Almacenamiento Y Borrado Seguro De Información

by Fernando on 11/09/2017

Almacenamiento Y Borrado Seguro De Información

Introducción

La gestión de la información ha representado siempre un aspecto de gran relevancia en el ámbito de las empresas y organizaciones de todo tipo, si bien el entorno de la actual sociedad del conocimiento, donde la innovación tecnológica permite generar, enviar y recibir información en cualquier momento y desde cualquier lugar, ha generado un incremento constante en el volumen de la misma.

Es por ello que, a los efectos de un eficiente control y gestión de la información, se antoja imprescindible conocer su «ciclo de vida», así como el establecimiento de políticas adecuadas de almacenamiento y seguridad.

En este sentido, cabe hacer referencia a tres aspectos fundamentales relacionados con la gestión de la información:

  • Almacenamiento de la información: una correcta y adecuada clasificación y almacenamiento de los datos conforme a políticas establecidas y permanentemente actualizadas representa el punto de partida para una gestión segura de la información, pues se ha de tener presente que la información recopilada en los distintos soportes de almacenamiento puede ser delicada y de gran trascendencia, de manera que su divulgación podría perjudicar no solo a la propia empresa, sino también a sus empleados, a otras entidades…
  • Recuperación de la información: especial y trascendental relevancia adquieren los mecanismos de recuperación de la información como herramientas que permiten restaurar la actividad de una empresa en los casos en que se produzcan pérdidas de información, circunstancia esta que se produce «habitualmente» en el seno de las organizaciones, ya sea por causas fortuitas o por fallos humanos o en los equipos informáticos.
  • Borrado de la información: con carácter general, llega un momento en el que la información, una vez tratada y utilizada por la organización, deja de ser útil, por lo que, para evitar que pueda ser recuperada y caiga en manos de terceros, habrá de ser eliminada de forma segura.

Antes de entrar en un análisis más detallado sobre el papel de la información en el seno de cualquier organización, de todo lo relativo a su almacenamiento y eliminación, conviene delimitar el entorno normativo en el cual ha de desenvolverse la gestión de esta información.

En este sentido, la seguridad de la información empleada por las organizaciones en el desempeño de su actividad exige el cumplimiento de las normativas, controles y estándares de los procesos asociados al manejo de la misma. A tal efecto, determinadas certificaciones permiten garantizar el cumplimiento de tales cuestiones. Tal es el caso de, por ejemplo, la certificación vinculada a la norma ISO 9001, que viene a garantizar el cumplimiento por parte de la entidad de la política y objetivos de calidad, mediante la revisión de los datos asociados al sistema de gestión de la calidad y la adopción de cuantas medidas sean necesarias para asegurar el cumplimiento de los objetivos de calidad, el establecimiento de nuevos objetivos y el logro de un proceso de mejora continua.

Todo ello incide igualmente en las políticas internas de gestión de la seguridad de la información, en cuyo ámbito las compañías pueden tener definidos acuerdos de confidencialidad, uso y distribución de la misma, control y niveles de acceso, custodia, borrado, recuperación… La norma internacional ISO/IEC 27001, que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI), establece que la seguridad de la información es la «preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio».

Es esta una norma cuyo objetivo es garantizar a las empresas la protección de su información, y que adquiere mayor relevancia si cabe cuando se trata de la protección de información especialmente crítica para la actividad de las compañías, especialmente en sectores como los de tecnologías de la información, finanzas o aquellas cuya actividad consiste en la administración y gestión de información de terceras empresas.

Por otra parte, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, constituye un cuerpo legal a tener muy presente en lo que se refiere al tratamiento de dispositivos de almacenamiento y borrado seguro de información.

Entre otras cuestiones, este Real Decreto establece las medidas de seguridad de las que debe disponer cualquier organización a los efectos de garantizar el cumplimiento de los principios básicos y requisitos mínimos establecidos, medidas que se clasifican en torno a tres grupos: marco organizativo, marco operacional y medidas de protección. En el caso concreto de estas últimas, se contemplan específicamente las relativas a los soportes de información, que incluyen, a su vez, todo lo relativo a su borrado y destrucción.

Marco Normativo

Antes de entrar en un análisis más detallado sobre el papel de la información en el seno de cualquier organización, de todo lo relativo a su almacenamiento y eliminación, conviene delimitar el entorno normativo en el cual ha de desenvolverse la gestión de esta información.

En este sentido, la seguridad de la información empleada por las organizaciones en el desempeño de su actividad exige el cumplimiento de las normativas, controles y estándares de los procesos asociados al manejo de la misma. A tal efecto, determinadas certificaciones permiten garantizar el cumplimiento de tales cuestiones.

Tal es el caso de, por ejemplo, la certificación vinculada a la norma ISO 9001, que viene a garantizar el cumplimiento por parte de la entidad de la política y objetivos de calidad, mediante la revisión de los datos asociados al sistema de gestión de la calidad y la adopción de cuantas medidas sean necesarias para asegurar el cumplimiento de los objetivos de calidad, el establecimiento de nuevos objetivos y el logro de un proceso de mejora continua.

Todo ello incide igualmente en las políticas internas de gestión de la seguridad de la información, en cuyo ámbito las compañías pueden tener definidos acuerdos de confidencialidad, uso y distribución de la misma, control y niveles de acceso, custodia, borrado, recuperación…

La norma internacional ISO/IEC 27001, que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI), establece que la seguridad de la información es la «preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio».

Es esta una norma cuyo objetivo es garantizar a las empresas la protección de su información, y que adquiere mayor relevancia si cabe cuando se trata de la protección de información especialmente crítica para la actividad de las compañías, especialmente en sectores como los de tecnologías de la información, finanzas
o aquellas cuya actividad consiste en la administración y gestión de información de terceras empresas.

Por otra parte, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, constituye un cuerpo legal a tener muy presente en lo que se refiere al tratamiento de dispositivos de almacenamiento y borrado seguro de información.

Entre otras cuestiones, este Real Decreto establece las medidas de seguridad de las que debe disponer cualquier organización a los efectos de garantizar el cumplimiento de los principios básicos y requisitos mínimos establecidos, medidas que se clasifican en torno a tres grupos: marco organizativo, marco operacional y medidas de protección. En el caso concreto de estas últimas, se contemplan específicamente las relativas a los soportes de información, que incluyen, a su vez, todo lo relativo a su borrado y destrucción.

Asimismo, se determinan los niveles de seguridad requeridos en base al concepto de confidencialidad, definida como la «propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados »:

  • Nivel bajo: para el caso en que las consecuencias derivadas de un incidente de seguridad representen un «perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados».
  • Nivel medio: para el caso en que las consecuencias derivadas de un incidente de seguridad representen un «perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados».
  • Nivel alto: para el caso en que las consecuencias derivadas de un incidente de seguridad representen un «perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados».

Igualmente, el ámbito de la protección de datos constituye un referente que han de tener presente las empresas como custodias de información a la que no pueden acceder terceros no autorizados. Así, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), define lo relativo al uso y difusión de datos personales de un tercero sin previa autorización.

Y concretamente, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD), que desarrolla de forma completa la LOPD, expone en su artículo 92.4 que «siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior».

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSICE), que regula el régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, ha de ser igualmente contemplada por las empresas, en la medida en que estas tienen asociadas una serie de obligaciones y responsabilidades como consecuencia del servicio comercial a través de Internet, al objeto de garantizar un uso adecuado y correcto en el tratamiento de la información.

Por tu éxito,
Fernando Amaro

Si quieres tener acceso a los Exclusivos Entrenamientos de Roberto Cerrada, te invito a unirte a su Club Circulo de Marketing, donde podrás acceder a decenas de horas de entrenamiento, tutoriales y planes de ejecución rápida para mejorar tu negocio en internet…
ÚNETE AHORA AL CÍRCULO y comienza a disfrutar de nuevas ideas, técnicas y estrategias… ¡para apalancar los resultados de tu negocio!

Banner Horiz.590px Únete Al Club De Los Hacedores

{ 0 comments… add one now }

Leave a Comment

Previous post:

Next post:

Página 1 de 11