👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.8.3.1, A.12.1.1, A.13.2.1
ISO 27001 en su versión 2022: A.5.14, A.5.37, A.7.10
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar cómo se transfiere o comparte información de la empresa a través de medios extraíbles, como por ejemplo USB, discos duros, etcétera, verificando que la transferencia y los dispositivos usados sean seguros.
¿Qué tengo que hacer? 🚀
Para comenzar, es importante identificar cuáles son los dispositivos móviles y medios extraíbles que son utilizados dentro de la empresa para realizar funciones de trabajo, y que por ende, son alcanzados por este procedimiento. Por ejemplo memorias USB, discos duros externos, tarjetas de memoria (SD, microSD), cintas de respaldo, teléfonos móviles, tabletas con capacidad de almacenamiento, etcétera.
Posteriormente, recomendamos identificar y comprender los casos reales donde se requiere transferir información a través de estos dispositivos móviles y medios extraíbles. De esta forma, será mucho más sencillo documentar el procedimiento que se debe realizar para garantizar una transferencia de información segura.
Ahora bien, para documentar el procedimiento, te sugerimos considerar los siguientes pasos:
Solicitud para realizar transferencias. Establecer que el interesado debe realizar una solicitud formal para llevar a cabo la transferencia de información es de suma importancia para protegerla y cumplir con los requisitos normativos. Recomendamos que la solicitud cuente por lo menos con los siguientes datos:
Nombre de la persona solicitante.
Información que desea extraer o transferir.
Dueño o propietario de dicha información.
Justificación de la necesidad de la extracción o transferencia.
Sistemas involucrados, si se conocen al momento de realizar la solicitud.
Autorización de la solicitud. Alguien debe revisar la solicitud y asegurar que la información proporcionada tenga sentido, coherencia y una justificación adecuada. De ser así, se puede autorizar la transferencia y dar un correcto seguimiento. Pero si el responsable asignado identifica alguna anomalía, debe rechazar la solicitud y con esto, evitar el uso indebido de la información y reducir los potenciales riesgos de seguridad que conlleva entregar información sensible.
Recomendamos dejar por escrito los criterios de evaluación y aceptación de una solicitud para autorización de transferencias de información.
Transferencia de la información. Debes establecer cómo se debe realizar la transferencia, las acciones a llevar a cabo y los responsables asignados. Por ejemplo; para transferir información por medio de memorias USB se debería realizar un desbloqueo de los puertos para poder realizar la transferencia. Y una vez realizada, los puertos deberían ser bloqueados nuevamente a la brevedad.
Recomendamos que exista una supervisión de las acciones de transferencia para validar que se cumplan los controles de seguridad pertinentes. O de ser el caso, realizar las acciones correctivas para remediar alguna falla o error.
Comunicación y registro. Debes establecer cómo debes comunicar y registrar las acciones aplicadas, así como también el medio de comunicación y las herramientas más apropiadas para hacerlo. Esto te permite tener una trazabilidad de todas las transferencias realizadas y la información relevante a la solicitud.
Si la información que desees transferir cuenta con datos personales, será muy importante que conozcas las regulaciones aplicables a tu empresa para asegurar que estás apegado a ellas, y que la información y los datos personales se encuentran protegidos adecuadamente 🔐.
Este procedimiento debe estar acorde a los lineamientos definidos en la Política de Tratamiento de la Información.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asigna a responsables con el conocimiento y poder de decisión adecuados para la autorización de solicitudes de transferencia.
Mantén las transferencias de información por medios extraíbles a las mínimas indispensables. Si la justificación no es suficiente, no la autorices hasta tener la seguridad de que la necesidad es real.
Permitir el uso de medios extraíbles y otros dispositivos móviles puede ser complejo de monitorear, por lo que también recomendamos restringir su uso para funciones laborales a las mínimas indispensables.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.