Eliminación segura de documentos según la norma ISO 27001
Norma ISO 27001
Según la norma ISO 27001 podemos pensar en los siguientes escenarios:
- Documentos impresos: ya no se necesitan y se utilizan como papel borrador o acumulan todas las áreas de espera para la eliminación.
- Equipo defectuoso: se encuentran descartados por el personal de mantenimiento, es decir, se pueden encontrar en la basura o vendido como chatarra.
- Equipo considerado obsoleto: se puede vender para recuperar parte de la inversión o se puede donar para mejorar la imagen de la organización.
Podemos encontrar casos en los que la eliminación inadecuada de los activos y de los documentos fue la causa raíz del incidente:
- Unidades de disco duro de la empresa que se vendieron por internet y que contengan miles de documentos confidenciales, nombres de trabajadores, número de seguridad social, etc.
- Un ordenador que se utilizaba por los administrativos en los que existen nombres, números de teléfonos e información de ayuda financiera.
- Una empresa se encuentra utilizando papel reciclado que contiene datos de tarjetas de débito e información personal, por lo que pone en peligro miles de registros.
Afortunadamente, la norma ISO 27001 puede proporcionar cierta orientación y guía sobre cómo deshacerse de los medios de comunicación y los activos de forma que se reduzcan al mínimo los riesgos de la exposición de información comprometedora.
¿Por qué molestarse con la eliminación segura?
Eliminar activos de los medios puede parecer una actividad simple, pero de forma general sólo se dispone de cosas que ya no se consideran necesarias o no valiosas. Sin embargo, si pensamos en las actividades de reciclaje ambiental, se puede ver que lo que es inútil para alguien puede ser muy valioso para otro persona.
El mismo se aplica a la información. Algunas piezas de información se consideran valiosas, ya que pueden conducir a un competidor para ganar una ventaja comercial, a un criminal para explorar las debilidades de una empresa o, mucho peor, causar daños a un cliente o a la vida de la persona mediante la información personal y privada con la que pueden cometer un crimen contra dichas personas.
Con el objetivo de proteger a una organización “información relevante durante todo su ciclo de vida, la norma ISO 27001 proporciona dos controles específicos relacionados con la disposición de la información”:
- Cada vez que se descarta un medio de comunicación, la utilización de procedimientos debe ser considerara para asegurar la eliminación adecuada de la información.
- El equipo que contiene medios de almacenamiento debe ser verificado para asegurar que está libre de la información sensible antes de su eliminación o reutilización.
Otras formas de control, la eliminación tiene que ser apoyada por la organización.
Eliminación de medios
A la hora de disponer de medios, la norma ISO 27002 ofrece recomendaciones que se pueden resumir como:
- Los procedimientos de desecho deben ser proporcionales a la información de nivel de clasificación: cuanto mayor sea la clasificación, mayor será la seguridad de que la información no puede ser recuperada después de su eliminación. Trituración o incineración de los medios de comunicación, además de datos sobrescritos que son ejemplos de buenas prácticas.
- Identificar de forma clara la información que requiere la eliminación de forma segura: según la utilización de la marca de agua o un borde de color, es mucho más fácil para que alguien identifique la información que debe eliminarse de forma segura.
- Desechar los medios de mezcla diferentes tipos: cuanto mayor sea la mezcla de diferentes elementos, más difícil será recuperar unos medios específicos, y más seguro.
- Controlar el acceso a los medios de comunicación acumulada para su eliminación: una gran cantidad de información no sensible, ya que puede hacer que sea posible recuperar información sensible. Podemos poner el siguiente ejemplo, un gran número de informes de mercado publicados juntos que pueden permitir a alguien que averigüen una tendencia relacionada con la estrategia sensible del mercado. Se piensa en la definición de un periodo de acumulación de corto o el volumen de almacenamiento pequeño para ejecutar los procedimientos de eliminación.
- Mantener la trazabilidad de los artículos sensibles: para asegurarse que los artículos fueron eliminados de forma correcta, usted tiene que tener información sobre los listados de registro, como mínimo al realizar el procedimiento, cuando y qué método se utilizó.
Reutilización o eliminación equipos
Mientras que en el Anexo A 8.3.2 control de la información y los medios de comunicación en la que se almacena, A 11.2.7 control dirigido al manejar de forma adecuada los equipos que hace uso de los medios de comunicación, ya que a veces se requiere un conocimiento más especializado a medios de acceso o para protegerlo. Tenemos una recopilación de recomendaciones según la norma ISO 27002 para ciertos controles:
- La verificación del equipo antes de su eliminación o reutilización: debe verificar si es o no un medio de almacenamiento que se encuentra contenido dentro del equipo. Usted puede utilizar una lista de comprobación disposición para asegurar elementos críticos siendo verificados.
- Utilizar métodos no recuperables: la destrucción física o sobrescribir técnicas, con patrones específicos o genéricos, se debe utilizar para realizar la eliminación de información muy sensible.
- Evaluar el equipo dañado: los dispositivos dañados a veces necesitan ser envidados a organizaciones externas para que sean reparados. En estas situaciones, el dispositivo será evaluado por los datos sensibles que determinan si el elemento debe ser destruido físicamente en su lugar enviarse para su reparación. La norma ISO 31010 presenta un listado de técnicas de evaluación del riesgo que se pueden utilizar.
El uso de terceros
A veces el volumen de documentos, o los requisitos técnicos para su eliminación hace que se utilicen organizaciones especializadas para obtener una buena opción, pero se debe tener cuidado en la selección de una empresa adecuada. Existen diferentes criterios que deben tenerse en cuenta a la hora de gestionar la seguridad, los métodos de eliminación utilizados y las experiencias de la industria. Te debes asegurar de incluir todo en el contrato.
El valor de la información depende del uso que tenga y cómo se utiliza. Dado que es prácticamente imposible saber cómo se utiliza dicha información después de dejar de ser controlado por la organización, la desactivación de los medios de comunicación o el equipo que contiene puede hacer que la recuperación sea mucho más difícil o muy cara. Las preocupaciones pueden ayudar a prevenir los problemas de la organización, de los clientes y los trabajadores.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.