ActualidadLa necesidad de un borrado seguro para el Esquema Nacional de Seguridad...

La necesidad de un borrado seguro para el Esquema Nacional de Seguridad de España

Análisis

Rafael Chust
Rafael Chust
Actualmente Country Manager España y Portugal en Delete Technology by Blancco Group. Juristam Cybercriminologist, Profesor del CSD y GSI-UNED, Formador del Instituto Valenciano de Seguridad y Emergencias Member by GEMME.

Una de las cuestiones que la mayoría de las empresas españolas tiene pendiente por implantar es una política de borrado seguro y certificado. En este artículo te explicamos su importancia y te ofrecemos una checklist de los pasos a seguir para establecerla y no caer en el Dumpster Diving.

A día de hoy, una gran mayoría de las empresas españolas no cumplen el Esquema Nacional de Seguridad (ENS) que establece, entre otras medidas, la obligatoriedad de un borrado seguro y la destrucción de soportes de información. Estas medidas se establecen conforme a los criterios establecidos por el Centro Criptológico Nacional (CCN), a todo tipo de equipos y soportes susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

Las amenazas presentes y futuras de los ciberataques provocan que sea aún más necesario establecer políticas de ciberseguridad. En concreto, en este artículo destacamos la necesidad de un borrado seguro y certificado que suponga el control y certificación para las administraciones y empresas de hacer desaparecer por completo los datos que recopilan en sus ordenadores o cualquier equipo que almacene información. Como detallaremos más adelante es necesario hacerlo cuando cumplen su objetivo o ha transcurrido el periodo de plazo establecido.

Así, el Esquema Nacional de Seguridad (ENS) aprobado por el Real Decreto 311/2022, establece que:

“Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto del borrado seguro de su contenido que no permita su recuperación. Cuando la naturaleza del soporte no permita un borrado seguro, el soporte no podrá ser reutilizado en ningún otro sistema”.

¿Cómo es la checklist de la Política de Borrado Seguro?

Como decimos, una de las cuestiones que la mayoría de las empresas y administraciones tienen pendientes es implantar políticas de borrado seguro. Esta consiste básicamente en tener controlados los dispositivos de almacenamiento con los que se trabaja en las empresas y, de esta misma forma, los datos.

La forma más habitual de actuar cuando queremos borrar información es utilizar los comandos de borrado o seleccionar el elemento a borrar y darle a la tecla suprimir para después vaciar la papelera de reciclaje y eliminar los archivos, formatear el equipo o tirar a la basura el dispositivo que contiene la información cuando este deje de funcionar.

Sin embargo, ninguna de estas formas de borrado se puede considerar segura porque realmente no se elimina totalmente la información. Con las herramientas adecuadas, es posible recuperar los datos de un dispositivo formateado o de un fichero eliminado, incluso después de vaciar la papelera de reciclaje.

Resetear no es borrar

Cuando cambiamos de terminal (ya sea ordenador portátil, smartphone o tablet), en cumplimiento de la ley el proveedor debe exigir al propietario de los terminales el cumplimiento del artículo 92.4 del Real Decreto 1720/2007, del 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD que dice:

“Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior”.

Realizar un factory reset (restaurar de fábrica) o reinstalar el sistema operativo solo sirve para borrar la referencia del archivo. Los datos continúan en la memoria hasta que son sobreescritos con otra serie de datos. Los datos de la organización no deberían acabar en soportes indebidos por no implementar una política de borrado seguro y certificado. Por ello es necesario borrar de forma correcta la información cuando dejamos de utilizar un ordenador, o los servicios de terceros en la nube.

Cuidado con el Dumpster Diving

El término Dumpster Diving (buceo en el contenedor), surgió en la década de los 80. El término Dumpster proviene de Dempster Dumpster, una marca de contenedores fabricados por Dempster Brothers en la década de los 40. El concepto también se ha denominado de otras formas como, bin-diving, containering, D-mart, dumpstering, totting, y skipping

En Australia, la recolección de basura se conoce como skip dipping. El buceo en el contenedor del disco duro en informática supone la exploración de la papelera de un sistema operativo con el fin de encontrar piezas de información. Se trata de una técnica de hacking que tiene como objetivo el obtener información sobre personas u organizaciones, rescatando la información a través de las papeleras del escritorio que erróneamente se ha considerado que estaban destruidas al trasladarse la información a estas. Entre los datos que se pueden obtener de esta forma están:

  • Códigos de acceso y contraseñas.
  • Números de teléfono, correos electrónicos de empleados
  • Direcciones domiciliarias de clientes, socios comerciales, proveedores y familiares.
  • Diseños de productos, planos y borradores de planes de negocio.
  • Diagramas de redes, información sobre proveedores de tecnología, equipos, modelos, versiones e incluso detalles del software utilizado.
  • Firmas fácilmente falsificares de números de tarjetas de crédito y cuentas bancarias del personal y clientes comerciales.
  • Currículo en los que aparece gran cantidad de información sobre una persona, como su teléfono, domicilio o dirección de correo electrónico.

La cadena de custodia del dato

Crear una política de plazos de destrucción es clave para una empresa. En ella no solo se debe concretar los plazos, también es necesario designar un responsable que supervise todo el proceso y un protocolo para una destrucción segura de la información.

En el Estado español existen numerosas leyes que obligan por un periodo de tiempo a las corporaciones a conservar según qué tipo de información. Cuando ya no es necesaria por cumplimiento de los plazos o de su finalidad y/o la solicitud del titular del dato de eliminar los mismos han de ser destruidos.

Una Política de Conservación del Dato debe valorar todos estos aspectos que hemos destacado para establecer los controles y plazos de obligada conservación de datos y de la correcta destrucción, para así dar respuesta al cumplimiento (compliance) del dato. No se puede perder el control de los datos en ningún momento. Para establecer una Política de Borrado seguro es necesario:

  • Tener controlados y documentados los dispositivos que contienen datos de la corporación. Incluidos los discos duros de servidores, almacenamientos centrales, y muy importante los dispositivos de copias de seguridad.
  • Se deben incluir las estaciones de trabajo, en caso de que puedan guardar información en sus propios discos, así como si realizamos algún tipo de almacenamiento en nubes. Ante este supuesto, es imprescindible asegurarse que la empresa a quién contratamos este servicio asegure el borrado certificado y acreditado por el Centro Criptológico Nacional.
  • De la misma forma hay que incluir las conexiones remotas en el contexto del teletrabajo, a los que en ningún caso se debe permitir almacenar datos en sus ordenadores.
  • En el caso de almacenamientos en teléfonos móviles o tablet, supervisar y documentar el mantenimiento de los equipos, en caso de que tengan que ser reconfigurados, reparados o cambiados.
  • Asegurar la cadena de custodia, nunca debe salir el contenido sin haber procedido el borrado seguro certificado y acreditado por el Centro Criptológico Nacional.
  • Documentar todas las acciones de borrado.

Plazos de conservación de los datos

En nuestro día a día tendemos a acumular documentos en carpetas, en el archivo de nuestra empresa, y solo destruirlos cuando necesitamos más espacio, pero ¿cuánto tiempo se deben conservar los documentos? En este apartado explicamos los plazos de conservación de datos según sectores:

  • Documentos Contables. El Código de Comercio señala que los libros de contabilidad, entre los que se incluye el Libro Diario o el Registro de balances o de facturas emitidas y recibidas, ha de conservarse por un periodo de 6 años.
  • Documentación laboral y Seguridad Social. El plazo de conservación de los archivos es de 4 años.
  • Documentación médica y sanitaria. Como regla general, el plazo de conservación para documentación clínica es de 5 años, a contar desde la fecha en la que se da de alta el paciente, o de baja en una entidad médica privada.
  • Datos recogidos por establecimientos hoteleros, hospedajes y alquileres de vehículos. Los libros de registro de entrada en los establecimientos hoteleros deberán almacenarse durante 3 años, a disposición de los Cuerpos y Fuerzas de Seguridad del Estado.

Ejemplos del no cumplimiento tenemos cada día en el Estado español. Algunos de los casos más frecuentes son:

  • La confirmación de la baja en la relación contractual de los ciudadanos en corporaciones sanitarias, financieras, comerciales, operadoras, transportes.
  • Las empresas y administraciones cuando no se borra el curriculum vitae de un solicitante de empleo cuando el puesto ya ha sido cubierto.
  • La petición a las administraciones locales de la baja de empadronamiento de una localidad, la defunción…
  • La petición de borrado de datos policiales y judiciales obtenidos en minoría de edad a la obtención de la mayoría de edad.
  • Conclusión de estudios en los centros educativos reglados o no.
  • Los datos obtenidos tras la compra de billetes de trasporte y abonos una vez ya finalizados los trayectos.

Tras lo expuesto solo me cabe indicar la necesidad ineludible de utilizar software de borrado seguro y certificado acreditados por el Centro Criptologico Nacional de España (CCN-CERT).

Te puede interesar:

Rafael Chust

Actualmente Country Manager España y Portugal en Delete Technology by Blancco Group. Juristam Cybercriminologist, Profesor del CSD y GSI-UNED, Formador del Instituto Valenciano de Seguridad y Emergencias Member by GEMME.

spot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img