Determinar la siguiente política de medios de almacenamiento y dispositivos extraíbles, cuyo propósito es la protección de la información contenida y el acceso adecuado como forma de garantizar la seguridad de la información en dichos dispositivos.

a) Dispositivos fuera de la organización:

i. Los dispositivos que contengan información y sean retirados de su entorno habitual, no deben dejarse desatendidos en sitio públicos.

ii. Durante viajes deben transportarse como equipaje de mano.

En caso de requerirse almacenar información clasificada como reservada, confidencial o secreta deberá protegerse debidamente cifrado y deberá informarse en caso de ocurrir algún incidente (robo, pérdida, virus, etc).

iii. Los equipos que sean utilizados fuera del lugar de trabajo, deben contar con un seguro  que cubra al menos los casos de robo.

b) Dispositivos de almacenamiento extraíbles:

i. Los medios de almacenamiento portables, removibles o medios extraídos del equipamiento, temporal o permanentemente, que contengan información institucional, deben permanecer en un lugar seguro y bajo acceso restringido garantizando su protección ante agentes externos (robo, incendio, inundaciones, magnetismo).

ii. Los medios de almacenamiento utilizados para copias de respaldos, deben permanecer en una ubicación diferente a las instalaciones donde se encuentran disponibles los datos, aquellos que contengan información clasificada deben estar protegidos contra acceso no autorizado durante el transporte y preferentemente en forma cifrada. El sitio donde se resguarden deben contar con los controles de seguridad física y medioambiental apropiados.

c) Reutilización o destrucción de medios:

i. Se debe revisar todo equipamiento que contenga medios de almacenamiento para asegurar que los datos y software licenciado haya sido removido antes de su reutilización o eliminación.

ii. Los medios utilizados para almacenar la información o las copias de respaldos destinadas a darse de baja, deberán ser destruidos o en su defecto eliminar la información contenida de forma segura, utilizando procedimientos que garanticen que no sea posible la recuperación, como ser: destrucción física del dispositivo, desmagnetización  o sobre-escritura, según aplique en cada caso.

d) Definiciones:

i. Dispositivos de almacenamiento extraíble: Se trata de dispositivos que contienen información y permiten una transferencia rápida de la información, como ser, memorias, USB, discos portátiles, tarjetas de memoria, CDs, cintas de respaldo, etc.

ii. Cifrado: mecanismo de protección de acceso y transferencia de la información mediante algoritmos criptográficos (ver Política de uso de criptografía y control criptográfico).

e) Roles y responsabilidades:

i. El área de Seguridad Informática es responsable de asegurar su cumplimiento.

ii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.