\u00f3, cl\u00e0usules informatives, declaracions de pr\u00e0ctiques, textos divulgatius generals i altres.<\/p>\n
Tamb\u00e9 sol ser imprescindible modificar la documentaci\u00f3 de seguretat de l’organitzaci\u00f3 (cas que existeixi) o generar una m\u00ednima documentaci\u00f3 de seguretat (com passa sempre que s’implanta la normativa de protecci\u00f3 de dades de car\u00e0cter personal).<\/p>\n
La recomanaci\u00f3 \u00e9s disposar d’una estructura documental espec\u00edfica per als processos de negoci transversals (la gesti\u00f3 de la seguretat, la gesti\u00f3 documental, etc.) i modificar-la per reflectir els controls derivats de la conformitat legal. D’aquesta manera, les diferents implantacions de controls legals per a la conformitat no generen documents duplicats o descoordinats entre si, sin\u00f3 que contribueixen a la solidesa de l’estructura documental de govern TIC de l’organitzaci\u00f3.<\/p>\n
En tercer lloc, cal establir procediments dins de l’organitzaci\u00f3 per poder donar compliment a dues obligacions generals:<\/p>\n
Finalment, resulta habitual que el departament de tecnologies de la informaci\u00f3 de l’organitzaci\u00f3 hagi d’efectuar canvis en els sistemes, establint controls t\u00e8cnics suficients per garantir el compliment dels controls jur\u00eddics.<\/p>\n
Aquesta \u00e9s l’\u00fanica part del treball que Astrea no ha de realitzar, per mantenir la seva independ\u00e8ncia, encara que Astrea pot oferir suport a la implementaci\u00f3 en relaci\u00f3 als dubtes i reptes que es plantegen en aquest proc\u00e9s intern.<\/p>\n
La tercera actuaci\u00f3 important en relaci\u00f3 amb la conformitat legal \u00e9s, com no pot ser d’altra manera, l’auditoria de compliment dels controls que es van identificar en la fase de revisi\u00f3 i que posteriorment van ser adoptats en la fase d’implementaci\u00f3.<\/p>\n
Sempre \u00e9s recomanable implantar un proc\u00e9s d’auditoria cont\u00ednua, possibilitat v\u00e0lida especialment en les organitzacions que disposin de departament d’auditoria interna, per\u00f2 en tot cas la nostra recomanaci\u00f3 \u00e9s realitzar una auditoria externa, amb una periodicitat m\u00ednima anual.<\/p>\n
L’auditoria persegueix identificar el grau de compliment dels controls, aix\u00ed com valorar la necessitat, pertinen\u00e7a i sufici\u00e8ncia d’aquests controls, per assegurar l’efectivitat del sistema, sempre dins de les necessitats del negoci.<\/p>\n
L’informe d’auditoria establir\u00e0 les recomanacions oportunes, que seran discutides amb la direcci\u00f3 de l’organitzaci\u00f3.<\/p>\n
Finalment, cal referir-nos a la gesti\u00f3 dels canvis en la conformitat legal, partint del ritme accelerat de producci\u00f3 normativa en tots els nivells (Uni\u00f3 Europea, Estat espanyol, Comunitats Aut\u00f2nomes, municipis, etc.), especialment en tot all\u00f2 relacionat amb la Societat de la Informaci\u00f3.<\/p>\n
En aquest nou escenari, les obligacions de les organitzacions pateixen freq\u00fcents revisions, aspecte que genera inseguretat jur\u00eddica i la necessitat constant de realitzar un seguiment del cat\u00e0leg de requisits a complir i portar aquests canvis a l’estructura documental que sustenta el govern de l’organitzaci\u00f3 (en particular, reglaments interns, pol\u00edtiques i procediments, com hem vist anteriorment).<\/p>\n
El cost d’aquesta tasca per a una organitzaci\u00f3 \u00e9s molt elevat, per la qual cosa Astrea ha establert un paquet de servei consistent en una subscripci\u00f3 anual per al manteniment de tota la documentaci\u00f3 de conformitat legal de l’organitzaci\u00f3.<\/p>\n
El servei consisteix en l’actualitzaci\u00f3, per part de Astrea, de la citada documentaci\u00f3, i la seva tramesa a l’organitzaci\u00f3, amb control de canvis i una justificaci\u00f3 dels canvis realitzats.<\/p>\n","protected":false},"excerpt":{"rendered":"
Astrea presta serveis en relaci\u00f3 amb totes les fases d’un proc\u00e9s de conformitat legal, seguint un model de maduresa, des de l’etapa inicial en qu\u00e8 es pren consci\u00e8ncia dels requisits a complir i el seu grau efectiu de conformitat, fins a la gesti\u00f3 de canvi dels controls jur\u00eddics implementats. La conformitat legal \u00e9s una de […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":5,"menu_order":30,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-25","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/pages\/25","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/comments?post=25"}],"version-history":[{"count":0,"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/pages\/25\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/pages\/5"}],"wp:attachment":[{"href":"https:\/\/serveis.astrea.info\/index.php\/wp-json\/wp\/v2\/media?parent=25"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}