En una época en la que el coste medio de las filtraciones de datos ronda los 8,64 millones de dólares, el saneamiento de los medios es más importante que nunca. Los ciberataques no sólo afectan al nombre de la empresa. El tiempo de inactividad y la pérdida de acceso a sistemas críticos suponen más de la mitad del precio de 8,64 millones de dólares.
De ahí que las empresas deban contar con una estrategia para la manipulación y el saneamiento seguros de los datos. También es importante que cualquier dispositivo que vayas a utilizar en tu empresa y que haya sido manipulado por terceros se someta a un estricto conjunto de normas para garantizar que la información confidencial no caiga en manos de usuarios no deseados.
Ahí es donde entra en juego el saneamiento de soportes. El saneamiento de soportes es el proceso de eliminar de forma segura y exhaustiva los datos del hardware informático, desde dispositivos móviles hasta unidades USB.
A este respecto, el gobierno estadounidense ha publicado el documento NIST SP 800-88 (Guidelines for Media Sanitization). Está publicado por el Instituto Nacional de Estándares y Tecnología. El NIST SP 800-08 contiene procedimientos dinámicos y orientaciones para borrar datos de todo tipo de soportes de almacenamiento. El objetivo del documento es asegurarse de que cualquier dato que se encuentre en un medio de almacenamiento sea irrecuperable.
En esta guía, hablaremos de la desinfección de soportes y de cómo las directrices NISTP SP 800-88 ayudan a que el proceso sea más fácil y claro para las empresas y otras organizaciones.
Las directrices NIST 800-88 proporcionan una orientación rigurosa y exhaustiva para que las empresas y entidades gubernamentales de EE.UU. se aseguren de que siguen las mejores prácticas para la destrucción de datos.
El documento NIST 800-88 es uno de los diversos conjuntos de directrices para el saneamiento de los activos que contienen datos. Estos activos incluyen equipos como servidores, ordenadores portátiles, dispositivos móviles, tarjetas de vídeo y gráficas, unidades de memoria extraíbles, etc.
La última actualización del documento NIST 800-88 Rev. 1, es una de las normas de saneamiento de datos más solicitadas o exigidas por el gobierno federal de Estados Unidos. Las normas del documento, también denominado Publicación Especial 800-88 del NIST, ya han sido ampliamente adoptadas por empresas privadas y organizaciones gubernamentales.
El objetivo del documento NIST 800-88 es establecer los requisitos y proporcionar orientaciones para la aplicación de técnicas de saneamiento (limpieza, purga y destrucción) cuando los soportes vayan a reutilizarse o eliminarse. El documento se centra en la higienización de una copia electrónica, los soportes y la manipulación de materiales impresos. Además, el NIST 800-88 también especifica la responsabilidad de las organizaciones y organismos gubernamentales de garantizar que los datos que recopilan para fines empresariales y de otro tipo se almacenan y eliminan adecuadamente.
El Instituto Nacional de Normas y Tecnología (NIST) define la desinfección como "el proceso general de eliminación de datos de los soportes de almacenamiento, de forma que exista una garantía razonable de que los datos no puedan recuperarse y reconstruirse fácilmente".
Empresas, organismos públicos y otras organizaciones recopilan y almacenan cantidades ingentes de datos. Estos datos incluyen todo tipo de información sensible, como:
La desinfección de soportes es el proceso de destrucción permanente de los datos almacenados en dispositivos de memoria. Los métodos de sanitización de medios deben utilizarse correctamente para garantizar que no se pueda recuperar ningún dato, ni siquiera con herramientas avanzadas de recuperación de datos.
Dado que personas no autorizadas pueden intentar reconstruir datos y acceder a información sensible a partir de soportes que no han sido debidamente saneados, el saneamiento de soportes protege la confidencialidad de la información sensible.
En este sentido, las directrices NIST 800-88 también tenían en cuenta el nivel de confidencialidad de los datos que se manejaban y no sólo el tipo de soporte. Por ello, el documento incluía orientaciones sobre las técnicas de destrucción que deben utilizarse para alcanzar el nivel de saneamiento requerido.
Las directrices NIST 800-88 protegen la confidencialidad de la información sensible y ofrecen las técnicas de destrucción necesarias para alcanzar el nivel de saneamiento requerido. A medida que las organizaciones aplican medidas de ciberseguridad que incluyen sofisticados controles de acceso y cifrado para ayudar a reducir las violaciones de datos y los ciberataques, las personas no autorizadas buscan otras formas de acceder a la información confidencial. Y una de las formas de que la información confidencial caiga en manos equivocadas es cuando se recuperan datos residuales de soportes que han salido de una organización sin la suficiente higienización.
La vulnerabilidad de la protección de datos se produce cuando los dispositivos cambian de manos sin una adecuada higienización de los datos. Dentro de la organización, los datos confidenciales pueden pasar de un entorno de almacenamiento altamente protegido a otro menos protegido. Esto puede ocurrir cuando no se establecen medidas de seguridad para verificar que los datos han sido suficientemente expurgados.
Para ello, la norma del NIST recomienda que las organizaciones establezcan proyectos de saneamiento de datos del siguiente modo:
La minuciosidad del proceso de saneamiento de datos es aún más importante en el caso de los dispositivos de almacenamiento que salen de las ubicaciones físicas de una organización o a los que se puede acceder de otro modo sin medidas de seguridad. Para iniciar un flujo de trabajo de saneamiento de datos, las empresas y organizaciones deben tener en cuenta lo siguiente:
Un extracto de NIST SP 800-88, Rev.1, "Resumen ejecutivo:"
"La aplicación de controles de acceso sofisticados y el cifrado ayudan a reducir la probabilidad de que un atacante pueda obtener acceso directo a información sensible. Como resultado, las partes que intentan obtener información sensible pueden tratar de centrar sus esfuerzos en medios de acceso alternativos, como la recuperación de datos residuales en soportes que han salido de una organización sin la suficiente higienización. . . En consecuencia, la aplicación de técnicas eficaces de saneamiento y el seguimiento de los soportes de almacenamiento son aspectos críticos para garantizar que los datos sensibles estén efectivamente protegidos por una organización contra su divulgación no autorizada. La protección de la información es primordial".
Se pueden utilizar varios métodos para limpiar los datos de los soportes de almacenamiento. Entre ellos se encuentran la desmagnetización, la destrucción física de la unidad, el cifrado y la sobrescritura, de los que hablaremos a continuación.
La desmagnetización es un método de saneamiento de soportes en el que los datos de los soportes de almacenamiento se exponen a un potente campo magnético. La desmagnetización de los discos duros neutraliza los datos, haciéndolos irrecuperables.
La desmagnetización puede ser una forma eficaz de destruir o purgar unidades de disco duro, disquetes y cintas magnéticas. Pero han demostrado ser ineficaces en dispositivos de almacenamiento basados en flash, como las SSD (unidades de estado sólido). Esta es la razón por la que se actualizaron las directrices NIST 800-88: para asegurarse de que la desinfección de medios evoluciona para ponerse al día con los avances tecnológicos en los dispositivos de almacenamiento.
El proceso de sobrescritura incluye la sobreescritura de datos almacenados previamente con patrones aleatorios o específicos en todos los sectores de la unidad. Hace que los datos almacenados en una unidad sean ilegibles, lo que evita la violación de datos. La sobrescritura es muy eficaz en zonas de las unidades magnéticas definidas específicamente y accesibles para el usuario.
Sin embargo, el aumento del uso de unidades basadas en flash o SSD convirtió la sobrescritura en un método insuficiente de borrado de datos. Las unidades de memoria flash son más rápidas, pequeñas y resistentes a los daños. Las unidades SSD también disponen de mecanismos que minimizan el desgaste mediante el uso de áreas de sobredotación no direccionables dentro de la unidad en las que se pueden dejar datos. Esto hace que sea más difícil destruir o borrar datos de ellas.
Aunque el NIST permite una sobrescritura mínima de una pasada para las unidades SSD, las directrices abogan por pasos adicionales para llegar a todos los sectores. Esto significa que la sobreescritura debe combinarse con comandos, tecnologías o herramientas especializadas para acceder a las zonas ocultas de la unidad. Por ejemplo, los usuarios pueden utilizar los comandos de borrado basados en el firmware de la unidad para borrar datos confidenciales.
Por trituración se entiende el proceso de destrucción física de discos duros, teléfonos inteligentes, ordenadores portátiles, impresoras y otros dispositivos de almacenamiento en trozos diminutos mediante grandes trituradoras mecánicas. Es el método más eficaz de saneamiento de datos porque los hace irrecuperables. Salvo que la destrucción de dispositivos electrónicos es perjudicial para el medio ambiente. También es costosa para las organizaciones cuando no pueden reutilizar o revender los dispositivos y medios de almacenamiento. Además, reciclar y reutilizar los dispositivos electrónicos en lugar de destruirlos prematuramente mantiene baja la huella de carbono de los dispositivos.
El cifrado se refiere al método de utilizar software de borrado criptográfico, ya sea incorporado o desplegado manualmente, en todo el conjunto de datos del dispositivo de almacenamiento. Para completar el proceso, se borra la clave que se habría utilizado para descifrar los datos. Sin embargo, este método puede resultar insuficiente, especialmente en el caso de soportes que contengan información altamente confidencial, ya que no hay forma de validar que se han borrado todas las claves de cifrado.
El cifrado también depende en gran medida del fabricante, donde pueden producirse problemas de ejecución. Además, los errores humanos y otros problemas de los equipos, como las claves rotas, pueden hacer que el método de cifrado resulte ineficaz.
Las directrices NIST 800-88 son conocidas por sus categorías de desinfección de medios de limpieza, purga y destrucción para borrar los datos de los dispositivos de almacenamiento al final de su vida útil.
Clear aplica comandos, técnicas y herramientas de lectura/escritura estándar, para proteger la confidencialidad de la información. Puede utilizarse para disquetes, unidades de disco, discos duros ATA (Advanced Technology Attachment), unidades SCSI y soportes flash (memorias USB, tarjetas de memoria). Clear es un nivel de desinfección de soportes que protege las técnicas sencillas y no invasivas de recuperación de datos o las herramientas de recuperación de datos.
Las técnicas de borrado del NIST se utilizan mejor en dispositivos de almacenamiento que no contienen información sensible, ya que no se ocupa de los datos que se encuentran en zonas ocultas o inaccesibles. Pero sigue siendo eficaz para la mayoría de dispositivos. También reduce los residuos, ya que los soportes de almacenamiento pueden reutilizarse.
La purga se refiere a la técnica física que hace irrecuperable la recuperación de datos del objetivo. Se trata de un proceso de desinfección de soportes que proporciona un mayor nivel de protección. La purga utiliza los métodos más avanzados de sobrescritura en laboratorio, borrado de bloques y cifrado. Estas técnicas se recomiendan cuando se trata de datos confidenciales.
Los métodos de purga pueden utilizarse para la mayoría de tipos de soportes y dispositivos electrónicos. Y la desmagnetización se acepta como método de purga para datos magnéticos.
La destrucción física es la forma más extrema de higienización. Existen varios métodos para inutilizar los soportes, como la trituración, la fundición, la pulverización y la incineración. Estos métodos pueden utilizarse para disquetes, unidades de disco duro, discos ópticos y soportes flash.
Este nivel de higienización de datos se recomienda cuando un soporte no puede higienizarse con métodos de limpieza o purga debido a su estado físico. También se utiliza cuando los usuarios quieren asegurarse de que no se recuperarán datos altamente confidenciales.
Tenga en cuenta que el NIST no aconseja que exista un único método para la limpieza de datos. En su lugar, recomienda a los usuarios que tengan en cuenta la confidencialidad de la información y el medio a la hora de tomar decisiones sobre el saneamiento.
El NIST SP 800-88 proporciona directrices, pero no hay forma de medir si una organización las sigue. Por eso, el borrado de Phonecheck cuenta con la certificación ADISA.
ADISA (Asset Disposal and Information Security Alliance) ofrece certificación de normas líderes del sector para empresas que prestan servicios de eliminación de activos informáticos a fabricantes y desarrolladores de soluciones de saneamiento de datos de software y hardware.
ADISA cuenta con un riguroso proceso de certificación que se ajusta a las directrices del NIST. Las empresas que quieran formar parte de la alianza tienen que pasar por la certificación y cumplir los criterios de la organización para ser certificadas.
Tanto si busca para usted como para su empresa, no compre un dispositivo usado sin un informe de historial certificado dePhonecheck . Adquiera uno hoy mismo por lo que cuesta una taza de café.
