Objetivo : Impedir el daño a los activos y las interrupciones en las actividades de la empresa.
Los medios de almacenamiento deben ser controlados y protegidos físicamente. Se deben establecer procedimientos operativos apropiados para proteger documentos, medios de almacenamiento (cintas, discos, casetes), datos de entrada/salida y documentación del sistema contra daño, robo y acceso no autorizado.
Administración de medios informáticos removibles.
Deben existir procedimientos para la administración de medios informáticos removibles, como cintas, discos, casetes e informes impresos. Se deben considerar los siguientes lineamientos:
a) si ya no son requeridos, deben borrarse los contenidos previos de cualquier medio re-utilizable que ha de ser retirado de la organización.
b) Se debe requerir autorización para retirar cualquier medio de la organización y se debe realizar un registro de todos los retiros a fin de mantener una pista de auditoria.
c) Todos los medios deben almacenarse en un ambiente seguro y protegido, de acuerdo con las especificaciones de los fabricantes o proveedores.
Todos los procedimientos y niveles de autorización deben ser claramente documentados.
Eliminación de medios informáticos.
Cuando ya no son requeridos, los medios informáticos deben eliminarse de manera segura. Si los mismos no se eliminan cuidadosamente, la información sensible puede filtrarse a personas ajenas a la organización. Se deben establecer procedimientos formales para la eliminación segura de los medios informáticos, a fin de minimizar este riesgo. Deben considerarse los siguientes controles.
a) Los medios que contienen información sensible deben ser almacenados y eliminados de manera segura, por ej. incinerándolos o haciéndolos trizas, o eliminando los datos y utilizando los medios en otra aplicación dentro de la organización.
b) El siguiente listado identifica ítems que podrían requerir una eliminación segura:
1) documentos en papel,
2) voces u otras grabaciones;
3) papel carbónico;
4) informes de salida,
5) cintas de impresora de un solo uso;
6) cintas magnéticas;
7) discos o casetes removibles;
8) medios de almacenamiento óptico (todos los formatos incluyendo todos los medios de distribución de software del fabricante o proveedor);
9) listados de programas;
10) datos de prueba;
11) documentación del sistema,
c) Puede resultar más fácil disponer que todos los medios sean recolectados y eliminados de manera segura, antes que intentar separar los ítems sensibles.
d) Muchas organizaciones ofrecen servicios de recolección y eliminación de papeles, equipos y medios. Se debe seleccionar cuidadosamente a un contratista apto con adecuados controles y experiencia.
e) Cuando sea posible, se debe registrar la eliminación de los ítems sensibles, a fin de mantener una pista de auditoria.
Al acumular medios para su eliminación, se debe considerar el efecto de acumulación, que puede ocasionar que una gran cantidad de información no clasificada se torne más sensible que una pequeña cantidad de información clasificada.
Procedimientos de manejo de la información.
Se deben establecer procedimientos para el manejo y almacenamiento de la información para protegerla contra su uso inadecuado o divulgación no autorizada. Los procedimientos de manejo de información deben elaborarse según la clasificación de la misma en documentos, sistemas informáticos, redes, computación móvil, comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios e instalaciones postales, uso de máquinas de fax y cualquier otro ítem sensible, por ej. facturas y cheques en blanco. Se deben tener en cuenta los siguientes controles :
a) manejo y rotulado de todos los medios;
b) restricción de acceso para identificar al personal no autorizado;
c) mantenimiento de un registro formal de los receptores autorizados de datos;
d) garantizar que los datos de entrada son completos, que el procesamiento se lleva a cabo correctamente y que se aplica la validación de salidas;
e) protección de datos en espera ("spooled data") en un nivel consecuente con el grado de sensibilidad de los mismos
f) almacenamiento de medios en un ambiente que concuerda con las especificaciones de los fabricantes o proveedores
g) mantener la distribución de datos en un nivel mínimo
h) marcación clara de todas las copias de datos a fin de ser advertidas por el receptor autorizado
i) revisión de listados de distribución y listados de receptores autorizados a intervalos regulares.
Seguridad de la documentación del sistema.
La documentación del sistema puede contener cierta cantidad de información sensible, por ej. descripción de procesos de aplicaciones, procedimientos, estructuras de datos, procesos de autorización . Se deben considerar los siguientes controles para proteger la documentación del sistema de accesos no autorizados.
a) La documentación del sistema debe ser almacenada en forma segura;
b) El listado de acceso a la documentación del sistema debe restringirse al mínimo y debe ser autorizado por el propietario de la aplicación;
c) La documentación del sistema almacenada en una red pública, o suministrada a través de una red pública, debe ser protegida de manera adecuada;
Fuente: NORMA IRAM-ISO IEC 17799 - TICs
No hay comentarios:
Publicar un comentario
Muchas Gracias por tus comentarios ...