Tratamiento físico

El tratamiento de eliminación o destrucción seguirá el procedimiento correspondiente según su tipificación de información, hay activos de información de tipo físico (contratos de clientes, contratos de trabajadores, etc.) y también están los digitales o electrónicos (pdfs, words, txts, entre otros que se manejen con uso exclusivo de un dispositivo informático). Por ejemplo, los contratos físicos, al ser papel podría incinerarse, o llevarse a una trituradora de papel, esto asegura que no queda rastro legible del contenido del documento o registro destruido, aquí es donde hacemos reflexión al párrafo anterior, es decir, si un documento se considera de Uso Interno, hace referencia a que todo el personal tiene acceso a dicho documento, por lo tanto si se procede a una eliminación de romper en dos o cuatro partes (no hablamos de destruir en trituradora) manualmente, nos podemos dar cuenta que dividir horas A4 en 4 partes queda gran parte del documento legible, pero no afecta mucho a su confidencialidad debido a que es de Uso Interno, pero, sin embargo, si estos retazos llegan a los basureros de la calle podrían los ciudadanos enterarse de información valiosa. Por lo tanto, siempre colóquese en el peor de los casos y empiece a establecer patrones de controles de seguridad en la organización.

Tratamiento electrónicos

En el caso de documentos electrónicos se deberá velar por una eliminación segura, con softwares adecuados para cumplir estos objetivos, con esto nos referimos a que los rastros de un archivo digital eliminado de la PC no deberán aparecer la lista de archivos recuperables en programas como recuva, el cual se encarga de mostrar los archivos recientemente eliminados desde la papelera o trás un formateo y que tienen opción de recuperarse. En muchas ocasiones se recurre a destruir los medios de almacenamiento donde se encuentre una información sumamente crítica. Como estos medios están compuestos por gran parte de silicio lo que se procede es a incinerarlos a altas temperaturas. Para esto es necesario también saber qué es lo que se está destruyendo o eliminando, por lo tanto acudimos al criterio humano de gestionar dicha información, siendo más directos, a un comité de eliminación y destrucción de información.

Comité de eliminación y destrucción

El criterio humano es un factor muy importante para la definición de reglas en actividades de la organización, y en la eliminación y destrucción de activos de información es muy importante que existan testigos de esta actividad, es por ello que el responsable se encargará de asignar a personas de confianza para que pertenezcan al Comité de eliminación y destrucción de seguridad de la información, esto nos asegurará que a través de actas y presencia de criterios humanos válidos, la eliminación y destrucción sea confiable. La elección dependerá mucho del criterio del responsable de este proceso, el cual buscará que sean personas que no lleguen a conformar un convenio o complot en contra de la organización.

Consejo audit

Es importante que la alta dirección cuente con personal de confianza de varias áreas y procesos involucrados en la organización. El aseguramiento de eliminación y destrucción de activos de información es importante contra las amenazas externas como internas. Nunca se sabe si un pedazo de papel que contiene una contraseña importante (por ejemplo) y que se botó a la basura pueda servir de ayuda para un acceso no autorizado. En audit analizamos todos los riesgos relacionados a su activos de información y su correcta eliminación y destrucción.