top of page
Redacción IT NOW

Gestionando la seguridad de la información de transferencia verbal

La norma ISO 27002:2022 ofrece un marco integral para proteger la información más allá de los sistemas digitales. Este estándar destaca la importancia de implementar reglas y procedimientos que aseguren la confidencialidad de datos sensibles en cualquier forma de comunicación.


Por Luis R. Soto, seguridad de la información y Riesgos de TI. Experto en cumplimiento normativo.

 

Por mucho tiempo hemos diseñado y rediseñado controles y procesos para gestionar de  una manera adecuada la información que viaja y se almacena en nuestras redes y  sistemas de información, pero a todo esto surge una pregunta: ¿cómo se gestiona la  seguridad de otro tipo de información? Por ejemplo: aquella que se almacena en papel,  o viaja a través de datos suministrados de forma verbal o telefónica; ¿acaso queda fuera  de la efectividad que puedan representar los controles tecnológicos?


Aquí es donde se destaca el estándar internacional ISO 27002:2022, puesto que una de  sus mayores virtudes es el alcance que dicho estándar tiene sobre todo tipo de  información, y no sólo la que es tratada por medios magnéticos o informáticos.


Desde su parte introductoria el estándar establece que “las organizaciones de todos los  tipos y tamaños crean, recopilan, procesan, almacenan, transmiten y eliminan  información en muchas formas, incluidas las electrónicas, físicas y verbales”, siendo ésta  última destacada en el control 5.14 “Transferencia de Información”, del mismo  documento.


Dicho control es preventivo y establece que las reglas, procedimientos o acuerdos de  transferencia de información deben estar vigentes para todos los tipos de transferencia  dentro de las instalaciones de la organización y entre la organización y otras partes; este  control tiene como propósito mantener la seguridad de la información transferida  dentro de una organización y con cualquier parte interesada externa.


Entre los lineamientos de implementación el estándar nos dice que cuando la  información se transfiere entre la organización y terceros, se deben establecer y  mantener acuerdos de transferencia (incluida la autenticación del destinatario) para  proteger la información en todas sus formas en tránsito.


La transferencia de información puede ocurrir a través de transferencia  electrónica, transferencia de medios de almacenamiento físico y  transferencia verbal.


En el control antes mencionado se le da un tratamiento especial a este tipo de  información clasificándola como “Transferencia Verbal”. Aquí, para proteger dicha información se establecen los siguientes lineamientos:


a) No se debe tener conversaciones verbales confidenciales en lugares públicos o a  través de canales de comunicación inseguros, ya que estos pueden ser  escuchados por personas no autorizadas.


b) No se deben dejar mensajes que contengan información confidencial en  contestadores automáticos o mensajes de voz ya que estos pueden ser  reproducidos por personas no autorizadas


c) Para el caso de reuniones presenciales, se debe garantizar que se implementen  controles apropiados en la sala (por ejemplo, insonorización, puerta cerrada).


d) Finalmente, ante cualquier escenario y siempre que el caso lo amerite, se debe  comenzar cualquier conversación delicada con un descargo de responsabilidad  para que los presentes conozcan el nivel de clasificación y los requisitos de  manejo de lo que están a punto de escuchar.



コメント


bottom of page