ISO 27001: Sistema de Gestión de Seguridad de la Información

Controles de Acceso y Gestión de Medios Removibles

Control A.11.2: Gestión de Accesos

• Definición y Alcance: Este control se centra en asegurar que el acceso a la información y a las funciones de procesamiento de la información se concede solo a aquellos usuarios autorizados. La norma especifica la necesidad de implementar una gestión de accesos segura y controlada, lo cual incluye el registro, la autorización y la gestión de derechos de acceso de los usuarios a los sistemas y servicios.
• Implementación: Las organizaciones deben establecer, documentar y revisar los procedimientos de gestión de accesos. Esto incluye la asignación de derechos de acceso de acuerdo con la política de control de accesos de la organización y asegurar que estos derechos se concedan solo después de una autorización adecuada.

Control A.11.2.7: Gestión de Medios Removibles

• Definición y Alcance: Este control trata específicamente sobre la gestión de medios removibles. Exige que las organizaciones implementen procedimientos para el manejo y uso de medios removibles, como memorias USB, discos duros externos y DVDs, de manera segura. Esto es crucial para evitar la pérdida, el robo o el daño de información almacenada en estos medios.
• Implementación: Se deben establecer políticas y procedimientos que controlen la autorización y el uso de medios removibles. Esto incluye medidas para el borrado seguro de datos en medios removibles antes de su desecho o reutilización, asegurando que la información sensible no pueda ser recuperada por usuarios no autorizados.

Verificación y Documentación

La ISO 27001 pone un gran énfasis en la documentación adecuada de las políticas, procedimientos y controles implementados por la organización. Esto incluye documentar el proceso de gestión de accesos y el uso de medios removibles para garantizar que se sigan las prácticas de seguridad de la información.

Es esencial llevar a cabo revisiones y verificaciones periódicas de los derechos de acceso y las políticas de gestión de medios removibles para asegurar su efectividad y conformidad con los requisitos del SGSI. Esto puede incluir auditorías internas y revisiones de seguridad para evaluar la implementación y el cumplimiento de los controles establecidos.

Cumplimiento y Auditoría

Auditorías Internas y Externas

La ISO 27001 requiere que las organizaciones realicen auditorías internas regulares para evaluar la eficacia del SGSI y de los controles específicos como A.11.2 y A.11.2.7. Además, las auditorías externas, realizadas por auditores certificados, son cruciales para la certificación y mantenimiento del SGSI bajo la norma ISO 27001.

Demostración de Cumplimiento

La documentación detallada y los registros de verificación sirven como evidencia durante las auditorías para demostrar el cumplimiento de la organización con la norma ISO 27001. Esto incluye evidencia de la gestión adecuada de accesos y la seguridad en el uso de medios removibles, así como las acciones tomadas para corregir cualquier no conformidad identificada.

Importancia de la Mejora Continua

La norma ISO 27001 no solo se enfoca en el cumplimiento actual, sino también en la mejora continua del SGSI. Las auditorías y las revisiones periódicas son oportunidades para identificar áreas de mejora y aplicar acciones correctivas para fortalecer aún más la seguridad de la información.

Productos Blancco Relacionados

Otras Guías de Cumplimiento de Borrado Seguro

• Esquema Nacional de Seguridad (ENS)
• ISO/IEC 27040:2015: Seguridad de Almacenamiento de Información
• Reglamento general de protección de datos (RGPD/GDPR)
• Instituto Nacional de Estándares y Tecnología (NIST 800-88)
• Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS)