Procedimiento de Destrucción de Documentos con Información Confidencial CAPUAL. Hoja 1 / 6

Transcripción

1 Procedimiento de Destrucción de Documentos con Información Confidencial CAPUAL Hoja 1 / 6

2 I. OBJETIVO Establecer el procedimiento de destrucción de los documentos de clasificación confidencial o de uso interno. II. ALCANCE Y LIMITACIONES Se aplica a todos los documentos confidenciales y de uso interno, en forma física y magnética, que se generan, almacenan y distribuye la empresa. III. PROCEDIMIENTO Entradas El procedimiento de manejo de destrucción de documentos que contienen información confidencial o de uso interno considera las siguientes entradas: Un documento confidencial o de uso interno que debe ser destruido. IV. PROCEDIMIENTOS Documentos impresos Nunca deposite documentos confidenciales en la basura o recipiente de reciclaje antes de su destrucción. Use uno de los siguientes métodos para destruir documentos: Picado (si dispone de una picadora) Destrucción manual del documento buscando partirlo en pedazos muy pequeños El proceso de destrucción tiene que evitar el reconocimiento o reconstrucción de información en papel. Los documentos impresos deben destruirse más allá de la reconstrucción factible y se eliminan conforme con las exigencias de protección de información personal por parte de los consumidores y las necesidades de proteger la reputación corporativa. Hoja 2 / 6

3 Opcional Para el manejo de volúmenes importantes de información confidencial se recurrirá a una empresa especializada en la destrucción segura de documentos. Esta empresa debe proporcionar un certificado de destrucción y mantener una cadena de custodia de la información documentada para facilitar un seguimiento de auditoría. Documentos en medios magnéticos y plásticos El proceso de destrucción tiene que evitar el reconocimiento o reconstrucción de información en archivos electrónicos. Cuando un usuario necesite destruir documentos contenidos en medios magnéticos (microfichas, películas, carpetas plásticas, discos informáticos, memory stick, cintas de video, CD y DVD) debe recurrir al área de soporte, la que procederá a su retiro. El área de soporte puede usar uno de los siguientes métodos para destruir materiales confidenciales, de acuerdo a las necesidades de la empresa. Método 1: Responsabilizar al área de soporte de la destrucción, para ello debe seguir los lineamientos que se indican: Rotular todos los medios para su identificación en el caso que no la tuvieran. De ser posible, se deben registrar sus números de serie o algún otro ítem que permita individualizarlo. Llevar un registro de los medios a destruir. Si los medios van a ser reutilizados después de la eliminación de la información, se registrará fecha, hora de la limpieza y nombre del personal que ejecuta el procedimiento. Hoja 3 / 6

4 Para limpiar los medios magnéticos (cintas magnéticas, memorias, pendrives, discos duros) que contengan información confidencial se debe escribir encima de los datos tres veces como mínimo utilizando un programa comercial de utilidades de disco o utilizando un desmagnetizador comercial. En el caso de los equipos que sean reasignados o dados de baja se deben seguir los siguientes lineamientos: Equipos de Gerencia y Servidores: Antes del borrado de los datos, estos deben ser encriptados con un software adecuado y luego utilizar una herramienta de sobre escritura que debe ser pasada al menos tres veces para asegurar el borrado de los datos. Estaciones de trabajo dadas de baja: Utilizar una herramienta de sobre escritura que debe ser pasada al menos tres veces para asegurar el borrado de los datos Destruir los CD-ROM, DVD, microfichas, películas, carpetas plásticas, cintas de video, usando un triturador capaz de hacerlos inutilizables o cortarlos con tijeras de una manera obvia para prevenir su uso por reconstrucción. Método 2: Responsabilizar a una empresa externa de la destrucción segura de medios. Procedimiento: Soporte hace entrega de los medios a destruir La empresa externa retira los medios a destruir La empresa externa genera un registro de todos los medios a destruir. La empresa externa mantiene una cadena de custodia continua sobre ellos. La empresa externa realiza la destrucción de los medios bajo la supervisión de un representante de la empresa. La empresa externa genera un certificado de destrucción que verifica que los medios se han destruido. Hoja 4 / 6

5 Salida El procedimiento de manejo de destrucción de documentos que contienen información confidencial considera las siguientes salidas: Un documento confidencial destruido. Un registro de los medios destruidos. Hoja 5 / 6

6 Control Documental Nombre del Documento: HISTORIA DEL DOCUMENTO Procedimiento de Destrucción de Documentos con Información Confidencial Creado por: Soluciones Orión Revisado por: Carolina Balboa Adasme. Aprobado por: Gerencia General/Comité de Seguridad de la Información. Fecha de Creación: 01/09/2009 Versi ón Fecha de Vigencia /03/2010 CONTROL DE VERSIONES Aprobación Gerencia General/Comité de seguridad de la Información Comentario Creación del documento. Primera versión. (*) La presente versión substituye completamente a todas las precedentes, de manera que éste sea el único documento válido de entre todos los de la serie. Hoja 6 / 6