Transferencia de información

Objetivo: mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.

13.2.1 Políticas y procedimientos sobre la transferencia de información

Control

Deberían existir políticas, procedimientos y controles formales de transferencia para proteger la transferencia de información a través del uso de todo tipo de instalaciones de comunicación.

Orientación sobre la implementación

Los procedimientos y controles que se deberían seguir al utilizar instalaciones de comunicación para la transferencia de información deberían considerar los siguientes elementos:

a) procedimientos diseñados para proteger la información transferida de la intercepción, la copia, la modificación, el ruteo incorrecto y la destrucción;

b) los procedimientos para la detección y protección contra el malware que se pueden transmitir a través del uso de comunicaciones electrónicas (ver 12.2.1);

c) los procedimientos para proteger la información electrónica sensible comunicada en forma de elemento adjunto;

d) la política o las pautas que describen el uso aceptable de las instalaciones de comunicación (ver 8.1.3); e) que el personal, las partes externas y cualquier otra responsabilidad del usuario no comprometa a la

organización, es decir, a través de la difamación, el acoso, la imitación, reenvío de cartas de cadena, compra no autorizada, etc.;

f) uso de técnicas criptográficas, es decir, para proteger la confidencialidad, la integridad y la autenticidad de la información (ver cláusula 10);

g) retención y eliminación de pautas para toda la correspondencia comercial, incluidos los mensajes, de acuerdo con las normativas y a la legislación local y nacional pertinentes;

h) los controles y las restricciones asociados al uso de instalaciones de comunicación, es decir, el reenvío automático de correos electrónico a direcciones de correo externas;

i) asesorar al personal para tomar las precauciones correspondientes para no revelar información confidencial.

j) no dejar mensajes que contienen información confidencial en máquinas contestadores debido a que personas no autorizadas pueden volver a reproducir los mensajes, se pueden almacenar en sistemas comunales o almacenar incorrectamente como consecuencia de una mala manipulación;

k) informar al personal sobre los problemas del uso de máquinas o servicios de fax, a saber: 1) el acceso no autorizado a tiendas de mensajes incorporadas para recuperar mensajes;

2) programación deliberada o accidental de máquinas para enviar mensajes a números específicos; 3) envío de documentos y mensajes al número incorrecto ya sea por un error en la marcación o el uso

del número almacenado incorrecto.

Además, se debería recordar al personal que no deberían sostener conversaciones confidenciales en lugares públicos o a través de canales de comunicación, oficinas abiertas y lugares de encuentro inseguros.

Los servicios de transferencia de información deberían cumplir con cualquier tipo de requisitos legales (ver 18.1).

Otra información

La transferencia de información puede ocurrir a través del uso de varios tipos distintos de instalaciones de comunicación, incluido el correo electrónico, de voz, fax y video.

La transferencia de software puede ocurrir a través de varios medios distintos, incluida la descarga de internet y la adquisición de proveedores que venden los productos listos para usar.

Se deberían considerar las implicaciones comerciales, legales y de seguridad asociada al intercambio de datos electrónico, el comercio electrónico y las comunicaciones electrónicas y los requisitos para los controles.

13.2.2 Acuerdos sobre la transferencia de información

Control

Los acuerdos deberían abordar la transferencia segura de información comercial entre la organización y las partes externas.

Orientación sobre la implementación

Los acuerdos de transferencia de información deberían incorporar lo siguiente:

a) administración de responsabilidades para controlar y notificar la transmisión, el despacho y la recepción; b) procedimientos para garantizar la capacidad de seguimiento y no repudiación;

c) normas técnicas mínimas para el empaque y la transmisión; d) acuerdos de garantía en depósito;

f) responsabilidades en caso de incidentes de seguridad de la información, como la pérdida de datos; g) uso de un sistema de etiquetado acordado para la información sensible o crítica, que garantice que el

significado de las etiquetas se comprenda inmediatamente y que la información se proteja adecuadamente (ver 8.2);

h) normas técnicas para registrar y leer la información y software;

i) cualquier control especial necesario para proteger elementos sensibles, como criptografía (ver cláusula 10); j) mantener una cadena de custodia para la información durante el tránsito;

k) niveles aceptables de control de acceso.

Se deberían establecer y mantener políticas, procedimientos y normas para proteger la información y los medios físicos en tránsito (ver 8.3.3) y se debería hacer referencias a ellos en tales acuerdos de transferencia.

El contenido de información de seguridad de cualquier acuerdo debería reflejar la sensibilidad de la información comercial involucrada.

Otra información

Los acuerdos pueden ser electrónicos o manuales y pueden tomar la forma de contratos formales. Para la información confidencial, los mecanismos que se utilizan para la transferencia de dicha información deberían ser coherentes para todas las organizaciones y tipos de acuerdos.

13.2.3 Mensajería electrónica

Control

Se debería proteger correctamente la información involucrada en la mensajería electrónica. Orientación sobre la implementación

Las consideraciones de seguridad de la información para la mensajería electrónica debería incluir lo siguiente:

a) proteger a los mensajes del acceso no autorizado, de la modificación o negación de servicio de acuerdo con el esquema de clasificación adoptado por la organización;

b) garantizar la dirección y el transporte correcto del mensaje; c) confiabilidad y disponibilidad del servicio;

d) consideraciones legales, por ejemplo, los requisitos de firmas electrónicas;

e) obtener la aprobación antes del uso de servicios públicos externos como la mensajería instantánea, las redes sociales o el compartir archivos;

Otra información

Existen varios tipos de mensajería electrónica como el correo electrónico, el intercambio de datos electrónico y las redes sociales, que desempeñan una función en las comunicaciones comerciales.

13.2.4 Confidencialidad de los acuerdos de no divulgación

Control

Los requisitos para los acuerdos de confidencialidad y no divulgación que reflejan las necesidades de la organización para la protección de información se deberían identificar, revisar y documentar de manera regular.

Orientación sobre la implementación

La confidencialidad de los acuerdos de no divulgación deberían abordar el requisito para proteger la información confidencial mediante términos que se pueden hacer cumplir legalmente. Los acuerdos de confidencialidad o no divulgación se aplican a las partes externas o a los empleados de la organización. Se deberían seleccionar o agregar elementos considerando el tipo de la otra parte y el acceso que se le permite o el manejo de la información confidencial. Se deberían considerar los siguientes elementos para identificar los requisitos de confidencialidad o para los acuerdos de no divulgación:

a) una definición de la información que se protegerá (es decir, información confidencial);

b) duración esperada de un acuerdo, incluidos los casos donde es posible que sea necesario mantener la confidencialidad de manera indefinida;

c) acciones necesarias al terminar un acuerdo;

d) responsabilidades y acciones de los firmantes para evitar la divulgación de información no autorizada; e) propiedad de la información, secretos comerciales y propiedad intelectual y cómo esto se relaciona con la

protección de información confidencial;

f) el uso permitido de la información confidencial y los derechos del firmante para utilizar la información; g) el derecho para auditar y monitorear actividades que involucran información confidencial;

h) el proceso para notificar e informar la divulgación no autorizada o la fuga de información confidencial; i) términos para la información que se va a regresar o destruir al término del acuerdo;

j) medidas esperadas que se tomarán en caso de un incumplimiento del acuerdo.

En base a los requisitos de seguridad de la información de la organización, es posible que se deban incluir otros elementos en un acuerdo de confidencialidad o de no divulgación.

Los acuerdos de confidencialidad y no divulgación deberían cumplir con todas las leyes y normativas pertinentes para la jurisdicción a la que corresponden (ver 18.1).

Se deberían revisar periódicamente los requisitos de los acuerdos de confidencialidad y no divulgación y cuando ocurran cambios que tengan una influencia en estos requisitos.

Otra información

Los acuerdos de confidencialidad y de no divulgación protegen a la información organizacional e informan a los firmantes sobre su responsabilidad de proteger, utilizar y divulgar la información de manera responsable y autorizada.

Es posible que una organización deba utilizar distintas formas de acuerdos de confidencialidad o no divulgación en distintas circunstancias.