| 25 años generando CONFIANZA
Control de eliminación de la información
Hasta hace un tiempo las organizaciones tenían un gran reto de buscar información para mejorar y así crecer. Con el tiempo, el uso de redes amplió la forma de comunicarnos y por ende a disponer información de manera cada vez más rápida. De esta forma, en la actualidad se cuenta con información para diferentes campos de interés, desde lo directamente obtenido por la organización hasta lo utilizado o generado por empresas terceras que contrata la organización.
Es así, como no solo surgió la necesidad de proteger la información desde el punto de vista de conservarlos, sino también para eliminarlos. Esto último, en caso se presenten algunas situaciones como:
- La información ya no es relevante para la continuidad de las operaciones de la organización.
- La información nunca fue importante para las operaciones de la organización.
- La información ha pasado por revisiones para su mejora, por lo que existen versiones anteriores que ya no forman parte de la actual gestión
La norma ISO 27002:2022 propone no únicamente el cuidado de la información desde el punto de vista de preservarla para los intereses de la organización, sino también de eliminarla en caso esta ya no tenga un aporte para sus intereses de la organización. Es así como antes de proceder a eliminar, se debe proceder a establecer criterios de tiempo y utilidad. Esto es, no se debe conservar una información que resulta totalmente irrelevante en las operaciones de la organización. Esto reduce en gran manera el filtrado de información no deseada externamente a la organización.
Métodos a usar en el control de eliminación de la información
Una vez definido que se cuenta con información que no aporta en la actualidad en la organización se ubica el método adecuado para proceder con su eliminación. De antemano para estas gestiones, si hablamos de información que actualmente no aporta en la organización que, pero es de muy alto impacto en caso se filtre a personas que no le competen, se recomiendan métodos más estrictos que únicamente eliminarlo de forma convencional. Entre estos métodos contamos con algunos ejemplos que abordaremos a continuación.
Sobrescritura electrónica
Reemplazo de datos por otros con la finalidad de borrar el patrón original de datos. Al realizar el proceso de forma reiterada se obtiene un resultado cada vez más óptimo. Esto último con la finalidad de que en caso se intente proceder recuperar la información original sea más complicado a medida que se repita el proceso más veces.
Borrado criptográfico
Elimina el password de cifrado para no tener acceso a la información de un dispositivo. Al ser muy complicado su descifrado, hace muy difícil obtener la información original.
Las formas de eliminar la información no es solo una gestión que se ejecuta a nivel interno de la organización, sino también con las empresas terceras con las que se trabaja, ya que las fugas de información se pueden dar también a partir de terceros.
Existen otros métodos más convencionales que se atienden de forma física como la desmagnetización, el cual mediante campos magnéticos se modifica el patrón de polaridad, de esta forma se altera el resultado de la data contenida.
Aparte del método de eliminación de información, se debe recurrir en paralelo a verificar el cumplimiento de que la eliminación propuesta no incumpla políticas respecto al tratamiento de información. Así mismo, se debe considerar que la efectividad de eliminación de información sea más elevada a medida que la información aumente su grado de confidencialidad.
Finalmente, es de mencionar que la responsabilidad completa en cuanto al control de la eliminación de la información es de la misma organización, inclusive durante la gestión requerida por terceros, puesto a que el principal interesado en contar con información correcta y evitar su filtrado es la misma organización. Al ser un elemento de cada vez mayor interés e impacto, las inversiones de tiempo y recursos serán cada vez más elevadas.
Software para la gestión de ISO 27002
Para la gestión de la gran cantidad de información que implica la ISO 27002:2022 incluida la Eliminación de la Información y lo que respecta a la ciberseguridad y el control de inteligencia de amenazas, es de extrema utilidad recurrir a plataformas tecnológicas que ayuden a los CISO a:
- Reducir la brecha tecnológica, reduciendo la exposición al riesgo.
- Tomar mejores decisiones gracias a la consolidación de la información y la emisión ágil de informes.
- Minimizar la posibilidad de pérdida de datos y con ello el riesgo de continuidad de negocio.
- Evitar el oscurantismo tecnológico.
ISOTools es la plataforma tecnológica que ayuda a las organizaciones a llevar un mejor y más eficiente control de la seguridad de la información. Puede inscribirse en una demo online en este enlace.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...