El control 8.10 de la norma ISO/IEC 27001:2022 se titula “Eliminación de información” y pertenece al conjunto de controles del dominio 8: Controles de Seguridad para la Gestión de Activos. Su propósito es asegurar que la información se elimine de forma segura cuando ya no se requiere, evitando el acceso no autorizado, la divulgación indebida o la reutilización inapropiada.

Objetivo del Control 8.10

“La información que ya no se requiere debe eliminarse de forma segura.”

Este objetivo busca garantizar que los datos residuales no sean accesibles, recuperables ni reutilizados sin autorización, especialmente en dispositivos de almacenamiento como discos duros, cintas, unidades USB, servidores, copias de respaldo y medios físicos como papel.

Etapas para la Implementación del Control 8.10

1. Inventario de Medios y Datos Eliminables

Primero, identifica y clasifica los medios que pueden contener información sensible o crítica, como:

• Dispositivos electrónicos: laptops, servidores, unidades USB, móviles.

• Sistemas en la nube o almacenamiento virtual.

• Documentos físicos en papel.

También es clave identificar qué tipos de información deben eliminarse después de cierto periodo (basado en políticas internas, requisitos legales o contractuales).

2. Política de Retención y Eliminación de Información

Define e implementa una política documentada que especifique:

• Qué información debe eliminarse y cuándo.

• Qué métodos de eliminación se utilizarán.

• Responsables de ejecutar los procesos.

• Cómo se documentará o evidenciará el cumplimiento.

La política debe alinearse con la normativa legal vigente y con otras políticas internas, como la de clasificación de información o retención de registros.

3. Métodos de Eliminación Segura

Aplica técnicas apropiadas de eliminación según el tipo de medio:

a. Medios digitales

• Borrado lógico seguro (overwrite): con herramientas como DBAN, Blancco, shred (Linux) o cipher (Windows).

• Desmagnetización (degaussing): útil para discos magnéticos.

• Destrucción física: trituración o perforación de discos duros.

b. Documentos físicos

• Trituración cruzada de papel.

• Incineración controlada, si es permitida.

• Contratación de servicios certificados de destrucción documental.

c. La nube

• Debes asegurarte al contratar servicios en la nube que cuenten con cláusulas de borrado y eliminación segura. Para esto puedes revisar el control de seguridad de la información para uso de servicios en la nube.

4. Responsabilidades y Capacitación

Asigna responsables claros para la ejecución de procesos de eliminación. Capacita al personal para:

• Reconocer información que debe ser destruida.

• Utilizar herramientas adecuadas.

• Reportar irregularidades o errores en el proceso.

5. Registro y Evidencia

Mantén registros como:

• Reportes de destrucción con fecha, tipo de información eliminada, método y responsable.

• Certificados de destrucción entregados por proveedores externos.

• Registros de auditoría en sistemas automatizados.

6. Verificación y Auditoría

Realiza auditorías internas o revisiones periódicas para:

• Verificar la correcta ejecución del proceso.

• Asegurar la integridad de los métodos de destrucción.

• Evaluar la mejora continua del proceso.

Buenas Prácticas

• Automatiza la eliminación de datos en sistemas cuando sea posible (por ejemplo, retención de logs).

• Supervisa el cumplimiento mediante controles cruzados o revisiones aleatorias.

• Integra este control con la gestión del ciclo de vida de activos y de la información.

• Revisa contratos con terceros para asegurar que apliquen prácticas seguras de eliminación.

Conclusión

El control 8.10 de ISO/IEC 27001:2022 es clave para la confidencialidad y privacidad de la información. Su implementación requiere una combinación de políticas claras, herramientas técnicas adecuadas y concientización del personal. Aplicarlo correctamente no solo reduce riesgos de seguridad, sino que también fortalece el cumplimiento legal y la confianza de clientes y partes interesadas.