Inegavelmente, se você tem defesas tecnológicas, governança de TI robusta e uma força de trabalho com consciência cibernética., seus dados estão protegidos, replicados e com backup. Isso é ótimo, mas há apenas mais uma coisa que você precisa saber: Por que você deve destruir seus próprios dados.
Por que você deve destruir seus próprios dados
Considerando os esforços que fazemos para proteger os dados e satisfazer a aparente dicotomia de garantir que eles sejam acessíveis e seguros, é contraintuitivo considerar a destruição intencional de dados não apenas como um requisito, mas como uma necessidade.
Há vários motivos pelos quais você precisaria fazer isso.
Substituição de hardware
O hardware envelhece e, como todas as máquinas, tem uma vida operacional finita.
Quando servidores, computadores de mesa, laptops, dispositivos de armazenamento conectado à rede e dispositivos móveis, como celulares e tablets, são redundantes, eles devem ser descartados.
O dispositivo pode ser substituído devido a uma falha de hardware.
Algumas empresas não esperam pela falha, elas gerenciam proativamente a retirada do hardware para evitar tempo de inatividade imprevisto.
Diferentes classes de dispositivos recebem uma duração em serviço e, quando atingem essa idade, são substituídos.
As substituições de dispositivos também podem ser motivadas por fatores externos, como o lançamento de uma nova versão do Microsoft Windows.
Se o seu hardware antigo não tiver a potência necessária para executar o novo sistema operacional, ele terá que ser substituído.
Reutilização de hardware
Se alguém deixar o cargo e o laptop ou desktop for reimplantado para o substituto, será necessário limpar o dispositivo com segurança antes de entregá-lo ao novo membro da equipe.
Motivos legislativos ou de conformidade
A legislação, como o Regulamento Geral sobre a Proteção de Dados, obriga as organizações a declarar publicamente (geralmente em sua Política de Privacidade on-line) por quanto tempo reterão informações de identificação pessoal – dados pessoais -. Isso é chamado de período de retenção.
A retenção de dados além do período de retenção declarado pode levar a violações graves das políticas de privacidade e proteção de dados, além da atenção indesejada da autoridade supervisora relevante. Isso sem falar nos custos indesejados e nos danos à sua reputação.
Dando tudo de si
São feitos grandes esforços para evitar que os agentes de ameaças coloquem as mãos em seus dados.
Descartar um hardware antigo sem pensar nos dados que estão nele é como entregar esses dados diretamente aos bandidos.
Você não joga documentos confidenciais em papel no lixo comum. Você os tritura para torná-los inacessíveis e ilegíveis. Você também precisa apagar com segurança os dados do hardware antigo.
Além das implicações comerciais do vazamento de informações corporativas confidenciais, se alguma informação de identificação pessoal estiver incluída nos dados, isso será considerado uma violação de dados acionável na Europa.
Como limpar discos rígidos com segurança
Há poucas maneiras de remover com segurança seus dados de um disco rígido ou de torná-lo ilegível. Você pode:
- Sobrescrever os dados
- Desmagnetizar as unidades
- Danificar ou destruir fisicamente as unidades
Cada uma dessas técnicas tem vantagens e desvantagens, e algumas empresas usam mais de uma delas ao mesmo tempo.
Sobregravação de dados
Quando um sistema operacional exclui um arquivo, ele remove o nome do arquivo da lista de arquivos no disco rígido e, em seguida, marca o espaço no disco rígido onde o arquivo estava armazenado como disponível para reutilização.
Eventualmente, essa região do disco rígido será substituída por outro arquivo. Se essa área da unidade não tiver sido sobrescrita, é fácil recuperar os dados do arquivo excluído – eles estão ali mesmo no disco rígido, onde costumavam estar.
Excluir todos os arquivos antes de descartar um disco rígido ou computador antigo não é suficiente para impedir o acesso não autorizado aos dados excluídos. Eles precisam ser sobrescritos propositalmente.
Pacotes de software especializados podem ser usados para gravar valores de dados em todos os pontos de dados possíveis em um disco rígido, eliminando tudo o que foi armazenado anteriormente nele.
No entanto, a substituição é lenta, especialmente se você estiver limpando discos rígidos de alta capacidade ou se tiver uma grande pilha de unidades para trabalhar.
O software de substituição não é uma maneira infalível de limpar com segurança uma unidade de estado sólido (SSD).
Você precisa consultar o site do fabricante e obter o utilitário específico da marca para apagar completamente uma de suas SSDs.
A substituição de dados em uma unidade física ou o apagamento completo de uma SSD não danifica a unidade em si.
Ela pode ser reutilizada. Se você estiver limpando uma máquina para passar para outro funcionário ou doar para uma instituição de caridade, esse é um bom método a ser usado.
Desmagnetização
Os discos rígidos físicos tradicionais armazenam seus dados como padrões magnéticos nos pratos giratórios. A desmagnetização usa campos magnéticos fortes para interromper esses padrões, embaralhando efetivamente todo o disco rígido.
A desmagnetização não é seletiva, não é possível desmagnetizar os pratos por si só; em vez disso, ela destrói todo o mecanismo do disco rígido.
Isso significa que, muitas vezes, ele apaga os dados do firmware do servocontrolador, tornando a unidade inoperante. Isso reduz ainda mais as chances de alguém ler os dados dessa unidade.
No entanto, se o seu plano era reutilizar a unidade depois que ela fosse limpa, a desmagnetização não é a melhor opção.
Mesmo que a unidade ainda funcione após a desmagnetização, você terá uma unidade com dúvidas quanto à sua longevidade e terá acabado de perder a garantia.
As máquinas de desmagnetização são caras. Existem varinhas de desmagnetização mais econômicas, mas para garantir a destruição, você precisa usar uma unidade de desktop potente.
E como as SSDs não usam magnetismo para armazenar seus dados, a desmagnetização não funciona em SSDs.
Destruição física de unidades
Se feito corretamente, é garantido que funcionará. A destruição do disco rígido elimina todas as chances de recuperação de dados.
Para destruir completamente um disco rígido mecânico, você pode fazer uma série de furos nele, em distâncias escalonadas, indo para fora, próximo ao centro.
Você pode fazer isso de forma mais primitiva com um martelo grande e alguns pregos de 10 cm (quatro polegadas). Coloque a unidade em um bloco de madeira e acerte alguns pregos nos pratos, quebrando-os.
Por incrível que pareça, há trituradores nos quais você pode jogar discos rígidos e eles são pulverizados.
Eles custam uma fortuna, fazem muito barulho e sacodem o prédio, mas existem.
O ponto a ser observado é a inclinação das rodas de trituração.
Em geral, elas têm cerca de 2,5 cm (uma polegada) de distância.
Alguns dos chips dentro dos SSDs são menores do que isso, portanto, os chips recuperados podem ser retirados das aparas, transplantados para unidades doadoras e ressuscitados.
Para a destruição de unidades, ouvi falar de organizações que fecharam acordos com fábricas de recuperação de metais que derreteram as unidades para elas sem nenhum custo e reciclaram o metal.
Além de lidar com a questão da destruição de dados, isso ajudou o programa de sustentabilidade e as metas ecológicas da organização.
A nuvem e o software como serviço
Com a adoção maciça do armazenamento em nuvem, não é apenas com os discos rígidos locais que você precisa se preocupar. Seus dados agora estão nos discos rígidos de outra pessoa.
Um data center monitorará a integridade de seus discos rígidos e os substituirá ao primeiro sinal de que um problema está se aproximando. Como eles descartam as unidades antigas e seus dados? E, de qualquer forma, como eles apagarão seus dados se você mudar para um provedor de nuvem diferente?
As mesmas considerações precisam ser feitas em relação aos provedores de software como serviço (SaaS).
Em geral, um data center tradicional é obrigado por contrato a destruir os dados com segurança ao final de um contrato e a fornecer confirmação por escrito de que isso ocorreu. Esse tipo de rigor é muito mais raro nos provedores de SaaS.
Certifique-se de que a destruição de dados faça parte de seu contrato ou acordo antes de se envolver com eles.
Escreva-o por escrito e garanta que uma declaração ou certificado de destruição segura de dados seja uma entrega acordada.
Não apenas discos rígidos
Qualquer coisa em que você possa armazenar dados deve ser destruída ou limpa antes de ser descartada ou reutilizada. Isso significa que:
- CDs
- DVDs
- Fitas de backup
- Discos rígidos externos
- Pendrives USB
Os telefones celulares são outra categoria importante que exige a destruição cuidadosa dos dados.
Uma simples redefinição de fábrica geralmente não é suficiente devido às ferramentas de recuperação de dados que podem contornar essa medida.
Para uma limpeza mais segura, use um software especializado projetado para dispositivos móveis ou consulte as diretrizes do fabricante do telefone.
Até mesmo dispositivos como impressoras multifuncionais podem reter grandes quantidades de informações à medida que os documentos são enviados a elas para serem copiados, impressos ou digitalizados.
Encontre um parceiro confiável
Às vezes, as empresas de reciclagem oferecem certificados de destruição segura de dados para computadores e outros equipamentos de processamento de dados que coletam de você.
Uma boa empresa demonstrará rigor de ponta a ponta em seu processo.
- O equipamento será etiquetado com um código de barras quando for coletado.
- Deve ser fornecido um manifesto de coleta dos equipamentos coletados, listando o código de barras e a etiqueta ou o número de série do dispositivo que recebeu o adesivo.
- Eles terão rastreadores em suas vans para que possam saber se o motorista não se desviou ou se afastou da rota de coleta do dia.
- A papelada após a coleta incluirá um certificado de destruição segura de dados para cada dispositivo, vinculando o adesivo com código de barras ao número de série do dispositivo e ao número de série dos discos rígidos dentro do dispositivo.
- Eles listarão os padrões aos quais aderem e as certificações que possuem, que devem abranger tópicos como gerenciamento de qualidade, gerenciamento ambiental, gerenciamento de segurança de informações e destruição segura de material confidencial.
É muito fácil encontrar uma empresa que realize esses serviços sem custo direto para você, desde que ela tenha permissão para lucrar com a reciclagem de dispositivos eletrônicos.
Do berço ao túmulo
A proteção de dados começa no momento em que os dados são gravados ou criados pela primeira vez em um dispositivo e dura até que esse dispositivo seja retirado do serviço ativo e os dados sejam inequivocamente garantidos como tendo sido eliminados dele.
O resultado final
Seus dados contêm muitas chaves para parte de sua vida, e a destruição deles deve ser tratada com o mesmo cuidado com que você os protege enquanto servem a um propósito.
Felizmente, há muitos métodos para se manter seguro e garantir a destruição de seus dados. Só não confie em “mover tudo para a lixeira” – isso é tão valioso quanto deixar a chave da porta da frente embaixo de um vaso de flores.