Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Destrucción segura de información

El llamado “ciclo de vida” de la información en cualquier organización consta, de forma simplificada, de tres fases: generación, transformación y destrucción. 

En este artículo, les explicaré los métodos de destrucción que garantizan la adecuada gestión del ciclo de vida desde el punto de vista de la seguridad de la información.

Existen dos tipos de soportes de almacenamiento de datos: soportes físicos (papel, microfichas, cintas) y soportes digitales, que pueden ser electrónicos (Discos Duros SSD y Pendrives), magnéticos (Discos Duros HDD, Discos flexibles y Cintas de Backup) y ópticos (CD, DVD y Discos Blu-ray).

Empezando por los soportes físicos, estos se pueden destruir empleando máquinas trituradoras, que tienen hasta siete niveles de seguridad en función de la confidencialidad de la información contenida, o bien se pueden incinerar, aunque este método acarrea inconvenientes si lo realiza la organización (requiere de un espacio adecuado para tal fin, existe un riesgo potencial de quema descontrolada y no se garantiza la destrucción completa del soporte). No es el método más aconsejable, pero es válido en condiciones seguras. Si no reúne tales condiciones, contacten con una empresa autorizada, que pueda garantizarles la desintegración del soporte. Un consejo: comparen precios, pues la incineración puede resultar más económica que la trituración. Es cuestión de pedir presupuestos.

Los soportes magneto-ópticos también pueden ser incinerados, si bien la trituración es el método más recomendable, pues es más rápido, más limpio y garantiza la destrucción completa del soporte. La correcta realización implica la imposibilidad de recuperación posterior por ningún medio conocido.

Respecto a los soportes digitales, se pueden destruir físicamente, pero lo ideal es poder reutilizarlos. Hay dos métodos seguros: la sobre-escritura y la desmagnetización.  

La “sobre-escritura” consiste en la escritura de un patrón de datos sobre los datos contenidos en los dispositivos de almacenamiento. Para asegurar la completa destrucción de los datos se debe escribir la totalidad de la superficie de almacenamiento. La sobre-escritura se realiza accediendo al contenido de los dispositivos y modificando los valores almacenados, por lo que no se puede utilizar en aquellos que están dañados ni en los que no son regrabables, como los CD y DVD.

La “desmagnetización” consiste en la exposición del soporte de almacenamiento a un potente campo magnético, proceso que elimina los datos almacenados en el dispositivo. Este método es válido para la destrucción de datos de los dispositivos magnéticos como, por ejemplo, los discos duros, cintas magnéticas de backup, etc. Cada dispositivo, según su tamaño, forma y el tipo de soporte magnético de que se trate, necesita de una potencia específica para asegurar la completa polarización de todas las partículas.

Sea cual fuere el método empleado en la destrucción de soportes o borrado de la información, deben documentar todo el proceso, detallando cuándo y cómo ha sido realizado. Si encargan la gestión a una empresa autorizada, deben exigir la entrega del certificado de destrucción. Si en algún momento su empresa se enfrenta a acciones legales o es auditada para verificar la protección de datos personales, estos certificados serán importantes a la hora de demostrar que los datos confidenciales han sido descartados de manera responsable y segura. Se recomiendan empresas que tengan certificado de calidad UNE EN 15713:2010 “Destrucción segura del material confidencial. Código de buenas prácticas” e ISO 27001:2017 “Sistemas de Gestión de la Seguridad de la Información. Requisitos”.

Todas empresas u organizaciones deben tener definida una política de borrado seguro de la información de los dispositivos de almacenamiento con los que trabajan, que contenga al menos los siguientes elementos:

  • Gestión de soportes, incluido un inventario de soportes, el seguimiento de los dispositivos en funcionamiento, las personas responsables, la información contenida en ellos y su clasificación en función del grado de criticidad para la empresa.
  • Supervisión de las operaciones realizadas sobre un dispositivo: mantenimiento, reparación, sustitución, etc.
  • Cadena de custodia de los mismos para evitar fugas de información.

Por último, en el caso ordenadores obsoletos, antes de su destrucción, o en el caso de donación, venta o entrega a terceros, se sacará el disco duro, se formateará para eliminar su contenido y este quedará bajo la custodia del responsable del tratamiento. Si no se pudiese realizar la operación de limpiado se procederá a la destrucción del disco duro por una empresa de reciclaje autorizada.

Espero que estas recomendaciones les resulten útiles y que las pongan en práctica.

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).