Con nuestro template para crear una matriz de evaluación de requisitos legales, acabarás rápidamente la actividad y con altas probabilidades de cumplir el requisito.
Te recomendamos que la elaboración y/o aprobación de este documento sea generada por el área legal de tu empresa, abogados externos que presten sus servicios a la organización, o una persona con el conocimiento suficiente en cumplimiento normativo que pueda documentar los requisitos legales aplicables a tu negocio.
A continuación te explicaremos cómo usar este template, qué significa cada columna, cómo debes llenarla, y los pasos a seguir.
Versionado del documento
Lo primero que verás al abrir nuestro template será la portada, como se muestra en la siguiente imagen.
En ella tienes que completar la información solicitada, la cual corresponde al versionado del documento.
Recuerda que el versionado es una de las partes más importantes de cualquier documento. Ya que, te permite identificar a las personas responsables de la elaboración, revisión y aprobación del documento.
Al versionar un documento puedes saber si está vigente, si cuenta con versiones obsoletas y tener registro de los cambios que ha sufrido.
Nuestro template te pide identificar los siguientes puntos:
Pone tu logo:
Aquí debes colocar el logo de tu empresa utilizando la imagen que te parezca más adecuada.
Código de documento:
No existe una regla para generar códigos de documentos. Lo único que tienes que tener en cuenta es que debe ayudar a identificarlos fácilmente.
Sugerimos hacer una combinación de varios elementos, como puede ser el nombre de la empresa, el número de documento, una abreviatura de política (POL) o procedimiento (PRO), el número de versión (v1, v2, v3), etcétera.
Algunos ejemplos pueden ser: DM-001A, SGSI-V1-DM, POL-SGSI-V1.
En el recuadro superior derecho, al lado del título debes identificar también, la siguiente información:
Elaborado por:
Se recomienda indicar el nombre y rol de la persona responsable de la creación del documento.
Versión:
Al crear este descriptivo por primera vez, tendremos la versión 1 del documento (lo cuál se puede indicar cómo v1). Por lo tanto, al actualizar este documento, su versión cambiará.
Las modificaciones que le sigan se pueden indicar cómo v2, v3, v4, y así sucesivamente.
Fecha última de actualización:
Se debe actualizar esta fecha cada que se realice algún cambio al documento o se renueve su vigencia.
Revisado por:
Se recomienda indicar el nombre y rol de la persona responsable de la revisión del documento.
Aprobado por:
Se recomienda indicar el nombre y rol de la persona responsable de la aprobación del documento.
Hackmetrix insight:
Las personas involucradas en la elaboración, revisión y aprobación del documento no deben ser las mismas.
Esto porque además de que te permite tener varios niveles de validación a tu documentación, te ayuda a cumplir y mantener la segregación de funciones dentro de tu empresa.
Cuando termines de completar la información, debería verse algo similar al ejemplo siguiente:
Identificación de requisitos legales y contractuales
Lo primero que se debe realizar es un análisis de todas las leyes, reglamentos y/u obligaciones contractuales que le apliquen a tu negocio para cumplir con los requisitos de seguridad de la información.
Ten en cuenta que todos estos elementos pueden variar, dependiendo del país en el que operes. Estos pueden venir en forma de requisitos de seguridad relacionados con TI, derechos de propiedad intelectual o derechos de autor, normativas de privacidad, entre otras.
Algunos ejemplos de leyes aplicables podrían ser los siguientes:
Ley de comercio electrónico.
Ley general de telecomunicaciones.
Ley de protección de datos personales.
Ley Fintech en México.
RAN 20-10 en Chile.
Circulares en Colombia, etcétera.
Antes de comenzar a trabajar en el documento, te explicaremos las 6 columnas que encontrarás dentro del template y en qué consiste cada una de ellas:
Tipo
Aquí debes indicar el tipo o clasificación de requerimiento legal o contractual que declararás. Nuestro template te sugiere las siguientes opciones pero puedes añadir más si te parece necesario:
Ley: Se refiere a normas o reglas de carácter obligatorio que se aprueban a través de procedimientos específicos y regulados por la autoridad de un Estado.
Decreto: Se refiere a una decisión, disposición o mandamiento proveniente de un poder del Estado, que es escrita con carácter normativo u obligatorio. Su vigencia y aplicación están limitadas en espacio, tiempo, corporaciones, establecimientos y/o personas, a diferencia de la ley que contiene disposiciones generales y abstractas.
Resolución: Se refiere a decisiones no normativas por parte de una autoridad, la cual puede ser política, administrativa o judicial, que solventa un conflicto o proporciona las pautas a seguir en un asunto determinado.
Circular: Se refiere a la comunicación emitida por una autoridad superior a una inferior sobre un tema y con un propósito específico, generalmente usado para transmitir instrucciones y decisiones de carácter obligatorio.
Convenio: Se refiere a un documento que acredite el acuerdo entre dos o más partes interesadas que estaban en conflicto o con intereses mutuos y que llegaron a una negociación conveniente para todos.
Normas técnicas: Se refiere a documentos técnico-legales que contienen especificaciones y criterios de aplicación voluntaria para la implementación de las mejores prácticas en un entorno socioeconómico.
Número y nombre
Aquí debes indicar el código y/o nombre del tipo de aspecto legal o contractual que evaluarás.
Emisor
Aquí debes indicar quién aprobó o decretó el requerimiento legal correspondiente. Éstos pueden ser organismos gubernamentales, comisiones federales, entre otras.
Artículo
Aquí debes indicar el número o identificador del artículo o artículos, numerales o incisos del requerimiento legal o contractual que apliquen a tu empresa.
Requisito
Aquí debes colocar la descripción del requisito legal o contractual que estarás cumpliendo, tal cual te lo proporciona el documento pertinente.
Evidencia del cumplimiento
Aquí debes indicar con qué evidencia de tu SGSI cubrirás la información que solicita el requisito legal o contractual.
Para entenderlo mejor, veamos un ejemplo práctico y común. Tenemos aquí dos casos muy particulares de aplicabilidad:
Para Chile está la norma RAN 20-10: Te aplica si eres un banco, filial de bancos, sociedad de apoyo al giro bancario, emisor u operador de tarjetas de pago.
Para México está la ley LFPDPPP: Te aplica si eres una empresa de giro privado que gestiona datos personales de terceros.
A continuación te mostramos ejemplos de la información que podríamos colocar dentro la matriz, considerando que los dos ejemplos anteriores aplican a nuestra empresa.
a. RAN 20-10
b. LFPDPPP
Tipo:
a. Norma
b. Ley
Número y nombre:
a. RAN 20-10
b. Ley Federal de Protección de Datos Personales en Posesión de Particulares
Emisor:
a. Comisión del Mercado Financiero (CMF)
b. Cámara de Diputados del H. Congreso de la Unión
Artículo:
a. Es aplicable toda la norma.
b. Es aplicable toda la ley.
Requisito:
a. Es aplicable toda la normativa.
b. Es aplicable toda la ley.
Evidencia del cumplimiento:
a. Evidencia que soporta el SGSI con base en ISO 27001, adicionando las particularidades que indica la norma para otros temas, cómo por ejemplo, la gestión de respaldos.
b. Evidencia que soporta el SGSI con base en ISO 27001, puntualmente para el control de A.18.1.4 Privacidad y Protección de Información Personal Identificable.
La vista dentro del documento sería la siguiente:
Recuerda que:
Es de suma importancia identificar todos los requisitos legales y contractuales que pueden afectar el alcance de tu SGSI, de manera que puedas alinearte al cumplimiento de ellos y asegurar las operaciones de tu empresa.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.