¿Se puede aplicar la norma ISO 27001 en información en papel?

ISO 27001

La información digital se ha convertido en el estándar generalmente aceptado para manejar la información. Pueden existir situaciones en las que las empresas aún utilizan información en papel, y dicha documentación también se debe proteger según la sensibilidad e importancia que tengan para el negocio.

La norma ISO 27001 se puede percibir más como un estándar relacionado con la información digital. Ya que dicha norma es líder en la gestión de la seguridad de la información. Lo que puede sorprender es que también se puede utilizar para proteger la información en la documentación física. Por lo tanto, la norma ISO 27001 se puede usar contra amenazas y vulnerabilidades llevadas a cabo en formatos basados en papel, y durante este artículo queremos mostrarles cómo se puede llevar a cabo.

Ejemplos de información en papel

Algunas personas pueden pensar que la información en papel es algo del pasado y que la norma ISO 27001 se centra en mantener toda la información en formato digital, pero esto no es cierto. Algunos ejemplos de información confidencial en papel que podemos encontrar en las actividades diarias de las empresas son:

• Notas manuscritas hechas por el CEO durante las reuniones estratégicas de la organización
• Guiones gráficos o especificaciones iniciales para nuevos productos o sistemas
• Notas adhesivas utilizadas para seguir el progreso de los proyectos más críticos

Viendo estos ejemplos puede comprobar que puede tener información confidencial en papel en situaciones en las que puede no ser posible utilizar sistemas de información. Aunque pueden existir otros motivos como, es mucho más fácil o más rápido para una persona escribir la información, o porque los sistemas que utiliza la empresa no han sido diseñados para trabajar con ellos. Por lo tanto, debe trata dicha información en papel y protegerla en consecuencia.

Principales amenazas y vulnerabilidades relacionadas con la información en papel

La información en papel comparte amenazas y vulnerabilidades comunes con la información que existe en otros medios, pero, por su propia naturaleza, algunas de las amenazas y vulnerabilidades pueden traer más riesgo para las empresas:

• Error humano: las personas pueden perder documentos, extraviarlos o completarlos de manera incorrecta, lo que puede generar una interrupción o un cuello de botella en los procesos empresariales.
• Causas naturales: los documentos en papel son susceptibles a los daños causado por agua, incendios u otras causas naturales, y la versión original es la más importante para el negocio, por lo que estos eventos pueden resultar catastróficos.
• Eliminación inadecuada: la destrucción adecuada de documentos en papel puede llevar mucho tiempo, y esto puede llevar a las personas a descartar dichos documentos de forma que sus contenidos puedan recuperarse fácilmente. Depende de la información descartada, esto puede comprometer las estrategias comerciales y la posición de marketing o impactar la vida de los empleados o clientes.

Cómo puede ayudar a proteger la información en papel  la ISO 27001

La norma ISO 27001 tiene el objetivo de proteger la información de forma independiente, esto significa que tanto los requisitos como sus controles pueden aplicarse a la información en papel. Se deberá tener en cuenta que hay algunos elementos de la norma ISO 27001 que pueden utilizarse para proteger la información que se encuentra almacenada en medios físicos:

• Establecer y concienciar roles y responsabilidades: mediante los controles A.6.1.1 Roles y responsabilidades de seguridad de la información, A.8.1.3 Uso aceptable de activos y la cláusula A.7.2.2 Conciencia de seguridad de la información, educación y capacitación, los empleados pueden comprenden mucho mejor sus funciones en la protección de la información, minimizando así las posibilidades de compromiso de la información.
• Establecimiento de prácticas de control de documentos y registros: la norma ISO 27001 requiere que se establezcan las cláusulas 7.5.2 y 7.5.3, el establecimiento de prácticas adecuadas para crear, actualizar, aprobar, poner a disposición, revisar y descargar información. Cuando una empresa adopta tales prácticas, se evitan o detectan fácilmente incidentes como documentos extraviados. Para obtener más información pueden leer ¿Cuáles son los documentos y registros de la norma ISO 27001?.
• Clasificación y manejo de la información: No toda la información se debe tratar de la misma forma, y esto puede suponer un ahorro de costos y esfuerzos para protegerla. A la hora de adoptar medidas de la sección A.8.2 Clasificación de la información, una empresa define cuál es la información más importante, cómo debe identificarse y cómo se debe manejar.

Ya que la norma ISO 27001 no proporciona información específica sobre cómo implantar los controles, es muy importante entender la norma ISO 27002, siendo una norma de apoyo que puede proporcionar orientación y recomendaciones para implementar los controles.

Diplomado implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La seguridad de la información es un tema de vital importancia para las organizaciones modernas. La publicación de la norma ISO 27001 y la necesidad que tienen muchas organizaciones de capacitar a sus empleados, como hemos considerado en el paso 7, han sido los elementos que ha tenido en cuenta la Escuela Europea de Excelencia para diseñar el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.

Se trata de un programa de acceso limitado y muy útil a la hora de implementar un Sistema de Gestión de Seguridad de la Información de acuerdo a ISO 27001. Aún es posible obtener una plaza en este diplomado inscribiéndose aquí.