Cómo Prevenir las Filtraciones de Datos La Implementación del Sistema de Gestión del Borrado Seguro de Datos (SGBSD).

La mayoría de las organizaciones poseen de manera consciente o no, de manera documentada o no, uno o más procesos que involucran el tratamiento de datos; estos procesos deben ser identificados y controlados a partir de que la información es recogida y hasta su encriptación, anonimización y su destrucción segura y certificada. Previamente a todo ello, se debe implementar el Sistema de Gestión del Borrado Seguro de Datos (SGBSD). La gestión adecuada del ciclo de vida del dato es esencial para garantizar la seguridad, privacidad, cumplimiento normativo y confiabilidad de los datos.

El ciclo de vida del dato, es el conjunto de fases que un dato atraviesa desde su creación hasta su destrucción, estas fases son: Creación/Obtención. Almacenamiento. Procesamiento. Distribución. Destrucción segura y certificada. Esto debe aplicarse tanto a los dispositivos móviles como a los equipos fijos.

La Política de SGSI es el documento más importante de la ISO 27001, donde se debe definir algunos temas básicos sobre la seguridad de la información en la organización.

Teniendo en cuenta la política de clasificación de la información, hay que asegurar que independientemente del soporte en el que se encuentre, la información sensible o critica de “La Organización” no quede desprotegida. La implementación de un SGBSD proporciona varias ventajas operativas que permiten un mejor aprovechamiento respecto de la simple ejecución de métodos de Borrado Seguro.

El SGBSD permite:

• Definir alcances, objetivos y políticas, en el tratamiento de datos, incluidos los procesos que requieran Borrado Seguro.
• Tener un inventario de los datos en los sistemas de tratamiento con tal finalidad.
• Establecer plazos de conservación de los medios de almacenamiento
• Gestionar los medios de almacenamiento involucrados en el tratamiento de datos. Como discos duros y láser, CD, DVD´s, cintas magnéticas, discos Zip, Jaz, duperDisk, memorias USB entre otros.
• Disponer de lugares seguros físicos, para el almacenamiento de soportes tecnológicos de información y la realización de los borrados seguro y certificado, con acceso restringido a los empleados autorizados a su tenencia y uso.
• Mantener un registro de la custodia de los activos que abandonan la organización y realice evaluaciones de riesgo para instalaciones donde serán utilizados:
  • Cuando se trata de la retirada de un activo de información ya sea equipos, software u otros dispositivos de información deberíamos controlar:
  • La identificación y autorización de personal autorizado a retirar equipos o activos fuera de la organización
  • Fijar límites de tiempo.
  • Llevar un registro de equipos retirados y de su retorno así como de la identificación de personal.

• Seguridad en la reutilización de los equipos que van a ser reutilizados por distinto personal originario o de distinta área de la Corporación se debería garantizar

• La información que contenían se ha destruido o sobre escribido correctamente antes de su reutilización
• Garantizar que la información se ha eliminado completamente considerando que los formateos estándar no realizan esta tarea de forma adecuada.
• Los equipos averiados deben estar sujetos a una evaluación de riesgos antes de disponer de ellos para una reparación

• Tener una visión de las responsabilidades legales y contractuales que se tienen sobre el resguardo y eliminación de los medios de almacenamiento.
• Implementación de automatismo papeleras de borrado con consola de certificación.
• No recopiles ni almacenes más información de la que necesitas 
• Contar con revisiones y auditorías para validar los procesos de Borrado Seguro.
• Documentar los procesos que requieran Borrado Seguro de los datos.

Los requisitos deben ser, no solamente a los proveedores sino que también los requisitos para toda la cadena de suministro. La seguridad también está afectada lo que los proveedores subcontraten.

• Establecer los criterios de elección del proveedor para el servicio del borrado, en cuanto a que apliquen los requisitos del ENS y la acreditación del Centro Criptológico Nacional.
• La evaluación de certificaciones y acreditaciones a un servicio o producto en concreto debe determinar el establecer los criterios que se requiere a la hora de elegir los estándares de borrado.
• Exigir la trazabilidad de la custodia de la extracción de los datos y de la destrucción del contenido y del continente.

Escenario de riesgo por la falta de Borrado Seguro de los medios de almacenamiento.

Para más información, visite www.deletetechnology.com para conocer más sobre sus productos y servicios.

Autor,

Rafael Chust Calero | Director Delete Technology España y Portugal