En algunas organizaciones existe la creencia de que ISO 27001 es un estándar diseñado para la seguridad de la información almacenada en ordenadores o en formatos digitales. La realidad es que la información en papel en ISO 27001 es considerada con la misma prioridad.
Esto significa que la información en papel en ISO 27001 tiene la misma relevancia que la información digital, sin que esto implique que la norma promueva un determinado formato sobre otro. Por ello, la gestión de riesgos en ISO 27001 también debe considerar los documentos en papel.
¿Qué documentos en papel deben ser atendidos, a qué riesgos están expuestos y cómo ISO 27001 ayuda a preservar su seguridad?
Información en papel en ISO 27001
Es difícil pensar en documentos elaborados y preservados en papel en el mundo corporativo del siglo XXI. Pero, el hecho es que son más frecuentes de lo que podemos pensar.
Imaginemos una situación muy común: en una reunión entre un CEO y sus ingenieros de diseño, uno de estos últimos dibuja sobre una nota adhesiva las especificaciones de un nuevo prototipo. Este papel, por ejemplo, constituye un documento confidencial al que aplicar las medidas de seguridad pertinentes.
CEOs, directores de áreas y diferentes profesionales especializados, en todas las organizaciones, imparten instrucciones en hojas de papel porque resulta práctico, porque es inmediato o porque necesitan imprimir un sello personal a sus comunicados.
Se trata de un ejemplo de información que requiere ser preservada y cuya seguridad resulta esencial para el éxito de muchas operaciones dentro de la organización. Por ello, la información en papel en ISO 27001 también es considerada.
Riesgos a los que se expone la información en papel
La información en papel está expuesta incluso a mayores riesgos que la información digital, en la medida en que esta última es susceptible de ser protegida estableciendo niveles de acceso o por medios tecnológicos como la encriptación.
La información en papel es especialmente vulnerable ante los siguientes riesgos:
- Pérdida o extravío.
- Diligenciamiento erróneo, en el caso de formularios.
- Alteración fraudulenta.
- Destrucción no autorizada.
- Deterioro o daño significativo.
- Divulgación no autorizada y con intereses fraudulentos.
La gestión de riesgos nos puede ayudar a descubrir más riesgos a los que está expuesta la información en papel. Ahora, otra cuestión importante es entender cómo ISO 27001 puede ayudar a las organizaciones a proteger estos documentos.
La información en papel en #ISO27001 también debe ser considerada aunque la tendencia sean los formatos digitales. Aprendemos cómo hacerlo. Clic para tuitearCómo ayuda ISO 27001 a proteger la seguridad de la información en papel
El objetivo principal de ISO 27001 es proteger la seguridad de la información en las organizaciones, sin importar su procedencia o el formato en que esté contenida. Esto significa que todos los requisitos solicitados por la norma son igualmente válidos para información en papel como lo son para la información digital.
De hecho, de los 114 controles que conforman el Anexo A muchos de ellos son comunes y pueden aplicarse a la información en papel en ISO 27001. En términos generales, algunos de los requisitos de ISO 27001 que resultan útiles para proteger la información en papel son:
- Asignación y comprensión de roles y responsabilidades: los controles A.6.1.1 –Roles y Responsabilidades–, A.8.1.3 –Uso aceptable de los activos–, y A.7.2.2 –Conciencia, educación y capacitación sobre seguridad de la información–, se centran en la necesidad de capacitar y concienciar a los empleados sobre la importancia de su papel en la tarea de proteger la seguridad de la información.
- Prácticas para el control de documentos y registros: ISO 27001, en sus cláusulas 7.5.2 y 7.5.3, solicita implementar prácticas adecuadas para la creación, comunicación, almacenamiento y eliminación de documentos. El cumplimiento de estos requisitos facilita a la organización la detección de incidentes como documentos extraviados, adulterados o eliminados sin autorización.
- Clasificación y tratamiento de la información: no toda la información se puede tratar de la misma forma. Algunos tipos de documentos requieren mayor esfuerzo y asignación de recursos para su protección. ¿Cómo saberlo? Clasificando la información. Para ello, es preciso observar criterios uniformes y relevantes. Las especificaciones sobre el diseño de un nuevo producto, por ejemplo, merecen mayor atención que las instrucciones sobre la dieta a seguir para el menú de los trabajadores.
Vivimos en mundo conectado y virtual. Pero todavía el papel no se ha dejado completamente atrás. ISO 27001 atiende a estos documentos con el mismo interés que a los documentos digitales.
El conocimiento profundo de la norma ayuda a llegar hasta este tipo de aspectos y otros de igual importancia para un sistema de gestión de seguridad de la información verdaderamente eficaz.
Diplomado de Seguridad de la Información ISO 27001
La seguridad de la información es una prioridad para las organizaciones, no solo por lo que representa para el alcance de sus objetivos comerciales, sino porque es una exigencia de diferentes organismos reguladores a nivel regional e internacional.
El Diplomado de Seguridad de la Información ISO 27001 de la Escuela Europea de Excelencia aborda todos y cada uno de los requisitos del estándar, así como la aplicación de los controles enumerados en el Anexo A. El resultado son profesionales perfectamente capacitados para implementar, mantener y auditar un sistema de gestión de seguridad de la información basado en ISO 27001.
Antes de inscribirte en este diplomado, la Escuela Europea de Excelencia te invita a consultar las condiciones de nuestro programa de becas aquí.
