ISO/IEC 27038 describe las características de los enfoques de redacción digital. ISO 27038, publicada en 2014, también define criterios para herramientas de redacción de software y para completar procedimientos de prueba de forma segura.
En ocasiones, es posible que deba revelar información a terceros, o incluso al público, para fines tales como divulgación de registros oficiales conforme a la Ley de Libre Acceso o como prueba en asuntos legales o procedimientos judiciales. Sin embargo, ISO 27038 no proporciona revisión de la base de datos. Las bases de datos cuentan como "unidades de información registrada", pero están expresamente exentas del alcance de la norma.
La redacción es el método de eliminar material de un documento antes de su publicación. En el contexto legal, el uso de la redacción es eliminar información confidencial, patentada o protegida de los registros antes de presentarla ante el tribunal, o de otro modo, ponerla a disposición para su visualización fuera de la oficina. Una organización también puede utilizar la redacción para eliminar metadatos o material (por ejemplo, imágenes) importados a un documento.
ISO 27038 describe la redacción como la eliminación permanente de información dentro de un documento donde el documento se define oficialmente como información registrada y se considera como una unidad. Las definiciones son esenciales ya que estas palabras también significan otras cosas en otros contextos y uso general. Más adelante en el estándar, la redacción se amplía para incluir no solo la eliminación de información confidencial sino también mostrar dónde se encuentra el material eliminado, si es necesario.
Cuando se considere inaceptable revelar detalles confidenciales dentro de un documento, la organización debe eliminar la información de manera segura antes de su publicación. Ejemplos de esto incluyen los nombres o ubicaciones de personas que deben permanecer en el anonimato y otros registros personales o de propiedad que deben permanecer estrictamente confidenciales.
Considerar la redacción suele ser vital para proteger información altamente confidencial. Errores en el proceso que conduce a la divulgación no autorizada de datos son serios. Las deficiencias en la redacción llevaron a eventos como el robo de identidad, la exposición de cuestiones delicadas de seguridad, violaciones de la privacidad y, en algunos casos extremos, la exposición de la identidad de agentes encubiertos e informantes. Por el contrario, la divulgación de secretos comerciales puede resultar muy costosa en un contexto comercial. Al menos para aquellos considerados responsables, los errores de redacción pueden ser humillantes.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
Hay varios datos los riesgos de seguridad relacionados con la redacción digital. Una de estas amenazas es no lograr que la información redactada sea irreversible. Esto puede deberse a una variedad de factores, como no reescribir datos confidenciales o eliminar información confidencial solo en parte. Al dejar los datos remanentes, puede permitir que se recupere información redactada. El uso de métodos de redacción tecnológicos incorrectos o inadecuados, como la alteración sutil de registros, también plantea riesgos para los datos. En lugar de eliminar permanentemente datos confidenciales, el uso de técnicas que pueden revertirse o revertirse frustra el propósito de redactar la información confidencial tal como aún se puede descubrir.
Otra vulnerabilidad relacionada con la redacción es la excesiva dependencia del retoque, el pixelado o el uso de otras técnicas similares de ofuscación para enmascarar secciones de imágenes. Estas técnicas se utilizan a menudo para proteger la privacidad personal. Mediante el uso de deconvolución y enfoques de transformación diferentes y menos sofisticados, se puede restaurar suficiente información original para permitir el reconocimiento. Pero en el otro extremo, la edición excesiva o inadecuada también puede aumentar la riesgo de seguridad para una organización. Eliminar algo más que elementos sensibles concretos que se suponía que se habían escrito o hecho de manera tan torpe podría cambiar involuntariamente el significado de los datos residuales como consecuencia de problemas contextuales.
Reescribir información incorrectamente puede provocar fugas o un error no intencionado. violación de datos. Ejemplos de este comportamiento incluyen:
Una dependencia excesiva de la redacción también puede plantear un problema. riesgo de seguridad de la información. Creyendo que es suficiente mantener la total confidencialidad de los datos sensibles en todos los casos, mientras que los errores tecnológicos y de proceso son inevitables y los accidentes ocurren con frecuencia. Por el contrario, no depender de la escritura, pensando que es incapaz de defender información confidencial, también puede aumentar el riesgo.
La redacción también puede contribuir a problemas de seguridad de la información que son involuntarios o periféricos al proceso en sí. Ejemplos de esto son:
Estos casos pueden dañar la credibilidad de una organización o los archivos iniciales no escritos.
Una sesión práctica adaptada a tus necesidades y objetivos.
Aunque la norma ISO 27038 tiene un alcance limitado, la riesgos que aborda son importantes y muchos de los controles son técnica y procesalmente sofisticados. Como otro ISO27k estándares, ISO 27038 no busca cubrir en profundidad todos los caprichos del proceso editorial, pero ofrece una guía sólida, genérica y de alto nivel.
La tecnología de redacción digital existe desde hace muchos años para revisar electrónicamente texto confidencial de cualquier documento en formato PDF. Una variedad de Los programas de software tienen esta característica.. A pesar de esto, y a medida que las organizaciones crean y transmiten una cantidad cada vez mayor de documentos producidos digitalmente, algunas todavía utilizan métodos manuales de redacción en papel.
En muchos casos, esto implica imprimir un documento, eliminar manualmente información confidencial con tinta o cinta, fotocopiar el registro y luego descargar el documento nuevamente al sistema. Con estas herramientas disponibles, ¿por qué algunas empresas siguen utilizando la redacción manual?
Cosas las empresas no son conscientes que las tecnologías de redacción existen porque han estado demasiado ocupadas para mantenerse actualizadas con los desarrollos técnicos. Algunas empresas creen que no tienen tiempo para explorar las opciones de sus aplicaciones, por lo que siguen haciendo lo que están acostumbradas a hacer. Otras empresas suponen que el software es inexacto y que el conocimiento escrito y los metadatos serían de alguna manera detectables y aumentarían su apetito por el riesgo. Mientras que otros conocen este software, pero no creen que puedan permitírselo.
Las redacciones resultantes son más precisas porque no dependen de seres humanos para localizar información sensible y privilegiada. Las redacciones digitales suelen ser más rápidas que editar un texto manualmente.
Es más fácil etiquetar y borrar texto con simples movimientos del mouse que colocar cinta adhesiva o tinta negra cubriendo datos clasificados. Pueden cambiar cientos de páginas escritas en una fracción del tiempo necesario para reescribir la misma cantidad manualmente.
Además, la redacción digital es un método de ahorro sustancial de costes. Ahorra dinero a una empresa en recursos y tiempo del personal. En lugar de perder horas realizando un trabajo muy administrativo, la redacción digital puede liberar a los trabajadores para que realicen un trabajo más sustancial.
En varios sentidos, este proceso digital es superior a cualquier procedimiento en papel. La edición digital es mucho más efectiva. Dado que todas las aplicaciones de PDF con función de redacción tienen capacidades de búsqueda, los usuarios pueden buscar detalles confidenciales, como números de cuenta y frases particulares.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
ISO 27038 se aplica a todas las organizaciones que intercambian información confidencial externamente. Por ejemplo, al compartir un política de seguridad de la información fuera de la empresa, cualquier información confidencial que contenga debe redactarse antes de su divulgación. La norma incorpora dos niveles editoriales:
Esta distinción hace que ISO 27038 sea crucial para muchas organizaciones en todos los sectores.
Mientras que las pautas de especificación ISO generalmente usan "deberá" únicamente para indicar condiciones obligatorias, ISO 27038 a menudo usa "debería" en algunos lugares y ofrece aclaraciones más allá de las especificaciones formales. En la práctica, esto hace que sea más fácil para los usuarios comprender e implementar el estándar, pero más difícil verificar y hacer cumplir el cumplimiento, si es que alguna vez se anticipa.
La norma, sin embargo, no dice nada sobre la gestión general del proceso de redacción. En cambio, ISO 27038 define qué se debe escribir, por qué, cómo y por quién, o evaluar y cómo manejar los riesgos en una determinada situación de redacción. La norma también analiza medidas de seguridad que deben aplicarse relacionados con el proceso o relacionados con él, por ejemplo impidiendo la divulgación inadecuada o la aclaración de contenidos no escritos.
ISO 27038 se compone de 9 cláusulas y un anexo.
Cláusula 1: Alcance
Cláusula 2: Términos y definiciones
Cláusula 3: Símbolos y términos abreviados
Cláusula 4: Principios generales de la redacción digital
Cláusula 5: Requisitos
Cláusula 6: Procesos de redacción
Cláusula 7: Mantenimiento de registros del trabajo de redacción
Cláusula 8: Características de las herramientas de redacción de software
Cláusula 9: Requisitos para las pruebas de redacción
Anexo A: Redacción de documentos PDF
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez