La importancia del borrado de datos

Los datos son, posiblemente, el elemento más común en cualquier empresa pero también son una de las principales responsabilidades a las que se enfrenta cualquier organización y, por ello, su tratamiento y destrucción ha de ser muy meticuloso.

 

Las empresas basan su actividad en la información sin importar su tamaño o el sector: bases de datos, documentos de texto, archivos, imágenes, etc. El ciclo de vida de la información, de forma simplificada, consta de tres fases: generación, transformación y destrucción.

 

Cuando la vida de los documentos llega a su fin, se deben emplear mecanismos de destrucción y borrado para evitar que queden al alcance de terceros.

 

Además entre la información que manejan las empresas hay información crítica que de verse comprometida, destruida o divulgada puede hacer tambalearse o incluso interrumpir el quehacer de la empresa. Son ejemplos de esta información crítica todos los documentos confidenciales y los datos de carácter personal.

 

Con el borrado y destrucción de soportes de información no solo se busca proteger la difusión de información confidencial de una organización. También se busca proteger la difusión de datos personales que puedan contener los soportes.

Ilustración de destrucción de discos duros. Borrado de datos

La legislación actual

La legislación y normativa actuales hacen que la destrucción segura de información confidencial constituya un acto igual de importante que su correcto almacenamiento o la restricción del acceso a ésta, ya que de lo contrario esos datos confidenciales que han dejado de ser útiles pueden llegar a manos malintencionadas.

 

Son muchos los casos de sanciones interpuestas por la AEPD por la falta de diligencia en la destrucción de datos personales, que por ejemplo son tirados en lugares públicos (papeleras, contenedores, etc.), que no habían sido debidamente destruidos (triturados, desmagnetizados, sobrescritos, etc.), en la mayoría de los casos documentos impresos, por lo evidentemente llamativo que resulta encontrarse con datos bancarios, médicos, de menores, etc., en una papelera.

En definitiva una correcta destrucción de la información quiere evitar:

 

  1. Las sanciones legales por incumplimiento de la legislación que regula el tratamiento de la información de carácter personal.
  2. Los daños de imagen derivados de la divulgación de información que debería haberse borrado o de soportes y equipos, con información confidencial, que deberían haberse destruido.
  3. Costes de conservación y custodia más allá del tiempo necesario.
  4. Riesgos por robo o uso indebido de información confidencial. 

La destrucción de los datos de carácter personal

Según la LOPD, datos de carácter personal son «cualquier información concerniente a personas físicas identificadas o identificables».


Son datos de carácter personal por ejemplo: nombres de usuarios, nombres y apellidos, direcciones postales, números de teléfono, DNI,
formación, profesión, números seguridad social, correos electrónicos, firma electrónica, pruebas, diagnósticos y tratamientos médicos,
rendimiento deportivo, edad, raza, afiliación política, cuentas en bancos, compras, suscripciones, visitas a páginas web, direcciones IP, uso
de los servicios contratados, fotos, grabaciones de audio o videos de cámaras de seguridad, etc.

 

Son también datos personales la información de identificación personal o PII (Personally Identifiable Information) como intereses, gustos,
geo-localización, ADN o información biométrica, es decir, toda información que pueda servir para averiguar la identidad, localizar o contactar a una persona o a un individuo a través del contexto.

 

En cuanto a destrucción de información, el Reglamento de Protección de datos de carácter personal menciona:

 

«Art. 92.4 Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a

su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.»

 

Y más adelante, sobre las copias:


«112.2 Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información
contenida en las mismas o su recuperación posterior.»

Destrucción certificada

La norma ISO 15713: 2010 Destrucción segura del material confidencial, código de buenas prácticas sirve de complemento a la
LOPD para la destrucción de documentos que contienen datos personales en cualquier tipo de soporte. También es útil si queremos garantizar la destrucción de datos confidenciales, en el caso de que nos obligáramos a ello por un contrato o acuerdo con otra empresa.

 

La norma define los requisitos para la gestión y control de recogida, transporte y destrucción del material confidencial. Indica los niveles de destrucción (nivel de triturado) según el tipo de información a eliminar y el soporte. Los niveles más altos hacen que la recuperación de la información sea más difícil. Hay empresas (como comentaremos en el apartado de Soluciones del Catálogo) que realizan la destrucción según esta norma y emiten un certificado.

¿Qué método debo usar para la destrucción de datos?

Los medios eficaces que evitan completamente la recuperación de los datos contenidos en los dispositivos de almacenamiento son: la desmagnetización, la destrucción y la sobreescritura en la totalidad del área de almacenamiento de la información.

 

Desmagnetización

La desmagnetización consiste en la exposición de los soportes de almacenamiento a un potente campo magnético, proceso que elimina los datos almacenados en el dispositivo.

 

Este método es válido para la destrucción de datos de los dispositivos magnéticos, como por ejemplo, los discos duros, disquetes, cintas
magnéticas de backup, etc.

 

Cada dispositivo, según su tamaño, forma y el tipo de soporte magnético de que se trate, necesita de una potencia específica para asegurar la completa polarización de todas las partículas.

Destrucción física

El objetivo de la destrucción física es la inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena. Existen diferentes tipos de técnicas y procedimientos para la destrucción de medios de almacenamiento:

Desintegración, pulverización, fusión e incineración: son métodos diseñados para destruir por completo los medios de almacenamiento. Estos métodos suelen llevarse a cabo en una destructora de metal o en una planta de incineración autorizada, con las capacidades específicas para realizar estas actividades de manera eficaz, segura y sin peligro.

Trituración: las trituradoras de papel se pueden utilizar para destruir los medios de almacenamiento flexibles. El tamaño del fragmento
de la basura debe ser lo suficientemente pequeño para que haya una seguridad razonable en proporción a la confidencialidad de los datos que no pueden ser reconstruidos. Los medios ópticos de almacenamiento deben ser destruidos por pulverización, trituración de corte transversal o incineración. Cuando el material se desintegra o desmenuza, todos los residuos se reducen a cuadrados de cinco milímetros (5mm) de lado.

Como todo proceso de destrucción física, su correcta realización implica la imposibilidad de recuperación posterior por ningún medio conocido.

Sobre-escritura

La sobre-escritura consiste en la escritura de un patrón de datos sobre los datos contenidos en los dispositivos de almacenamiento. Para
asegurar la completa destrucción de los datos se debe escribir la totalidad de la superficie de almacenamiento. La sobre-escritura se realiza accediendo al contenido de los dispositivos y modificando los valores almacenados, por lo que no se puede utilizar en aquellos que están dañados ni en los que no son regrabables.

¿Tu empresa tiene una política de borrado seguro?

Toda empresa debe contar con una política de borrado seguro de la información de los dispositivos de almacenamiento con los que trabaja, que contenga al menos los siguientes elementos:

Gestión de soportes adecuada:

  1. Realizar un seguimiento de los dispositivos que están en funcionamiento, las personas o departamentos responsables, la información contenida en ellos y su clasificación en función del grado de criticidad para el negocio.
  2. Llevar a cabo la supervisión de los dispositivos que almacenan las copias de seguridad de estos datos.
  3. Controlar cualquier operación realizada sobre un dispositivo: mantenimiento, reparación, sustitución, etc.
  4. En los traslados de los dispositivos de almacenamiento a instalaciones externas a las de la empresa, asegurar que se cumple la cadena de custodia de los mismos, para evitar fugas de información.

Documentación de las operaciones de borrado realizadas:

Al seleccionar una herramienta de borrado, elegir aquella que permita la obtención de un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado.

 

En el caso de que la destrucción lógica no se realice correctamente por fallo del dispositivo, este hecho debe documentarse claramente y utilizar métodos de destrucción física de dicho soporte, asegurando que se realice de forma respetuosa con el medio ambiente.

Esperamos que esta información te haya resultado de interés y te recordamos que nos tienes a tu disposición si necesitas destruir discos duros de forma segura y eficaz. Llegado el caso debes tener en cuenta que la única garantía es proceder a la destrucción lógica y física del soporte y solicitar después un certificado de destrucción que corrobore el procedimiento realizado.

Fuente: INCIBE

Si quieres que te ayudemos con cualquier necesidad relacionada con nuestros servicios de IT y marketing en tu empresa, no dudes en contactar con nosotros. 
Estaremos encantados de ayudarte, mientras tanto, puedes consultar alguno de nuestros últimos trabajos aquí.