D-SOP-17 / Política de destrucción de la información
Objetivo
Garantizar que la información almacenada en equipos y soportes digitales sea borrada o eliminada de forma segura
Alcance
Toda información almacenada en equipamiento donde, a su vez, corre la solución de Neotel y/o sus servicios.
No se incluyen recursos del cliente como ser PCs de operadores, almacenamientos de backups, copias de seguridad, snapshots, etc.
Responsabilidades
El Responsable de la Seguridad de la Información debe velar por el cumplimiento de la presente política.
Es responsable por definir métodos formales de borrado seguro de la información según el tipo de soporte a destruir o información a eliminar.
El Directorio de Neotel proporcionará los recursos necesarios a fin de contribuir con una adecuada gestión de la información.
El Propietario de los activos y/o la información son responsables de solicitar la destrucción de la información.
A su vez, deberá asegurar el adecuado registro del proceso realizado, dejando evidencia del método utilizado e indicando si la operación resultó satisfactoria.
Descripción
Para completar el ciclo de vida de la información es necesario pasar por el proceso de destrucción de esta.
Se utilizarán métodos de borrado seguro y/o sobreescritura, según corresponda, de forma de garantizar que la información y/o los medios que la contienen no se puedan recuperar, para ello se implementaran procedimientos específicos según tecnología y clasificación de la información a ser eliminada.
Durante la destrucción de la información, se debe velar por el cumplimiento del conjunto de políticas que afecten a la información, especialmente las vinculadas a divulgación y acceso.
Registro de las operaciones de borrado
Deberá existir una solicitud formal indicando los medios o información a destruir dirigida a Neotel. La solicitud debe identificar en forma univoca al medio o la información que requiere destrucción.
El propietario de activo o persona responsable del análisis de su destrucción deberá evaluar si corresponde la destrucción de dicha información tomando en cuenta los decretos, leyes y otra normativa vigente.
En cada proceso de destrucción se debe generar un reporte de actuación que identifique al personal actuante y la metodología empleada para la destrucción de la información, así como las observaciones que éste considere pertinente. Se deberá identificar claramente que el proceso se ha efectuado.
Si la destrucción no se puede realizar correctamente, por ejemplo, por falla en la destrucción de la información contenida en un medio lógico, entonces esta situación debe quedar documentada y deberá utilizar otros medios de destrucción, como por ejemplo físicos, para asegurar que la adecuada destrucción del medio.