Si está trabajando para obtener la certificación ISO 27001, crear una política de retención de datos no solo es una buena práctica de seguridad de la información, es una necesidad. Pero, ¿qué es una política de retención de datos, por qué es importante y cómo puede desarrollar una que cumpla con los requisitos de ISO 27001?

Desglosaremos el papel de una política de retención de datos en el contexto de ISO 27001 y proporcionaremos una guía paso a paso para redactarla.

Por qué la retención de datos es importante para el cumplimiento de ISO 27001

ISO/IEC 27001 es un estándar global de seguridad de la información. Ofrece directrices para ayudar a las organizaciones a gestionar riesgos y proteger datos sensibles dentro de un sistema de gestión de seguridad de la información (SGSI). El estándar aborda muchos aspectos de la seguridad de la información, incluida la retención de datos, para garantizar la confidencialidad, integridad y disponibilidad de los datos.

La retención de datos es el proceso de almacenar y mantener datos durante un período de tiempo específico. Las organizaciones que buscan el cumplimiento de ISO 27001 deben definir procesos de gestión de datos adecuados. Estos incluyen métodos de almacenamiento y eliminación de datos, así como períodos de retención de datos.

Además del cumplimiento de ISO 27001, una retención de datos adecuada tiene varios beneficios comerciales:

1. Promover la higiene de los datos

Definir procesos para crear, mantener y eliminar datos ayuda a las organizaciones a prevenir registros duplicados o desactualizados. Datos de alta calidad mejoran los procesos empresariales y conducen a mejores conocimientos y toma de decisiones.

2. Mejorar e informar la respuesta a incidentes

La retención de datos implica mantener registros adecuados del sistema, del tráfico de red y del acceso de usuarios. Un registro completo y confiable puede ayudar a los equipos de seguridad a:

• Detectar anomalías y actividades sospechosas
• Entender vectores de ataque y puntos de entrada
• Evaluar la gravedad de una violación de datos
• Determinar el alcance de los datos comprometidos
• Implementar controles para prevenir futuros incidentes de seguridad

3. Apoyar operaciones comerciales eficientes

Una política de retención de datos asegura que los datos esenciales se mantengan y conserven adecuadamente. Esto respalda una variedad de operaciones comerciales críticas, permitiendo a las organizaciones:

• Destacar tendencias de clientes y mercados
• Generar informes financieros exactos
• Rastrear el rendimiento de la empresa
• Apoyar el desarrollo de productos
• Desarrollar iniciativas de marketing efectivas

4. Proteger contra la pérdida accidental de datos

Establecer procesos de respaldo y recuperación reduce el riesgo de pérdida de datos debido a fallos de hardware, desastres naturales o actividades maliciosas. Probar regularmente los sistemas y procedimientos de respaldo como parte de una estrategia de retención de datos asegura que los datos se puedan restaurar en caso de pérdida accidental, minimizando el tiempo de inactividad y apoyando la continuidad del negocio.

Requisitos de retención de datos de ISO 27001

ISO 27001:2022 Anexo A 5.33 cubre los requisitos para la “Protección de Registros.” ('Registros' es otro término para los datos que su organización utiliza para las actividades comerciales rutinarias). Para cumplir con ISO 27001, las organizaciones deben tomar medidas para proteger todos los registros contra la falsificación, el acceso o divulgación no autorizados y la pérdida.

Según las últimas revisiones del estándar ISO 27001:2022, las organizaciones están obligadas a:

1. Establecer pautas y/o procesos para:

• Almacenamiento de registros
• Eliminación de registros
• Establecimiento de una cadena de custodia para el manejo de registros
• Prevención de la manipulación de registros

2. Mantener un cronograma de retención para todos los registros. Este cronograma de retención define cuánto tiempo se conservarán los diferentes tipos de registros en función de su uso comercial específico.

3. Definir procesos de almacenamiento y manejo de registros que aborden:

• Requisitos legales y/o reglamentarios para la conservación de registros comerciales
• Expectativas sociales y de los clientes sobre cómo las organizaciones deben gestionar los registros y datos personales

4. Utilizar métodos seguros para destruir los registros una vez finalizado el período de retención.

5. Clasificar los registros según sus riesgos de seguridad, en particular:

• Registros de personal
• Registros legales
• Registros contables
• Transacciones financieras

6. Almacenar los registros de manera que puedan ser recuperados si los solicita un tercero (interno o externo).

7. En el caso de registros electrónicos, considerar y mitigar el riesgo de cualquier cambio tecnológico que pueda limitar el acceso o la recuperación (como mantener las claves criptográficas).

8. Seguir las instrucciones del fabricante al mantener registros electrónicos.

Cómo escribir una política de retención de datos de ISO 27001

Ahora que hemos cubierto los requisitos, profundicemos en los detalles de la redacción de una política de retención de datos para ISO 27001.

Paso 1: Categorizar y clasificar los datos

Primero, necesitarás clasificar los datos según su sensibilidad, importancia y requisitos legales. Los tipos de datos a tener en cuenta incluyen:

• Datos de clientes
• Datos de empleados
• Propiedad intelectual
• Datos operativos
• Registros de proveedores y vendedores
• Registros de salud
• Registros educativos
• Correos electrónicos y registros de comunicaciones
• Registros financieros y fiscales

Paso 2: Definir los requisitos de retención de datos para cada categoría

¿Cuáles son sus requisitos legales, reglamentarios o de cumplimiento para cada tipo de datos?

• Los datos de salud pueden estar sujetos a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Según HIPAA, las organizaciones deben mantener registros durante al menos 6 años después de que se usaron por última vez.
• Las organizaciones que atienden a clientes de la UE pueden necesitar cumplir con el GDPR. GDPR exige que los datos personales se mantengan solo el tiempo necesario para lograr el propósito para el cual fueron recopilados.
• Las organizaciones de comercio electrónico o financieras pueden necesitar considerar los requisitos de PCI DSS. Los datos de los titulares de tarjetas deben destruirse una vez que ya no sean necesarios para fines legales, contractuales o comerciales. La documentación de cumplimiento de PCI, como los registros de auditoría, debe mantenerse durante al menos un año.

Consulte a las partes interesadas de los departamentos legales, TI/cumplimiento y la alta dirección para garantizar una cobertura adecuada. Los acuerdos contractuales con clientes, socios y proveedores externos también pueden afectar los requisitos de retención de datos.

Paso 3: Establecer períodos de retención de datos y métodos de seguridad

Especifique cuánto tiempo necesita conservar cada tipo de datos y cómo se asegurará. Los métodos de seguridad pueden incluir la anonimización o tokenización de datos y el cifrado.

Paso 4: Documentar una política y procedimientos de retención de datos

Una política de retención de datos conforme con ISO 27001 debe cubrir cómo se gestiona la información a lo largo de su ciclo de vida. Los detalles específicos variarán según las necesidades de su organización, pero la política debe incluir los siguientes elementos clave:

1. Propósito: Explique el propósito de la política. Asegúrese de mencionar el objetivo de alinear las prácticas de gestión de datos de su organización con los requisitos de ISO 27001.

2. Alcance: Defina qué datos cubre la política. Esto debería incluir cualquier documento relacionado con su SGSI, así como cualquier documento requerido por ISO 27001. Los datos pueden abarcar desde sistemas en la nube y documentos de correo electrónico hasta bases de datos específicas y registros físicos.

3. Roles y Responsabilidades: Explique los roles y responsabilidades de las personas involucradas en la creación, aplicación y mantenimiento de la política. Por lo general, esto incluye a los Propietarios de Datos, Custodios de Datos y/o Oficiales de Protección de Datos.

4. Categorización de Datos: Explique cómo ha decidido categorizar los datos. Por ejemplo, basándose en la sensibilidad y la importancia para el negocio. Estas categorías se utilizarán para informar las decisiones sobre los períodos de retención, así como los métodos de almacenamiento y eliminación.

5. Períodos de Retención de Datos: Especifique los períodos de retención para cada categoría de datos, asegurándose de alinearlos con cualquier requisito legal, regulatorio, contractual y/o comercial. También debería explicar su razonamiento para elegir esos períodos de retención.

6. Almacenamiento de Datos: Explique dónde y cómo se almacenarán de manera segura los datos durante el período de retención.

7. Eliminación de Datos: Describa cómo eliminará de manera segura cada categoría de datos una vez que finalice el período de retención. Esto podría implicar procedimientos para la eliminación segura y/o la destrucción física.

8. Medidas de Protección de Datos: Describa los controles de seguridad que ha implementado para proteger los datos en cada etapa de su ciclo de vida. Estos podrían incluir controles de acceso de usuarios, cifrado, anonimización/tokenización y auditorías de seguridad regulares.

9. Revisión y Actualización de la Política: Indique con qué frecuencia revisará y actualizará la política. (Debe ser al menos anual).

10. Ejecución: Explique las consecuencias del incumplimiento de la política. Esto podría implicar acciones disciplinarias o la terminación del contrato.

11. Excepciones: Si hay alguna excepción a la política, debe estar claramente indicada y explicada.

Siempre recomendamos involucrar a profesionales legales y de TI/seguridad al redactar políticas para garantizar que reflejen las prácticas comerciales reales y se alineen con sus objetivos de cumplimiento.

Paso 5: Compartir la política para revisión y aceptación

Esta política debería estar accesible para todo el personal y partes interesadas relevantes para su revisión y aceptación.

Paso 6: Monitorear, mantener y actualizar políticas y procedimientos

ISO 27001 requiere que las organizaciones monitoreen y mejoren continuamente sus procesos de seguridad de datos. Esto incluye realizar monitoreos regulares de cumplimiento y auditorías internas.

Revise su política de retención de datos al menos una vez al año para reflejar cualquier nuevo requisito legal, regulatorio o contractual.

Más recursos gratuitos para el cumplimiento de ISO 27001

Obtener la certificación ISO 27001 puede ser un proceso desalentador y complejo. En Secureframe, nuestra misión es desmitificar y simplificar el cumplimiento de la seguridad para todas las organizaciones.

Nuestra plataforma de automatización del cumplimiento monitorea su infraestructura en la nube para el cumplimiento, simplifica la gestión de proveedores y personal, y recopila automáticamente evidencia de auditoría. También hemos creado un Centro de Cumplimiento ISO 27001 para guiarle a través del proceso de certificación, y una biblioteca de plantillas gratuitas de políticas ISO 27001, listas de verificación de preparación y hojas de cálculo de evidencia para ahorrarle horas de trabajo manual.