Esborrament segur de dades segons la ISO 27001
La norma ISO 27001 és un marc internacional que estableix els requisits per a un sistema de gestió de seguretat de la informació (SGSI), que ajuda les organitzacions a protegir la informació de manera eficaç mitjançant l'adopció d'un procés de gestió de riscos.
Controls d'Accés i Gestió de Mitjans Extraïbles
Control A.11.2: Gestió d'Accessos
- Definició i Abast: Aquest control se centra a assegurar que l'accés a la informació i a les funcions de processament de la informació es concedeix només a aquells usuaris autoritzats. La norma especifica la necessitat d'implementar una gestió d'accessos segura i controlada, la qual inclou el registre, l'autorització i la gestió de drets d'accés dels usuaris als sistemes i serveis.
- Implementació: Les organitzacions han d'establir, documentar i revisar els procediments de gestió d'accessos. Això inclou l'assignació de drets d'accés d'acord amb la política de control d'accessos de l'organització i assegurar que aquests drets es concedeixin només després d'una autorització adequada.
Control A.11.2.7: Gestió de Mitjans Extraïbles
- Definició i Abast: Aquest control tracta específicament sobre la gestió de mitjans extraïbles. Exigeix que les organitzacions implementin procediments per al maneig i ús de mitjans extraïbles, com ara memòries USB, discos durs externs i DVDs, de manera segura. Això és crucial per evitar la pèrdua, el robatori o el dany d'informació emmagatzemada en aquests mitjans.
- Implementació: S'han d'establir polítiques i procediments que controlin l'autorització i l'ús de mitjans extraïbles. Això inclou mesures per a l'esborrament segur de dades en mitjans extraïbles abans del seu rebuig o reutilització, assegurant que la informació sensible no pugui ser recuperada per usuaris no autoritzats.
Verificació i Documentació
La ISO 27001 posa un gran èmfasi en la documentació adequada de les polítiques, procediments i controls implementats per l'organització. Això inclou documentar el procés de gestió d'accessos i l'ús de mitjans extraïbles per garantir que es segueixin les pràctiques de seguretat de la informació.
És essencial dur a terme revisions i verificacions periòdiques dels drets d'accés i les polítiques de gestió de mitjans extraïbles per assegurar la seva efectivitat i conformitat amb els requisits del SGSI. Això pot incloure auditories internes i revisions de seguretat per avaluar la implementació i el compliment dels controls establerts.
Compliment i Auditoria
Auditories Internes i Externes
La ISO 27001 requereix que les organitzacions realitzin auditories internes regulars per avaluar l'eficàcia del SGSI i dels controls específics com A.11.2 i A.11.2.7. A més, les auditories externes, realitzades per auditors certificats, són crucials per a la certificació i manteniment del SGSI sota la norma ISO 27001.
Demostració de Compliment
La documentació detallada i els registres de verificació serveixen com a evidència durant les auditories per demostrar el compliment de l'organització amb la norma ISO 27001. Això inclou evidència de la gestió adequada d'accessos i la seguretat en l'ús de mitjans extraïbles, així com les accions preses per corregir qualsevol no conformitat identificada.
Importància de la Millora Contínua
La norma ISO 27001 no només se centra en el compliment actual, sinó també en la millora contínua del SGSI. Les auditories i les revisions periòdiques són oportunitats per identificar àrees de millora i aplicar accions correctives per enfortir encara més la seguretat de la informació.
