Dispone de defensas tecnológicas, una sólida gobernanza de TI y una plantilla con conciencia cibernética. Sus datos están protegidos, replicados y respaldados. Eso es estupendo, sólo hay una cosa más que necesita saber: Por qué debería destruir sus propios datos.
Por qué debería destruir sus propios datos
Dados los esfuerzos que realizamos para proteger los datos y satisfacer la aparente dicotomía de garantizar que sean accesibles y seguros a la vez, resulta contraintuitivo considerar la destrucción voluntaria de los datos no sólo como un requisito, sino como una necesidad.
Hay varias razones por las que sería necesario hacerlo.
Sustitución del hardware
El hardware envejece y, como todas las máquinas, tiene una vida operativa finita. Cuando los servidores, ordenadores de sobremesa, portátiles, dispositivos de almacenamiento en red y dispositivos móviles como teléfonos móviles y tabletas son redundantes, hay que deshacerse de ellos.
El dispositivo puede ser sustituido debido a un fallo del hardware. Algunas empresas no esperan a que se produzca un fallo, sino que gestionan proactivamente la retirada del hardware para evitar tiempos de inactividad imprevistos. A las diferentes clases de dispositivos se les asigna una duración en servicio, y una vez que alcanzan esa edad son sustituidos.
Las sustituciones de dispositivos también pueden estar motivadas por factores externos, como el lanzamiento de una nueva versión de Microsoft Windows. Si su viejo hardware no tiene la potencia necesaria para ejecutar el nuevo sistema operativo, habrá que sustituirlo.
Reutilización del hardware
Si alguien deja su puesto y su portátil u ordenador de sobremesa se reasigna a su sustituto, tienes que borrar de forma segura el dispositivo antes de dárselo al nuevo miembro del personal.
Razones legislativas o de cumplimiento
La legislación, como el Reglamento General de Protección de Datos, obliga a las organizaciones a declarar públicamente (normalmente en su política de privacidad en línea) durante cuánto tiempo conservarán la información de identificación personal (datos personales). Es lo que se denomina periodo de conservación.
Conservar datos más allá del periodo de conservación establecido puede dar lugar a graves infracciones de las políticas de protección de datos y privacidad, y a una atención no deseada por parte de la autoridad supervisora pertinente. Por no hablar de costes no deseados y daños a su reputación.
Regalarlo todo
Se hacen grandes esfuerzos para evitar que los actores de amenazas pongan sus manos en sus datos. Deshacerse de hardware antiguo sin prestar la debida atención a los datos que contiene es como entregar esos datos directamente a los malos.
Los documentos sensibles no se tiran a la basura. Los trituras para hacerlos inaccesibles e ilegibles. También hay que borrar de forma segura los datos del hardware antiguo.
Aparte de las implicaciones comerciales de la filtración de información confidencial de la empresa, si los datos incluyen información personal identificable, se considera una violación de datos perseguible en Europa.
Cómo borrar discos duros de forma segura
Hay muchas maneras de eliminar de forma segura los datos de un disco duro o de hacer que el disco duro sea ilegible. Se puede
- Sobrescribir los datos
- Desmagnetizar las unidades
- Dañar o destruir físicamente las unidades
Cada una de estas técnicas tiene ventajas e inconvenientes, y algunas empresas utilizan más de una a la vez.
Sobrescritura de datos
Cuando un sistema operativo borra un archivo, elimina el nombre del archivo de la lista de archivos del disco duro y marca el espacio del disco duro donde estaba almacenado el archivo como disponible para su reutilización.
Con el tiempo, esa zona del disco duro será sobrescrita por otro archivo. Si esa zona del disco no ha sido sobrescrita, es trivial recuperar los datos del archivo borrado: están ahí mismo, en el disco duro, donde solían estar. Borrar todos los archivos antes de deshacerse de un disco duro u ordenador viejo no es suficiente para evitar el acceso no autorizado a los datos eliminados. Hay que sobrescribirlos a propósito.
Se pueden utilizar paquetes de software especializados para escribir valores de datos en todos los puntos de datos posibles de un disco duro, borrando todo lo que se había almacenado anteriormente en él. Sin embargo, la sobrescritura es lenta, sobre todo si se borran discos duros de gran capacidad o se tiene que trabajar con una gran pila de discos.
El software de sobrescritura no es un método infalible para borrar de forma segura una unidad de estado sólido (SSD). Es necesario consultar el sitio web del fabricante y obtener la utilidad específica de la marca para borrar por completo una de sus unidades SSD.
Sobrescribir los datos de una unidad física o borrar por completo una SSD no daña la unidad en sí. Se puede reutilizar. Si está limpiando una máquina para pasársela a otro empleado o donarla a una organización benéfica, éste es un buen método.
Desmagnetización
Los discos duros físicos tradicionales almacenan sus datos en forma de patrones magnéticos en los platos giratorios. La desmagnetización utiliza campos magnéticos potentes para alterar esos patrones y, de este modo, codificar todo el disco duro.
La desmagnetización no es selectiva, no se pueden desmagnetizar los platos por sí solos, sino todo el mecanismo del disco duro. Esto significa que a menudo borra los datos del firmware del servocontrolador, dejando la unidad inoperativa. Esto reduce aún más las posibilidades de que alguien pueda leer datos de esa unidad.
Sin embargo, si su plan era volver a utilizar la unidad una vez que fue borrado, desmagnetización no es el camino a seguir. Incluso si la unidad sigue funcionando después de la desmagnetización, usted tendrá una unidad con preguntas acerca de su longevidad – y que acaba de nuked su garantía.
Las máquinas de desmagnetización son caras. Existen varitas desmagnetizadoras más asequibles, pero para garantizar la destrucción es necesario utilizar una potente unidad de sobremesa. Y como las unidades SSD no utilizan magnetismo para almacenar sus datos, el desmagnetizador no funciona en ellas.
Destrucción física de unidades
Si se hace correctamente, está garantizado que funciona. La destrucción del disco duro elimina todas las posibilidades de recuperar los datos.
Para destruir completamente un disco duro mecánico, puede taladrar una serie de agujeros a través de él a distancias escalonadas trabajando hacia fuera desde cerca del centro. Puede hacerlo de una forma más primitiva con un martillo grande y unos clavos de 10 cm. Coloque la unidad sobre un bloque de madera y clave un par de clavos en los platos para romperlos.
Por increíble que parezca, existen trituradoras en las que puedes dejar caer los discos duros y se pulverizan. Cuestan una fortuna, hacen mucho ruido y hacen temblar el edificio, pero existen. Lo que hay que vigilar es la inclinación de las ruedas trituradoras. Suelen tener una separación de una pulgada (2,5 cm) más o menos. Algunos de los chips del interior de las unidades SSD son más pequeños que eso, por lo que los chips recuperados podrían extraerse de la viruta, trasplantarse a unidades donantes y resucitar.
Para la destrucción de las unidades, he oído hablar incluso de organizaciones que han llegado a acuerdos con plantas de recuperación de metales que fundían las unidades sin coste alguno y reciclaban el metal. Además de resolver el problema de la destrucción de datos, ayudaba al programa de sostenibilidad de la organización y a sus objetivos ecológicos.
La nube y el software como servicio
Con la adopción masiva del almacenamiento en la nube, ya no hay que preocuparse sólo de los discos duros locales. Sus datos están ahora en los discos duros de otros. Un centro de datos controlará la salud de sus discos duros y los sustituirá a la menor señal de que se aproxima un problema. ¿Cómo se desharán de los discos viejos y de tus datos? Y, en cualquier caso, ¿cómo borrarán tus datos si cambias de proveedor de nube?
Las mismas consideraciones deben tenerse en cuenta con los proveedores de software como servicio (SaaS). Un centro de datos tradicional normalmente estará obligado por contrato a destruir los datos de forma segura al final del contrato y a proporcionar una confirmación por escrito de que se ha llevado a cabo. Este tipo de rigor es mucho menos frecuente con los proveedores de SaaS.
Asegúrese de que la destrucción de datos forma parte de su contrato o acuerdo antes de contratarlos. Consígalo por escrito y asegúrese de que la declaración o el certificado de destrucción segura de datos es un entregable acordado.
No sólo discos duros
Cualquier cosa en la que pueda almacenar datos debe destruirse o borrarse antes de desecharla o reutilizarla. Es decir
- CDs
- DVDs
- Cintas de seguridad
- Discos duros externos
- Memorias USB
Los teléfonos móviles son otra categoría importante que requiere una destrucción cuidadosa de los datos. Un simple restablecimiento de fábrica no suele ser suficiente debido a las herramientas de recuperación de datos que pueden saltarse esta medida.
Para un borrado más seguro, utiliza software especializado diseñado para dispositivos móviles o consulta las directrices del fabricante de tu teléfono.
Incluso dispositivos como las impresoras multifunción pueden retener grandes cantidades de información cuando se les introducen documentos para copiarlos, imprimirlos o escanearlos.
Busque un socio de confianza
Las empresas de reciclaje a veces ofrecen certificados de destrucción segura de datos para los ordenadores y otros equipos de procesamiento de datos que le recogen. Una buena empresa demostrará rigor de principio a fin en su proceso.
- Los equipos se etiquetarán con un código de barras cuando se recojan.
- Deberá facilitarse un manifiesto de recogida de los equipos recogidos en el que figure el código de barras y la etiqueta o número de serie del dispositivo que recibió esa pegatina.
- En las furgonetas habrá rastreadores para poder saber que el conductor no se ha desviado o desviado de su ruta de recogida del día.
- El papeleo posterior a la recogida incluirá un certificado de destrucción segura de datos para cada dispositivo, vinculando la pegatina con código de barras al número de serie del dispositivo y al número de serie de los discos duros que contiene.
- Enumerarán las normas a las que se adhieren y las certificaciones que poseen, que deben cubrir temas como la gestión de la calidad, la gestión medioambiental, la gestión de la seguridad de la información y la destrucción segura de material confidencial.
Es bastante fácil encontrar una empresa que realice estos servicios sin costo directo para usted, siempre y cuando se les permita obtener beneficios del reciclaje de dispositivos electrónicos.
De la cuna a la tumba
La salvaguarda de los datos comienza en el momento en que los datos se escriben o crean por primera vez en un dispositivo y dura hasta que ese dispositivo se retira del servicio activo y se garantiza inequívocamente que los datos se han purgado del mismo.
En resumen
Tus datos guardan muchas claves de parte de tu vida, y su destrucción debe tratarse con tanto cuidado como su protección mientras sirven para algo.
Por suerte, existen muchos métodos para mantenerse a salvo y garantizar la destrucción de sus datos. Eso sí, no confíes en “llevarlo todo a la papelera de reciclaje”: es tan valioso como dejar la llave de la puerta de casa debajo de una maceta.