La eliminación de la información es una medida esencial dentro de la seguridad de la información. El control 8.10 de la norma ISO/IEC 27001 tiene como objetivo reducir los riesgos asociados a la acumulación innecesaria de datos, garantizando que la información se conserve únicamente durante el tiempo necesario para cumplir con los fines del negocio, legales o contractuales.
En muchas organizaciones, los datos se almacenan “por si acaso”, sin una revisión periódica. Con el paso del tiempo, esta práctica genera grandes volúmenes de información difícil de gestionar, aumenta la superficie de ataque y eleva el impacto potencial de cualquier incidente de seguridad.
Finalidad del control 8.10
El control 8.10 busca implantar un enfoque sistemático de eliminación de la información que ya no aporta valor, apoyándose en los siguientes principios:
- Principio de minimización: conservar únicamente la información necesaria reduce la exposición al riesgo.
- Reducción del impacto de incidentes de seguridad: cuanto menor sea el volumen de datos almacenados, menor será el impacto ante una brecha.
- Mitigación de riesgos internos: limitar el acceso a información innecesaria reduce usos indebidos o exposiciones accidentales.
- Mejora de la calidad de la información: eliminar datos obsoletos permite tomar decisiones basadas en información fiable.
- Continuidad del negocio: menos datos simplifican las copias de seguridad y aceleran la recuperación ante desastres.
- Responsabilidad y ética: una correcta gestión del ciclo de vida de los datos refuerza el compromiso con la privacidad.
Aspectos a evaluar
Para verificar la correcta aplicación del control, la organización debería analizar, entre otros, los siguientes aspectos:
- Existencia de períodos de conservación definidos y su aplicación efectiva.
- Gestión de la eliminación de datos en copias de seguridad.
- Mecanismos que impidan la recuperación de información eliminada.
- Procedimientos de borrado en equipos reutilizados o dados de baja.
- Controles aplicados a proveedores externos que realizan la eliminación.
- Verificación de que la eliminación se ajusta a las políticas internas.
Roles y responsabilidades
La organización debe definir claramente quién es responsable de identificar, autorizar y ejecutar la eliminación de la información que ya no es necesaria. Este proceso debe realizarse dentro de los plazos establecidos y conforme a las políticas internas.
Si se han producido incidentes relacionados con una eliminación incorrecta o tardía, deben analizarse las causas y aplicar medidas correctivas para evitar su repetición.
Eliminación segura de la información
La eliminación debe ser irreversible, especialmente cuando se trata de información sensible o datos personales. Dependiendo del soporte, pueden emplearse herramientas de borrado seguro, técnicas de sobrescritura o la destrucción física de los soportes.
Los soportes deben permanecer bajo control hasta su destrucción definitiva. Cuando el proceso se externaliza, es recomendable exigir evidencias documentadas de que la eliminación se ha realizado correctamente.
Cumplimiento legal y normativo
El control 8.10 está estrechamente vinculado al Reglamento General de Protección de Datos (RGPD), que exige eliminar los datos personales cuando dejan de ser necesarios, conforme al principio de limitación del plazo de conservación y al derecho de supresión.
La correcta aplicación de este control contribuye al cumplimiento de requisitos legales, contractuales y regulatorios.
Aplicación en empresas de desarrollo de software
En empresas de desarrollo de software, la eliminación de la información es especialmente relevante debido al elevado volumen de datos técnicos, código fuente y datos de clientes.
En entornos SaaS, el proveedor debe garantizar la eliminación segura de los datos de clientes al finalizar el contrato, la depuración de entornos de desarrollo y pruebas, la revisión de repositorios obsoletos, la definición de plazos de conservación de logs y la correcta eliminación de datos en copias de seguridad y recursos cloud.
En soluciones on-premise, el control se centra en la información que la empresa maneja durante el desarrollo o soporte, como copias locales, volcados de bases de datos, documentación técnica sensible y datos del cliente utilizados temporalmente.
Aplicación del control 8.10 en pequeñas empresas
Las pequeñas empresas pueden aplicar este control de forma proporcional y pragmática. No es necesario implantar soluciones complejas, sino definir criterios claros sobre qué información eliminar y cuándo hacerlo.
Algunas medidas prácticas incluyen establecer una política básica de retención, asignar responsabilidades, realizar revisiones periódicas, eliminar datos de dispositivos antes de reutilizarlos y destruir documentación en papel de forma segura.
Conclusión
El control 8.10 no consiste únicamente en borrar información, sino en gestionar correctamente su ciclo de vida. Una eliminación planificada, segura y documentada reduce riesgos, mejora la seguridad de la información y refuerza el cumplimiento legal en organizaciones de cualquier tamaño.
