La norma ISO 27002:2022 ofrece un marco integral para proteger la información más allá de los sistemas digitales. Este estándar destaca la importancia de implementar reglas y procedimientos que aseguren la confidencialidad de datos sensibles en cualquier forma de comunicación.
Por Luis R. Soto, seguridad de la información y Riesgos de TI. Experto en cumplimiento normativo.
Por mucho tiempo hemos diseñado y rediseñado controles y procesos para gestionar de una manera adecuada la información que viaja y se almacena en nuestras redes y sistemas de información, pero a todo esto surge una pregunta: ¿cómo se gestiona la seguridad de otro tipo de información? Por ejemplo: aquella que se almacena en papel, o viaja a través de datos suministrados de forma verbal o telefónica; ¿acaso queda fuera de la efectividad que puedan representar los controles tecnológicos?
Aquí es donde se destaca el estándar internacional ISO 27002:2022, puesto que una de sus mayores virtudes es el alcance que dicho estándar tiene sobre todo tipo de información, y no sólo la que es tratada por medios magnéticos o informáticos.
Desde su parte introductoria el estándar establece que “las organizaciones de todos los tipos y tamaños crean, recopilan, procesan, almacenan, transmiten y eliminan información en muchas formas, incluidas las electrónicas, físicas y verbales”, siendo ésta última destacada en el control 5.14 “Transferencia de Información”, del mismo documento.
Dicho control es preventivo y establece que las reglas, procedimientos o acuerdos de transferencia de información deben estar vigentes para todos los tipos de transferencia dentro de las instalaciones de la organización y entre la organización y otras partes; este control tiene como propósito mantener la seguridad de la información transferida dentro de una organización y con cualquier parte interesada externa.
Entre los lineamientos de implementación el estándar nos dice que cuando la información se transfiere entre la organización y terceros, se deben establecer y mantener acuerdos de transferencia (incluida la autenticación del destinatario) para proteger la información en todas sus formas en tránsito.
La transferencia de información puede ocurrir a través de transferencia electrónica, transferencia de medios de almacenamiento físico y transferencia verbal.
En el control antes mencionado se le da un tratamiento especial a este tipo de información clasificándola como “Transferencia Verbal”. Aquí, para proteger dicha información se establecen los siguientes lineamientos:
a) No se debe tener conversaciones verbales confidenciales en lugares públicos o a través de canales de comunicación inseguros, ya que estos pueden ser escuchados por personas no autorizadas.
b) No se deben dejar mensajes que contengan información confidencial en contestadores automáticos o mensajes de voz ya que estos pueden ser reproducidos por personas no autorizadas
c) Para el caso de reuniones presenciales, se debe garantizar que se implementen controles apropiados en la sala (por ejemplo, insonorización, puerta cerrada).
d) Finalmente, ante cualquier escenario y siempre que el caso lo amerite, se debe comenzar cualquier conversación delicada con un descargo de responsabilidad para que los presentes conozcan el nivel de clasificación y los requisitos de manejo de lo que están a punto de escuchar.
コメント