Saltar al contenido principal

Control de eliminación de la información en la nueva ISO 27002

Portada » Blog Calidad y Excelencia » Control de eliminación de la información en la nueva ISO 27002

Control de eliminación de la información

Hasta hace un tiempo las organizaciones tenían un gran reto de buscar información para mejorar y así crecer. Con el tiempo, el uso de redes amplió la forma de comunicarnos y por ende a disponer información de manera cada vez más rápida. De esta forma, en la actualidad se cuenta con información para diferentes campos de interés, desde lo directamente obtenido por la organización hasta lo utilizado o generado por empresas terceras que contrata la organización.

Es así, como no solo surgió la necesidad de proteger la información desde el punto de vista de conservarlos, sino también para eliminarlos. Esto último, en caso se presenten algunas situaciones como:

  • La información ya no es relevante para la continuidad de las operaciones de la organización.
  • La información nunca fue importante para las operaciones de la organización.
  • La información ha pasado por revisiones para su mejora, por lo que existen versiones anteriores que ya no forman parte de la actual gestión

La norma ISO 27002:2022 propone no únicamente el cuidado de la información desde el punto de vista de preservarla para los intereses de la organización, sino también de eliminarla en caso esta ya no tenga un aporte para sus intereses de la organización. Es así como antes de proceder a eliminar, se debe proceder a establecer criterios de tiempo y utilidad. Esto es, no se debe conservar una información que resulta totalmente irrelevante en las operaciones de la organización. Esto reduce en gran manera el filtrado de información no deseada externamente a la organización.

CTA botón fundamentos de la gestión de seguridad de la información

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Métodos a usar en el control de eliminación de la información

Una vez definido que se cuenta con información que no aporta en la actualidad en la organización se ubica el método adecuado para proceder con su eliminación. De antemano para estas gestiones, si hablamos de información que actualmente no aporta en la organización que, pero es de muy alto impacto en caso se filtre a personas que no le competen, se recomiendan métodos más estrictos que únicamente eliminarlo de forma convencional. Entre estos métodos contamos con algunos ejemplos que abordaremos a continuación.

Sobrescritura electrónica

Reemplazo de datos por otros con la finalidad de borrar el patrón original de datos. Al realizar el proceso de forma reiterada se obtiene un resultado cada vez más óptimo. Esto último con la finalidad de que en caso se intente proceder recuperar la información original sea más complicado a medida que se repita el proceso más veces.

Borrado criptográfico

Elimina el password de cifrado para no tener acceso a la información de un dispositivo. Al ser muy complicado su descifrado, hace muy difícil obtener la información original.

Las formas de eliminar la información no es solo una gestión que se ejecuta a nivel interno de la organización, sino también con las empresas terceras con las que se trabaja, ya que las fugas de información se pueden dar también a partir de terceros.

Existen otros métodos más convencionales que se atienden de forma física como la desmagnetización, el cual mediante campos magnéticos se modifica el patrón de polaridad, de esta forma se altera el resultado de la data contenida.

Aparte del método de eliminación de información, se debe recurrir en paralelo a verificar el cumplimiento de que la eliminación propuesta no incumpla políticas respecto al tratamiento de información. Así mismo, se debe considerar que la efectividad de eliminación de información sea más elevada a medida que la información aumente su grado de confidencialidad.

Finalmente, es de mencionar que la responsabilidad completa en cuanto al control de la eliminación de la información es de la misma organización, inclusive durante la gestión requerida por terceros, puesto a que el principal interesado en contar con información correcta y evitar su filtrado es la misma organización. Al ser un elemento de cada vez mayor interés e impacto, las inversiones de tiempo y recursos serán cada vez más elevadas.

Software para la gestión de ISO 27002

Para la gestión de la gran cantidad de información que implica la ISO 27002:2022 incluida la Eliminación de la Información y lo que respecta a la ciberseguridad y el control de inteligencia de amenazas, es de extrema utilidad recurrir a plataformas tecnológicas que ayuden a los CISO a:

  • Reducir la brecha tecnológica, reduciendo la exposición al riesgo.
  • Tomar mejores decisiones gracias a la consolidación de la información y la emisión ágil de informes.
  • Minimizar la posibilidad de pérdida de datos y con ello el riesgo de continuidad de negocio.
  • Evitar el oscurantismo tecnológico.

ISOTools es la plataforma tecnológica que ayuda a las organizaciones a llevar un mejor y más eficiente control de la seguridad de la información. Puede inscribirse en una demo online en este enlace.

CTA tira fundamentos de seguridad de la información

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Cómo Operar En El Día A Día Con Un Sistema De Gestión De Riesgos
Cómo operar en el día a día con un sistema de gestión de riesgos

Sistema de Gestión de Riesgos Uno de los conflictos que tenemos cuando pensamos en riesgos es que creemos…

Ver más
Control De Seguridad De La Información
Control de Seguridad de la información en la nube de la nueva ISO 27002

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que…

Ver más
Control Interno
Elementos del Control Interno en la organización

Control Interno El sistema de Control Interno de la organización establece los medios necesarios para garantizar que la…

Ver más
Liderazgo Visible 45001
¿Qué dice ISO 45001 sobre liderazgo visible?

La norma ISO 45001. La norma ISO 45001 es un estándar internacional de gestión de seguridad y salud…

Ver más