Cómo elegir un proveedor de descarte de activos de IT

martes, 10 de marzo de 2020 by Tilly Holland

Ya sea por traslado a nuevas oficinas, actualización de inventario de IT o traspaso a la nube, en algún momento se generará una redundancia de hardware de IT y como resultado de ello, será necesario garantizar la eliminación de cualquier tipo de datos alojados en esos equipos.

Al momento de elegir un nuevo socio en quien confiar la gestión de los datos confidenciales y los activos de IT, podemos encontrarnos frente a un dilema. ¿De qué manera sabremos si hemos elegido la opción correcta? ¿Qué criterios, lineamientos de la industria o mediciones de desempeño debemos aplicar para garantizar que nuestra decisión sea la correcta?

Descarte adecuado de los dispositivos

Al elegir un asociado de ITAD (Descarte de Activos de IT, por sus siglas en inglés), debemos asegurarnos de que ofrezca exhaustivas trazas de auditoría, a fines de conocer la ubicación del hardware en todo momento y su destino final, es decir, si el equipamiento fue revendido, reutilizado o reciclado. Sin importar el recorrido futuro que haga el hardware, debes evaluar las distintas opciones que garantizan la eliminación de forma segura todos los datos almacenados en el hardware.

Existen tres métodos principales a tener en cuenta, aunque en algunos casos tal vez sea necesario una combinación de estos métodos para lograr el resultado requerido. Esto dependerá de tus propias políticas internas, como así también del tipo de dispositivo a descartar.

Entre las opciones de eliminación segura de datos encontramos las siguientes:

Sobrescritura/limpieza de datos – Este es el método de borrado de datos más difundido, ya que permite la reventa/reutilización de los dispositivos y garantiza la eliminación segura de todos los datos. Existen muchas soluciones de borrado de datos por software disponibles en el mercado que permiten la eliminación completa de los datos, a la vez que crean un informe para demostrar que han sido eliminados de manera adecuada. Debes asegurarte de que cualquier proceso de sobrescritura o limpieza de datos cumpla con los estándares NCSC (anteriormente CESG). También es recomendable preguntarle al proveedor qué es lo que sucede con los dispositivos que no es posible limpiar utilizando software. ¿Son destruidos físicamente? ¿Y qué sucede con las unidades híbridas o de estado sólido? ¿De qué manera gestiona el proveedor elegido estas tecnologías?

Desmagnetizado – Se utiliza un dispositivo que produce un fuerte campo electromagnético para destruir todos los datos grabados de forma magnética, lo que desordena los dominios de los discos rígidos con patrones aleatorios, sin preferencia de orientación y, por lo tanto, tornando irrecuperables los datos existentes. Al momento de elegir un Desmagnetizador, debes también confirmar que esté aprobado por NCSC, ya que esto garantiza que ha sido probado y verificado de forma independiente.

Triturado – A diferencia de la desmagnetización de dispositivos magnéticos, las trituradoras de discos rígidos, SSD, mini tabletas y dispositivos móviles garantizan una destrucción física de los dispositivos. Existe una amplia gama de trituradoras disponibles, dependiendo de las necesidades de tu organización. Cada una de ellas ofrece una protección segura de la información crítica de tu compañía.

Consecuencias de una sanitización inadecuada

Las consecuencias comerciales de una filtración de datos pueden ser muy significativas. No solamente se verá perjudicada la reputación de tu compañía, en caso de que se publique información de los clientes en una filtración, sino que, si alguien accede, roba o comparte información que es Propiedad Intelectual de la compañía, tu compañía puede perder su ventaja competitiva.

Desde el punto de vista legal, si alguien tiene acceso a dispositivos que contienen información confidencial de clientes o empleados, es posible que la compañía infrinja el reglamento General de Protección de Datos (GDPR, sus siglas en inglés), lo que llevará a cuantiosas multas por parte de la ICO, que pueden alcanzar los 20 millones de euros o el 4% de los ingresos globales.

El alto valor de los datos hace que cada compañía, y cada individuo, sea un potencial objetivo para un ciberdelincuente. Por lo tanto, las organizaciones deben implementar todas las medidas posibles para minimizar el riesgo de compromiso de sus datos, como así también comprender los requerimientos normativos. Por ejemplo, una organización que gestione información personal acerca de las personas, tiene obligaciones con respecto a proteger esa información según lo establecido en el GDPR y las autoridades tienen la obligación de publicar la información oficial, según la Ley de Libertad de la Información. De acuerdo a la normativa GDPR, las organizaciones deben además obtener el permiso de las personas para recopilar información, informar a esas personas de qué manera se utilizará esa información y garantizar su eliminación segura luego de transcurrido un tiempo preestablecido.

Uno de los especialistas de borrado de datos de Ontrack recomienda lo siguiente:

"Las organizaciones deben implementar el mismo nivel de cuidados al momento de descartar datos y dispositivos, que los que se implementan sobre un entorno de IT activo. Resulta imperioso comprender el ciclo de vida completo de los datos y activos de IT, para garantizar que cualquier interrupción en el proceso sea solucionada. Las organizaciones deben reevaluar regularmente sus métodos de transferencia, retención y borrado de datos, asegurándose de contar con un preciso catálogo de los archivos. Además, las organizaciones deben asegurarse de que los proveedores externos confirmen su cumplimiento con la normativa".

Acreditaciones y trazas de auditoría

Al momento de contratar los servicios de un proveedor para gestionar tus datos, debes asegurarte de que pueda generar una completa traza de auditoría, de manera de que puedas saber la ubicación de tu equipamiento (y de tus datos) en todo momento. ¿Qué evidencias de borrado o destrucción de datos puede ofrecer? Es recomendable confirmar si utiliza un software de borrado de datos aprobado por NCSC y que, en caso de solicitar la destrucción física por triturado, emita un certificado de destrucción.

También resulta fundamental confirmar si el proveedor cuenta con antecedentes comprobados dentro de la industria. Indaga cuáles son las acreditaciones obtenidas y cuáles son los estándares y las normativas a las que adhiere. Como regla, cualquier proveedor de ITAD elegido debe cumplir con la Directiva de Residuos de Aparatos Eléctricos y Electrónicos de la UE (WEEE) y debe contar con una licencia de transporte de residuos. Además, puede contar con Instalaciones de Tratamiento Autorizado Aprobadas (AATF).

Deben tenerse en cuenta los aspectos fundamentales de sus políticas medioambientales y procesos subsecuentes. Por ejemplo, ¿adhiere a alguna norma medioambiental, por ejemplo ISO 14001? ¿Qué porcentaje del equipamiento es reutilizado, revendido o refinado y cuál es su política de vertederos/rellenos sanitarios?

Otra norma ISO que es indicador de una sólida reputación de proveedor es la 27001, que confirma, entre otros aspectos, que cuenta con sistemas establecidos para el descarte seguro del equipamiento de IT redundante y para la destrucción segura de todos los datos confidenciales.

También es importante que adhiera a estándares específicos de la industria, como ser miembro de ADISA. ADISA (la Alianza de Seguridad de la Información y Descarte de Activos) es una organización que recomienda estándares para el descarte seguro de equipamiento de IT, que minimizan los riesgos de exposición y mal uso de cualquier dato sensible alojado en ese equipamiento. El proceso de auditoría de ADISA es multicapa e incluye auditorías completas, auditorías operativas por sorpresa y auditorías forenses. Esto implica que las compañías certificadas por ADISA son evaluadas constantemente con respecto a este estándar específico de la industria.

Confirma dónde están tus datos y quién los tiene

¿Qué tipo de garantías ofrece el proveedor elegido con respecto al transporte del equipamiento que contiene los datos? Si utiliza un proveedor externo en su cadena de suministros, ¿qué garantías existen con respecto a la implementación de una sólida cadena de custodia de tu equipamiento? Por ejemplo, debes confirmar que cualquier vehículo utilizado en el proceso cuente con rastreo por GPS activado.

También debes hacer preguntas con respecto al personal, en particular si contratan a terceros o a personal temporario. Confirma si sus empleados han superado las evaluaciones de antecedentes relevantes y verificaciones de seguridad, y qué tan recientes fueron dichas verificaciones.

Al hacer estas preguntas, estarás mejor posicionado para elegir un ITAD que ofrezca el más alto nivel de seguridad y cumplimiento normativo. Si tus datos caen en las manos incorrectas, esto puede provocar un desastre en tu organización. Por ello, debes asegurarte de que cualquier proveedor que elijas ha sido  exhaustivamente evaluado previamente.