Comprender las actualizaciones de la norma ISO 27001:2022: la gestión de la retención alcanza la mayoría de edad
A medida que aumentan las amenazas digitales, las actualizaciones de la norma ISO27001 están alterando la retención de datos. Está obligando a las organizaciones a replantearse la forma en que protegen lo que es a la vez un activo clave y uno de los principales riesgos: su información. Estas son las CUATRO actualizaciones clave sobre el gobierno de la información, en 4 minutos.
La seguridad y la gobernanza de la información evolucionan constantemente. Para las organizaciones que buscan proteger sus activos y su reputación, es crucial cumplir con los marcos internacionales como la ISO/IEC 27001. Las actualizaciones del marco de 2022 introdujeron varios cambios que afectan significativamente a la forma en que las organizaciones gestionan la retención y eliminación de datos, dentro de sus programas de gobierno de la información. Ahora entrarán en vigor en abril de 2024, lo que supone tanto desafíos como oportunidades para las organizaciones que se esfuerzan por lograr o mantener el cumplimiento.
El desafío: gestionar la retención de datos
La gestión de la retención de datos es un componente fundamental de la seguridad de la información. Las organizaciones deben determinar durante cuánto tiempo van a retener los datos y cuándo eliminarlos de forma segura. Y este problema va en aumento en el SaaS. En 2024, la empresa promedio utiliza 371 aplicaciones SaaS, lo que representa un aumento espectacular con respecto a las 8 de 2015. Este aumento en el uso del SaaS ha provocado una explosión del contenido generado por los empleados, lo que ha aumentado los riesgos asociados a una retención inadecuada del contenido. Las infracciones de datos, las sanciones normativas y la pérdida de confianza son solo algunas de las posibles consecuencias de no gestionar la retención de datos de forma eficaz.
Antes de la actualización de 2022, muchas organizaciones se esforzaban por equilibrar la necesidad de retener el contenido para fines operativos con la necesidad de mitigar los riesgos asociados con la retención excesiva. La ambigüedad de las versiones anteriores de la ISO 27001 hizo que las organizaciones se enfrentaran al desafío de interpretar e implementar políticas de retención que fueran seguras y que cumplieran con las normas. Esto a menudo daba lugar a prácticas incoherentes, ya que parte del contenido se conservaba más tiempo del necesario y otro contenido crítico se eliminaba prematuramente.
Cuatro cambios clave en la norma ISO 27001:2022
El Actualización de 2022 a ISO 27001 trajo cambios significativos destinados a abordar estos desafíos de gestión de la retención. Si bien los principios fundamentales del gobierno y la seguridad de la información permanecen intactos, la nueva versión introduce directrices y requisitos más claros, especialmente en lo que respecta a la administración del ciclo de vida de los datos, la evaluación de riesgos y la documentación.
1. Éntesis en la administración del ciclo de vida de
Uno de los cambios clave en la norma ISO 27001:2022 es el mayor enfoque en la gestión del ciclo de vida de los datos. La norma actualizada exige que las organizaciones definan y documenten claramente cada etapa del ciclo de vida de los datos, desde la creación hasta la eliminación de los datos. Este enfoque estructurado garantiza que las políticas de retención de la información se ajusten tanto a las necesidades operativas como a los requisitos de seguridad, incluida la administración del contenido generado por los empleados en cada etapa.
2. Enfoque de retención basado en el riesgo
La actualización de 2022 refuerza la importancia de un enfoque basado en el riesgo para la gestión de la retención. Ahora se espera que las organizaciones realicen evaluaciones de riesgo exhaustivas para determinar los períodos de retención adecuados para los diferentes tipos de datos y contenido. Este enfoque garantiza que los datos se conserven solo el tiempo que sea necesario para cumplir con los requisitos legales, reglamentarios y empresariales, lo que reduce el riesgo de retener los datos durante más tiempo del necesario.
3. Requisitos mejorados de documentación y auditoría
Otro cambio importante es la mejora de los requisitos de documentación y auditoría. Las organizaciones ahora deben mantener registros detallados de sus políticas y procedimientos de retención, incluidas las justificaciones de los períodos de retención y las medidas adoptadas para eliminar los datos de forma segura. Esta documentación respalda el cumplimiento de la norma ISO 27001 y proporciona un registro de auditoría claro e inestimable durante las evaluaciones de seguridad, la detección electrónica, los procedimientos legales o en caso de una violación de datos.
4. Integración con otros controles de seguridad de la información
La norma actualizada también promueve un enfoque más integrado de la seguridad de la información, en el que la gestión de la retención está estrechamente vinculada con otros controles, como la gestión del acceso, el cifrado y la respuesta a los incidentes. Esta integración garantiza que las políticas de retención no se desarrollen de forma aislada, sino que formen parte de una estrategia más amplia para proteger la información confidencial durante todo su ciclo de vida.
De cara al futuro: adaptación a las actualizaciones
Para las organizaciones que ya están certificadas según la norma ISO 27001, las actualizaciones de 2022 requieren una revisión minuciosa y, probablemente, una revisión de las prácticas de gestión de la retención existentes. La transición a la norma actualizada implica algo más que actualizar la documentación; requiere un cambio cultural para considerar la gestión del ciclo de vida de los datos como un componente fundamental de la seguridad de la información.
Las organizaciones deben comenzar por realizar un análisis de brechas para identificar las áreas en las que sus prácticas actuales pueden no cumplir con los nuevos requisitos. Este análisis debe ir seguido de una revisión exhaustiva de las políticas de retención, los procesos de evaluación de riesgos y la documentación. Involucrar a las partes interesadas de todos los departamentos, desde el departamento de TI hasta el área legal, es esencial para garantizar que las políticas de retención no solo cumplan con las normas, sino que también sean prácticas y estén alineadas con las necesidades operativas de la organización.
Un primer paso sencillo pero eficaz es establecer un proceso de archivado antes de que se eliminen y purguen los datos. Al archivar los datos, las organizaciones crean un área de almacenamiento segura e intermedia que conserva la información importante para las auditorías, las revisiones legales o las necesidades operativas. Este enfoque no solo se alinea con los requisitos mejorados de documentación y evaluación de riesgos de la norma ISO 27001:2022, sino que también proporciona una red de seguridad contra los riesgos de una eliminación prematura.
Los programas de formación y sensibilización son cruciales para ayudar a los empleados a comprender la importancia de una retención adecuada de los datos y los cambios introducidos por la actualización de 2022. Al fomentar una cultura de cumplimiento y vigilancia, las organizaciones pueden asegurarse de que no solo cumplen con los requisitos reglamentarios, sino que también protegen activamente su activo más valioso: la información.
La implementación de la eliminación rutinaria automatizada de la información y el contenido de los empleados también es muy beneficiosa. Aplicaciones como Gestor de retención de contenido para Confluence y Gestor de retención de contenido para Jira faciliten esto mediante políticas y automatización que eviten los errores de los empleados y, al mismo tiempo, demuestren un mayor cumplimiento del marco. Al mismo tiempo, se demuestra que el archivado y la posterior eliminación son totalmente rutinarios y automatizados durante cualquier descubrimiento electrónico futuro.
Conclusión
Las actualizaciones de la ISO 27001:2022 brindan a las organizaciones una oportunidad oportuna para fortalecer sus prácticas de gestión de la retención. Al adoptar estos cambios e integrarlos en su estrategia general de seguridad de la información, su organización puede mejorar su postura de cumplimiento de la norma ISO 27001, reducir los riesgos generales y generar una mayor confianza.
Pruebe Content Retention Manager gratis hoy mismo: