ISO 27001
Toda organización debe preparar a sus empleados y a todas aquellas personas que trabajan con información de carácter sensible acerca de cómo proceder de oficio sobre la información almacenada en el espacio de trabajo. Gracias a la norma ISO 27001 sobre seguridad de la información y a la ISO 27002 sobre el código referente a la práctica puede proporcionarse una orientación aceptable sobre el control de la seguridad.
Cuando hablamos de recepción y política clara estamos haciendo referencia a las prácticas que se desarrollan para la obtención de un mínimo de garantía de la información sensible. Estas prácticas afectan tanto a la información física como a la digital. Es muy importante poner especial atención en dotar de protección a los espacios de trabajo personales y públicos, tanto cuando estén en uso como cuando no lo estén.
Si deseas profundizar en las amenazas y vulnerabilidades que pueden afectar a la seguridad de la información puedes visitar otro de nuestros artículos haciendo clic aquí.
En base a la información y los activos que podemos encontrar en la zona de trabajo, la definición de una política clara es la estrategia principal a llevar a cabo para disminuir el riesgo de errores que afectan a la seguridad de la información. La mayor parte de las prácticas son de baja tecnología y pueden implementarse fácilmente en la organización. Algunas de estas prácticas pueden ser:
Uso de áreas cerradas
Se recomienda el uso de cajones con frenos, cajas fuertes y salas y gabinetes de archivos. Estos tendrán que estar disponibles para el almacenamiento de los medios de información o dispositivos de fácil transporte cuando se requiera. Con esta medida, además de mejorar la seguridad de la información contra el acceso de personal no autorizado para ello, se protege la información de aquellos posibles e imprevisibles desastres naturales que pudiesen suceder.
Protección de los dispositivos y sistemas de información
La situación de los equipos de trabajo y los dispositivos debe ser aquella que permita al trabajador utilizar una amplia visión de los mismos evitando que puedan ser vistos por cualquier otra persona que no sea la autorizada para dicha tarea. Es primordial el uso de contraseñas como medida básica de seguridad de la información. Así como el registro de aquellos sistemas de información cuando no se encuentren en uso. Cuando finalice el trabajo deben de apagarse los equipos, poniendo especial interés en aquellos equipos que se encuentran conectados a la red de la organización.
Restricciones a la hora de utilizar la copia y la impresión de tecnología
Es recomendable llevar en cierta medida un control del uso de impresoras, fotocopiadoras, escáner y cámaras. El objetivo es la reducción de cantidad o la habilitación de ciertas funciones solo a aquellas personas que estén autorizadas con acceso al material enviado por ellos.
Adoptar una cultura sin papel
Es importante el control de los documentos que se imprimen, de manera que sea realmente necesaria su presencia en formato físico. Por otro lado, es muy recomendable prestar especial atención a las notas adhesivas que por costumbre suelen recoger usuarios, contraseñas e información relevante y que suelen colocarse a simple vista o alrededor de los monitores.
Eliminar la información restante en las salas de reuniones
Toda la información expuesta en pizarras debe ser borrada, algo que habitualmente en frecuente dejar a modo de recordatorio. Además, todo el material utilizado durante las reuniones debe eliminarse si dado el caso no necesita conservarse.
Cómo implementar un escritorio y una política clara
Teniendo en cuenta la norma ISO 27001 sobre seguridad de la información, se requiere de los siguientes elementos para poder contar con un escritorio limpio y una política clara:
- El nivel de información, confidencial, que necesitan de un manejo seguro.
- Requisitos legales y contractuales que requieren de la protección de la información.
- Riesgos organizacionales que previamente han sido identificados.
- Aspectos culturales.
- Medidas que se deben adoptar para asegurar escritorios, dispositivos y medios de comunicación.
La organización debe tener en cuenta con cierta periodicidad la formación y la sensibilización de los eventos para la comunicación a los empleados y otras personas implicadas en la política de la seguridad de la información. Algunos de los métodos o medios para concienciar de esto son los carteles, las alertas de correo electrónico o los boletines con noticias.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 ofrece solución a todas estas preguntas que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una organización. Toda protección es importante, por pequeña que sea, pues el mínimo descuido puede conllevar una violación de los datos de la misma.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…