El borrado seguro de datos es una práctica crucial para la ciberseguridad de las empresas. No obstante, la mayoría incumple el Esquema Nacional de Seguridad (ENS), donde, precisamente, se establece la obligatoriedad de esta práctica. El Centro Criptológico Nacional (CCN) es el organismo que marca los criterios para borrado o destrucción de datos y soportes. Estos pueden ser:
- Medios electrónicos.
- Medios no electrónicos.
Borrado seguro de datos
El borrado informático y de documentos en formato físico debe llevarse a cabo por todo tipo de empresas. Esto es independiente de que sean grandes, medianas o pequeñas, y del sector en el que desarrollen su actividad. La información tiene un ciclo de vida que, a grandes rasgos, es el siguiente:
- Generación.
- Transformación.
- Destrucción.
Además, puede encontrarse en soportes como los siguientes:
- Bases de datos.
- Documentos de texto (electrónicos o en papel).
- Archivos.
- Imágenes. (Fotografías, grabaciones de las cámaras de videovigilancia).
Los formatos pueden ser:
- Digital:
- CD.
- DVD.
- USB.
- Discos magnéticos.
- Tarjetas de memoria.
- Formato convencional:
- Papel.
- Microfichas.
- Películas.
Dado el incremento de ciberataques, resulta de extremada importancia la adecuada gestión, almacenamiento y destrucción. Su obligatoriedad se basa en tres premisas:
- La del funcionamiento de la empresa. Este quedaría comprometido si se produce una brecha de seguridad.
- La privacidad de terceras partes que puedan aparecer en los documentos.
- El cumplimiento de la legalidad vigente.
Hay informaciones especialmente importantes, como las contenidas en:
- Documentos confidenciales.
- Documentos con datos de carácter personal.
El ENS marca la obligatoriedad del borrado seguro para soportes cuyo objetivo sea la reutilización para tratamiento de otra información. Lo mismo ocurre si esos soportes o dispositivos van a entregarse a otra organización.
Una condición de ese borrado es que sea imposible recuperar la información eliminada. Si esto no es posible, dicho dispositivo no podrá ser reutilizado. El plazo para acreditar ese procedimiento es de 24 meses. De lo contrario, las empresas que no demuestren haberlo realizado no podrán presentarse a licitaciones o concursos públicos.
Este tipo de práctica va en la línea del nuevo ENS, que busca reducir vulnerabilidades en las organizaciones. Asimismo, persigue la implantación de una filosofía de vigilancia continua.
Métodos de borrado seguro
Además de los marcados en la Ley Orgánica de Protección de Datos (LOPD), está la norma ISO 15713: 2010.
Desmagnetización
Es la exposición a un intenso campo magnético de los soportes de almacenamiento. Es el método adecuado para discos duros, cintas magnéticas de backup, etcétera.
Destrucción física
Consiste en la eliminación física de un documento o archivo. Entre las fórmulas para lograrlo están:
- Desintegración.
- Pulverización.
- Fusión.
- Incineración.
- Trituración.
Sobreescritura
Se trata de escribir un patrón de datos encima de los datos que queremos borrar en un dispositivo de almacenamiento. Para garantizar la total destrucción hay que escribir toda la superficie almacenada.
Sumado a esto, las organizaciones tienen que contar con una política de borrado seguro. Esta debe contener, al menos, los elementos que se detallan a continuación:
Gestión de soportes adecuada
Tiene que haber seguimiento y control de los dispositivos activos. Esto incluye conocer quiénes son los empleados responsables y en qué departamentos se ubican. También tienes que saber la información contenida y clasificarlos por su relevancia.
De igual manera, es necesaria una supervisión, control constante y conocimiento de la ubicación de las copias de seguridad. La cadena de custodia en caso de traslados ha de estar garantizada.
Documentación de las operaciones de borrado realizadas
Las actuaciones de borrado tienen que quedar registradas, documentadas y trazadas. Igualmente, el respeto al medio ambiente resulta prioritario en el proceso.
Como ves, el borrado seguro de datos resulta tan importante como la adecuada gestión y almacenamiento de los datos. Las sanciones por malas prácticas pueden ser muy altas. ¿Cumple tu empresa con todos estos requisitos?