El Control A.8.10 proporciona pautas y directrices para la eliminación de información con el fin de minimizar la divulgación no autorizada de datos sensibles.
Se centra en la eliminación de datos y activos de TI de manera segura cuando ya no son necesarios. Esto es crucial para evitar la exposición innecesaria de información confidencial y cumplir con las obligaciones legales, reglamentarias y contractuales relacionadas con la eliminación de información.
La retención de información más allá de su período necesario puede aumentar el riesgo de divulgación no autorizada. Por lo tanto, es esencial implementar un proceso sólido de eliminación de información que cumpla con las leyes y regulaciones aplicables.
Para cumplir con este control, las organizaciones deberían considerar lo siguiente:
- Seleccionar un método de eliminación adecuado que cumpla con las leyes y regulaciones vigentes. Esto puede incluir la eliminación estándar, el sobrescribir la información o la eliminación encriptada.
- Registrar los resultados de la eliminación como evidencia para futuras referencias y auditorías internas o externas.
- En caso de utilizar proveedores especializados en eliminación de datos, obtener pruebas adecuadas de que la eliminación ha sido realizada de manera efectiva.
- Si se emplea un proveedor externo, asegurarse de establecer requisitos precisos sobre los métodos y plazos de eliminación, y garantizar que estas actividades estén cubiertas por un acuerdo vinculante.
Métodos específicos de eliminación de datos
Al formular un proceso de eliminación de información, las organizaciones deben considerar varios aspectos clave. Aquí están algunos métodos específicos que pueden ser utilizados para la eliminación segura de datos:
- Configuración de sistemas internos: Es fundamental configurar los sistemas internos para eliminar datos e información de acuerdo con la política de retención de la organización. Esto implica garantizar que la eliminación se extienda a archivos temporales, información en caché, copias de datos y versiones antiguas.
- Utilización de aplicaciones especializadas: Es aconsejable considerar el uso de aplicaciones de eliminación especializadas para minimizar el riesgo.
- Contratación de proveedores certificados: En caso de que sea necesario utilizar servicios de eliminación de datos de terceros, es importante contratar proveedores certificados y verificables.
- Implementación de medidas físicas de eliminación: Para los dispositivos de almacenamiento físico, como discos duros y otros medios magnéticos, es necesario implementar medidas físicas de eliminación adecuadas. Esto puede incluir la desmagnetización de discos duros o la restauración de la configuración de fábrica en dispositivos móviles.
- Cumplimiento de requisitos de proveedores de servicios en la nube: Si se utilizan servicios en la nube, es importante verificar si el proveedor de servicios de nube proporciona un método de eliminación aceptable. En caso afirmativo, la organización debe utilizar el método proporcionado por el proveedor o solicitar que este elimine la información.