Cláusula 27701 de la norma ISO 6.5.3: Mejores prácticas para la seguridad de los medios
Los medios de TIC, ya sean extraíbles o estáticos, que se utilizan para almacenar y procesar PII a menudo se consideran el principal problema para las organizaciones que buscan mantenerse en el lado correcto de sus obligaciones legales, regulatorias y contractuales.
Las dificultades con la gestión de medios extraíbles (y la PII que contienen) crecen exponencialmente con el tamaño de la organización y el número de empleados a los que se les permite utilizar dichos dispositivos.
Además de su uso operativo, los medios de almacenamiento deben retirarse adecuadamente de la red y desecharse cuando ya no sean necesarios, y las organizaciones deben asegurarse de que no queden rastros residuales de ninguna PII o información relacionada con la privacidad antes de su reutilización.
Qué se cubre en la cláusula 27701 de la norma ISO 6.5.3
Cada cláusula de la norma ISO 27701 aborda el concepto de PII, dentro del contexto de los medios de almacenamiento:
- ISO 27701 6.5.3.1 – Gestión de medios extraíbles (Referencias ISO 27002 control 7.10)
- ISO 27701 6.5.3.2 – Eliminación de medios (Referencias ISO 27002 control 7.10)
- ISO 27701 6.5.3.3 – Transferencia de medios físicos (Referencias ISO 27002 control 7.10)
ISO 27701 Cláusula 6.5.3 es una Fusión de tres cláusulas anteriores de ISO 27002., que ahora se han consolidado en una única cláusula en la iteración de 2022: ISO 27002 7.10 (Medios de almacenamiento).
Cada control contiene orientación adicional relacionada con la PII que rige el enfoque de una organización respecto de los medios de almacenamiento.
Además, cada subcláusula contiene varios puntos de orientación relacionados con artículos específicos de la legislación GDPR del Reino Unido.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.5.3.1 – Gestión de medios extraíbles
Referencias ISO 27002 Control 7.10
Medios de almacenamiento extraíbles
Al desarrollar políticas que gobiernen el manejo de los activos de medios involucrados en el almacenamiento de PII, las organizaciones deben:
- Desarrollar políticas únicas para temas específicos basadas en requisitos departamentales o laborales.
- Asegúrese de que se solicite y otorgue la autorización adecuada antes de que el personal pueda retirar medios de almacenamiento de la red (incluido mantener un registro preciso y actualizado de dichas actividades).
- Almacene los medios de acuerdo con las especificaciones del fabricante, libres de cualquier daño ambiental.
- Considere utilizar cifrado como requisito previo para acceder o, cuando esto no sea posible, implementar medidas de seguridad física adicionales.
- Minimice el riesgo de que la PII se corrompa transfiriendo información entre medios de almacenamiento, según sea necesario.
- Introduzca la redundancia de PII almacenando información protegida en múltiples activos al mismo tiempo.
- Autorice únicamente el uso de medios de almacenamiento en entradas aprobadas (es decir, tarjetas SD y puertos USB), activo por activo.
- Supervise de cerca la transferencia de PII a medios de almacenamiento, para cualquier propósito.
- Tenga en cuenta los riesgos inherentes a la transferencia física de medios de almacenamiento (y, por proxy, la PII contenida en ellos), al mover activos entre personal o instalaciones (ver ISO 27002 5.14).
Reutilización y eliminación
Al reutilizar, reutilizar o desechar medios de almacenamiento, se deben implementar procedimientos sólidos para garantizar que la PII no se vea afectada de ninguna manera, incluidos:
- Formatear los medios de almacenamiento y garantizar que toda la PII se elimine antes de su reutilización (consulte ISO 27002 8.10), incluido el mantenimiento de la documentación adecuada de todas esas actividades.
- Eliminar de forma segura cualquier medio que la organización ya no utilice y que se haya utilizado para almacenar PII.
- Si la eliminación requiere la participación de un tercero, las organizaciones deben tener mucho cuidado para garantizar que sean un socio adecuado para realizar dichas tareas, en línea con la responsabilidad de la organización hacia la PII y la protección de la privacidad.
- Implementar procedimientos que identifiquen qué medios de almacenamiento están disponibles para su reutilización o pueden eliminarse en consecuencia.
Si los dispositivos que se han utilizado para almacenar PII se dañan, las organizaciones deben considerar cuidadosamente si es más apropiado destruir dichos medios o enviarlos a reparación (errando por el lado del primero).
Orientación adicional relacionada con la PII
ISO advierte a las organizaciones contra el uso de dispositivos de almacenamiento no cifrados para cualquier actividad relacionada con PII.
Controles ISO 27002 relevantes
- Control ISO 27002 5.14
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
- Artículo 32 – (1)(a)
ISO 27701 Cláusula 6.5.3.2 – Eliminación de medios
Referencias ISO 27002 Control 7.10
Ver ISO 27701 Cláusula 6.5.3.1.
Orientación adicional relacionada con la PII
Si los medios van a eliminar esa PII que anteriormente tenían, las organizaciones deben implementar procedimientos que documenten la destrucción de la PII y los datos relacionados con la privacidad, incluidas garantías categóricas de que ya no están disponibles.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.5.3.3 – Transferencia de medios físicos
Referencias ISO 27002 Control 7.10
Ver ISO 27701 Cláusula 6.5.3.1.
Orientación adicional relacionada con la PII
Las organizaciones deben tener especial cuidado al transportar medios de almacenamiento que contengan PII, a diferencia de las categorías de datos estándar.
Se deben mantener registros de todos los medios entrantes y salientes que contengan PII, incluidos:
- Tipo de medio (HDD, USB, tarjeta SD, etc.).
- Remitentes autorizados y destinatarios internos.
- Fecha y hora de transferencia.
- La cantidad de medios físicos que se transferirán.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
- Artículo 32 – (1)(a)
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.5.3.1 | Gestión de medios extraíbles | 7.10 – Medios de almacenamiento para ISO 27002 | Artículos (5), (32) |
| 6.5.3.2 | Eliminación de medios | 7.10 – Medios de almacenamiento para ISO 27002 | Artículo (5) |
| 6.5.3.3 | Transferencia de medios físicos | 7.10 – Medios de almacenamiento para ISO 27002 | Artículos (5), (32) |
Cómo ayuda ISMS.online
ISMS.online facilita la gestión de información personal a través de una excelente solución basada en la nube para respaldar el cumplimiento de ISO 27701 en su organización.
Además de esto, contamos con expertos en seguridad de la información y recursos disponibles para guiarlo a través del proceso de acreditación ISO 27701.
Obtenga más información y obtenga una demostración práctica de reservar una demostración.
