GA 4 Gestionar los medios de almacenamiento externos.
| Objetivo | Proteger a la organización contra el acceso no autorizado a la información contenida en medios de almacenamientos externos, que son usados como repositorios o transporte de la información y así no permitir la divulgación, modificación u eliminación imprudencial o intencional de la información. |
| Alcance | Cualquier organización. |
| Referencia ISO 27001 | A.8.2.3, A.8.3.1, A.8.3.3 |
| Guía de implementación | Para la implementación de este requisito se deben contemplar medios físicos (por ejemplo: pendrive, disco externo, cintas) y almacenamiento en la nube (por ejemplo: Dropbox, Google Drive). Procedimiento para el manejo de medios de almacenamiento externos. Se debe desarrollar un procedimiento para el manejo de medios de almacenamiento externo, tanto en las instalaciones de la organización como fuera de ella (Ver Requisito GA.3), que incluya las responsabilidades para su adecuado uso y protección. Este procedimiento debe difundirse entre el personal de la organización para su conocimiento y aplicación. Inventario de medios de almacenamiento externos Es necesario contar con un inventario de medios autorizados y definir procedimientos para su gestión que cubran como mínimo la solicitud, entrega, devolución y transporte de los medios de almacenamiento fuera de la organización. Controles en medios de almacenamiento externos Se deben establecer controles para bloquear el uso de dispositivos o medios de almacenamiento externos en las estaciones de trabajo, laptops y servidores a nivel físico de los puertos de los equipos y transferencias vía bluetooth que no sean necesarios, incorporando el principio de menor privilegio. Medidas de protección Si existen medios en reposo con información sensible, junto a otro tipo de información, el dispositivo debe ser considerado como contenedor de información sensible y, por tanto, deberá ser considerado con las mismas medidas que la organización haya establecido para ese tipo de información. |
| Administración Central | - |
| Instituciones de salud | Se debe contemplar la posibilidad de definir controles tendientes a mitigar el riesgo del almacenamiento de información sensible en diversos tipos equipamiento. En los casos, por ejemplo, de posibles envíos a reparación tanto de equipamiento médico como de equipamiento tradicional de oficina que contenga o pueda contener medios de almacenamiento, es necesario contar con medidas de control que impidan el acceso no autorizado a información sensible de salud. Se deben contar con una política para la gestión de la información que se encuentra almacenada dentro de los dispositivos biomédicos. Si existen medios en reposo con información de salud junto a otro tipo de información, el dispositivo debe ser considerado como contenedor de información de salud y, por tanto, deberá ser considerado con las mismas medidas que la institución haya establecido para ese tipo de información. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | Ley 18.331: Protección de datos personales, acción de habeas data. |