ISO 22301 ¿Cómo gestionar la eliminación de información?
ISO 22301
Hoy en día se producen grandes cantidades de información, por lo que resulta muy importante contar con un criterio sobre qué información tenemos que guardar y que información debemos eliminar. La norma ISO 22301 nos puede ayudar ante el temor que existe debido a los aspectos legales que nos obligan a conservar información durante un cierto tiempo, o por la tendencia natural al miedo a suprimir información, la gran mayoría de organizaciones son reacias a deshacerse de información y como regla general almacenan más información de la que verdaderamente es necesaria.
Es evidente, que deshacerse de información genera estrés, por lo que se tiende a guardar archivos de cualquier clase. Este comportamiento se ve reforzado por el avance tecnológico, por lo que hoy en día tener una buena capacidad de almacenamiento es indispensable.
El almacenamiento innecesario de información se convierte en un problema, ya que las tareas informáticas cotidianas pueden complicarse teniendo en cuenta que los datos no solo se deben mantener sino que además se deben guardar copias de seguridad, las copias de seguridad de los correos electrónicos son innecesarias y generan multiplicidad de información.
Resulta evidente que las soluciones a los problemas deben ser abordados desde aspectos tecnológicos y humanos, por lo que la norma ISO 22301 hace más eficiente el mantenimiento de la gran cantidad de información que se genera en la actualidad.
El primer argumento que podemos utilizar es muy sencillo, debemos establecer una regla y una política para deshacernos de los correos que no necesitamos almacenar. Por ejemplo, muchos emails en los que nos encontramos en copia, que contiene archivos adjuntos que no son directamente para nosotros y que podemos eliminar. Otra ayuda puede ser mantener los archivos en común sin tener que llenar el correo que se transmiten de unos a otros y se archivan muchas veces de forma innecesaria.
Otra pauta que nos indica la norma ISO 22301 es tener una categorización de los datos. En relación con los clientes, debemos proponernos el diseño de un sistema de categorías que nos permitan clasificar toda la información que intercambiamos con nuestros clientes. De esta manera establecemos un sistema de clasificación, sin observar tanto lo amplio que sea necesario de forma que podamos determinar la naturaleza exacta de cada archivo que intercambiamos con nuestros clientes. Este sistema será un gran apoyo a la hora de tomar las decisiones necesarias sobre la información que tenemos que conservar y la que tenemos que eliminar.
El criterio humano también debe ser considerado, debe estar presente en todo momento, guiado por una política clara y definida por la organización en este asunto, de forma que los trabajadores tengan la herramienta para decidir qué información tiene que almacenar y de que información debe deshacerse. Este aspecto es fundamental para crear esta cultura de responsabilidad ante este problema y cambiar la filosofía de la empresa, que hasta ahora promovía solamente que se debe guardar todo.
ISO 22301 amenazas internas
Con más frecuencia de la esperada, las principales amenazas contra nuestro negocio se sitúan dentro de nuestra organización.
Existen una serie de amenazas que pueden ser:
- Los trabajadores y los contratistas: cualquier trabajador o contratista que haya sido despedido de la organización y tenga la intención de hacer algún daño a la infraestructura de TI o la información crítica de la organización por una queja que tiene contra la administración o la organización, los empleados deshonestos que abusan de sus privilegios para su propio beneficio.
- Comportamiento accidentales o infracciones causadas por los trabajadores: las acciones que ponen en peligro la infraestructura de TI y la información crítica bien sea por la instalación de un software que no se encuentra autorizado, abrir archivos adjuntos que contengan virus, accidentes fortuitos, divulgar información sensible de la organización, etc.
- El espionaje corporativo: los piratas información que a veces pagan a los trabajadores para robar información importante. Normalmente se utilizan trabajadores de bajo perfil o contratistas eventuales.
La norma ISO 22301 nos ofrece consejos para reducir estos problemas:
- Mantener un estricto control de contraseñas y políticas de cuentas de acceso.
- Hacer que se cumplan la separación de funciones y privilegios para asignar el acceso a la información sensible. Evitar la facilidad de los procesos de visto bueno a la hora de otorgar permisos. Practicas la rotación de tareas puede ser una buena ayuda.
- Ser exigentes a la hora de seleccionar y formar a los trabajadores de la administración del sistema.
- Proporcionar formación de sensibilización de seguridad cada cierto tiempo para todos los trabajadores.
- Realizar la evaluación de riesgo en toda la organización con regularidad incluyendo pruebas de transgresiones internas y externas.
- Defenderse de forma activa contra los códigos maliciosos.
- Desactivar el acceso a los sistemas inmediatamente después de la finalización de los contratos de los trabajadores y contratistas.
- Asegurarse de que los datos y los procesos críticos se encuentran en su lugar y funcionamiento según nuestras necesidades.
- Supervisar y responder de forma rápida a todas las acciones sospechosas en los sistemas y el comportamiento de los trabajadores, especialmente si son administradores o personal de apoyo de sistemas.
- Verificar los antecedentes de todos los empleados que trabajan dentro de la organización.
Software ISO 22301
El Software ISOTools Excellence es una plataforma tecnológica que ayuda a llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio para poder identificar y controlar las amenazas que se producen en las organizaciones, según la norma ISO 22301.