¿Cómo eliminar de forma segura los activos de una empresa según la ISO 27001?
ISO 27001
La norma ISO 27001 puede generar cierta orientación y guiar sobre cómo se las organizaciones se deben deshacer de los medios de comunicación y de los activos de manera que se disminuyan al máximo los riesgos que se generan de la exposición de la información más importante de la compañía.
¿Por qué molestarse con la eliminación segura?
Se deben eliminar los activos de medios que pueden parecer simples actividades, ya que por lo general sólo disponemos de cosas que ya no se consideran valiosas o necesarias. Se debe pensar en las actividades que se realizan de reciclaje, que puede verse como algo inútil para algunas personas pero para otras puede algo muy valioso.
Lo mismo se aplica a la información. Alguna pieza de información que no consideramos valiosa puede llevar un competidor para obtener una ventaja comercial, ya que un intruso puede explorar las debilidades de la empresa o generar algún daño en el cliente o en la vida de las personas utilizando su información personal o privada para cometer la planificación de un crimen.
Con el objetivo de proteger un negocio o la información más relevante del ciclo de vida, la norma ISO 27001 facilita todos los controles necesarios que se necesitan para eliminar la información:
- Cada vez se descarta un medio de comunicación, la utilización de procedimientos se tiene que considerar para asegurar la eliminación adecuada de la información.
- Los equipos que contiene los medios de almacenamiento deberán ser verificados para asegurar que se encuentre libre de información sensible antes de la eliminación o reutilización.
Existen otras formas de control, la eliminación segura se debe apoyar por una política de seguridad.
Disposición de medios
En cuanto a la disposición e medios, la norma ISO 27002 ofrece ciertas recomendaciones que se pueden resumir como:
Los procedimientos de desecho deben ser proporcionales a la información del nivel de clasificación: cuanto mayor sea la clasificación, la mayor garantía de que la información no puede ser recuperada después de la eliminación. Destruir o incinerar los medios de comunicación, o los datos sobrescritos, son ejemplos de buenas prácticas.
Identificar de forma clara toda la información que se requiere para la eliminación segura; para utilizar la marca de agua, o un borde de color es mucho más fácil para alguien que quiere identificar la información que se debe eliminar de forma segura.
Disponer los medios de mezcla mediante diferentes tipos: cuanto mayor sea la combinación de los distintos elementos, es mucho más fácil para la recuperación de un medio de comunicación específico y mucho más seguro.
Controlar el acceso a los medios de comunicación acumulada para su eliminación; una gran cantidad de información no sensible juntos puede hacer que sea posible recuperar la información sensible. Existe un enorme número de informes de mercado que han sido publicados para poder permitir que alguien averigüe la tendencia relacionada con la estrategia de mercado sensible. Se debe pensar en la definición de un periodo de acumulación a corto y pequeños plazo, además de ejecutar todos los procedimientos de eliminación.
Mantener la trazabilidad de los artículos: nos tenemos que asegurar de que los artículos han sido retirados de forma correcta, debe tener información sobre el listado de registro, como mínimo, cuando se llevó a cabo el procedimiento y que método se utilizó.
Reutilización o eliminación de los equipos
La información y los medios de comunicación se almacena, la A.11.2.7 de control se dirige al manejo adecuado de los equipos que hacen uso de los medios de comunicación, ya que a veces es necesario tener un conocimiento mucho más especializado para los medios de acceso o para protegerlo. Es necesario realizar una recopilación de las recomendaciones que proporciona la norma ISO 27002 para los siguientes controles:
- Verificar los equipos antes de eliminarlos o reutilizarlos
- Utilizar los método no recuperables
- Evaluación de equipos dañados
El uso de terceros
A veces los requisitos técnicos para su eliminación, hace que la utilización de organismo especializado sea una muy buena opción, pero se debe tener cuidado en la selección de la empresa adecuada. Existen criterios que se deben tener en cuenta de la manera que se gestiona su seguridad, métodos de eliminación utilizados y las experiencias con la industria. Se debe asegurar de incluir todo esto dentro de un contrato de servicio.
Puede ser basura para usted, pero puede ser el tesoro de otra persona
El valor que genera la información depende de que el uso que se le dé y cómo se utiliza. Ya que es prácticamente imposible saber cómo se lleva a cabo la información después de dejar el control de la empresa, la desactivación de los medios de comunicación o el equipo que contienen toda la información que puede ser muy difícil u recuperación o muy caro.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.