ISO/IEC 27040:2015 y el Borrado de Datos

Requerimientos Clave de la Norma

Definición y Alcance: Este aspecto cubre la necesidad de una gestión efectiva de la seguridad del almacenamiento, incluyendo la identificación de los activos de almacenamiento y la clasificación de los datos. Se enfatiza la importancia de proteger los datos en reposo, en tránsito y durante los procesos de eliminación.
Implementación: Las organizaciones deben desarrollar e implementar políticas y procedimientos que aseguren la protección de la información almacenada, desde el cifrado de datos hasta el control de acceso físico y lógico.

Definición y Alcance: La ISO/IEC 27040:2015 especifica los requerimientos para la sanitización de la información, asegurando que los datos sean borrados de manera que no puedan ser recuperados o reconstruidos.
Implementación: Se deben establecer métodos de borrado seguro y destrucción de medios que cumplan con los estándares internacionales de sanitización, garantizando que la información sensible sea irretrievable una vez que se decida su eliminación.

La norma requiere realizar auditorías regulares y evaluaciones de seguridad para verificar la implementación efectiva de las políticas y controles de seguridad del almacenamiento.
Estas revisiones deben documentarse adecuadamente, proporcionando registros que demuestren el cumplimiento de los procedimientos de seguridad del almacenamiento y la efectividad de las medidas de sanitización de datos.

La documentación y los registros de auditoría sirven como evidencia clave durante las evaluaciones de cumplimiento y certificación. Esto incluye evidencia del correcto manejo y borrado seguro de la información almacenada, así como de la implementación de controles de acceso y cifrado.
Mantener una documentación detallada y actualizada es fundamental para demostrar el cumplimiento con ISO/IEC 27040:2015 y para apoyar la mejora continua de las prácticas de seguridad del almacenamiento.