Las violaciones de datos son una víctima ineludible de la vida moderna tal como la conocemos. A medida que la tecnología domina nuestro mundo, y nuestras empresas viven literalmente en Internet, no se trata de si seremos atacados, sino de cuándo. Y a pesar de la regulación como el GDPR europeo introducido para tomar medidas enérgicas contra la mala gestión de los datos, el gran volumen de datos comprometidos a diario no muestra signos de desaceleración. De hecho, se han presentado la asombrosa cantidad de 160.000 notificaciones de violación de datos en los primeros 18 meses desde que se instaló GDPR.

Mientras navegamos por este nuevo orden mundial, es imperativo un cambio en las actitudes y el enfoque. Si bien las infracciones y el temor a incurrir en multas por fallas en el cumplimiento normativo han colocado este tema en un lugar destacado en la agenda de la sala de juntas, las organizaciones aún no están haciendo lo suficiente. Quizás aún más preocupante es el hecho de que un número significativo de organizaciones han perdido su confianza en algunos de los conceptos erróneos más comunes de la industria cuando se trata de las mejores prácticas de gestión de datos.

Con demasiada frecuencia, el objetivo es asegurar los datos a nivel empresarial, pero no se presta suficiente atención a la gestión de datos a lo largo de su ciclo de vida. Cada vez más, las empresas están acumulando datos y almacenando hardware fuera de uso sin los métodos adecuados de desinfección de datos para limpiar los dispositivos. Esto solo busca aumentar la superficie de ataque y aumentar aún más el riesgo de una violación. Para enfrentar esta creciente adversidad, es hora de que adoptemos un nuevo rol. Debemos convertirnos en administradores de datos en todos los niveles, para administrar los datos de manera responsable y garantizar la más alta calidad de los elementos de datos críticos.

Una falsa sensación de seguridad

Dirty-hard-drive.original.jpg

En un estudio reciente [encargado por Blancco], se reveló que un tercio de las empresas más grandes del mundo usan métodos inadecuados de desinfección de datos para evitar violaciones de datos al final de su vida útil. Esto plantea preocupaciones importantes, ya que la gestión de datos adecuada debe estar a la vanguardia de todo lo que hace una empresa. A pesar de que un número considerable de empresas carece de los procesos de desinfección de datos adecuados para administrar los datos al final de la vida útil y en equipos fuera de servicio, el 73 por ciento de las empresas encuestadas estuvo de acuerdo en que el gran volumen de dispositivos diferentes al final de la vida deja a su empresa vulnerable a una violación de seguridad de datos.

Sin embargo, las organizaciones aparentemente se han arrinconado en una falsa sensación de seguridad al acumular equipos informáticos antiguos, en lugar de seguir las mejores prácticas y borrar los datos que quedan. Pero, si ese equipo se pierde o se lo roban y no se contabilizan los datos, existe un riesgo masivo de una violación. Enterrar equipos viejos no solo es una violación potencial de seguridad, sino que también puede dañar seriamente los bolsillos. Las multas por fallas en el cumplimiento normativo son potencialmente deslumbrantes y, además, el costo de almacenar equipos que ya no tienen un propósito para el negocio es costoso: dos de cada cinco empresas globales desperdician más de 100.000 dólares por año acumulando equipos informáticos obsoletos.

Las trampas comunes de la desinfección de datos

Pero, ¿dónde más corren riesgos las organizaciones con sus prácticas de desinfección de datos? Principalmente, el uso de métodos de eliminación de datos inadecuados plantea la mayor preocupación. Nuestro estudio reveló que el 36 por ciento de las empresas utilizan métodos de borrado de datos, como formateo, sobrescritura utilizando herramientas gratuitas o herramientas basadas en software de pago sin certificación o destrucción física sin seguimiento de auditoría. El problema con cada uno de estos métodos es que no son completamente seguros y pueden dejar a las empresas abiertas a posibles problemas de seguridad y cumplimiento.

Vale la pena señalar que la destrucción física con un seguimiento de auditoría es en muchos casos un método válido de desinfección, sin embargo, con la creciente popularidad de las unidades de estado sólido (SSD) han surgido algunos problemas nuevos. La destrucción física solo puede garantizar la desinfección completa de los datos de los SSD si el tamaño de la trituración es tan pequeño como dos milímetros, significativamente menor que la salida de las trituradoras comúnmente utilizadas en la destrucción del almacenamiento magnético normal. La desmagnetización es otro método que, de manera similar, funciona al eliminar datos de HDD magnéticos, pero es completamente inútil si se utiliza para eliminar datos de SSD.

Otro problema que surge cuando se almacena hardware fuera de uso es que muchas organizaciones no cuentan con procesos para ejecutar rápidamente el borrado de datos en un dispositivo fuera de servicio. Cuanto más tiempo permanezca almacenado un dispositivo, solo aumentará la responsabilidad y el riesgo potencial de las empresas. El 57 por ciento de las empresas que encuestamos admitieron haber tardado más de dos semanas en borrar los datos del hardware que habían llegado al final de su vida útil.

Y por último, pero no menos importante, algunas organizaciones no tienen una cadena de custodia clara con sus activos de TI, incluso durante el transporte a las instalaciones de destrucción fuera del sitio. El 17 por ciento de las empresas globales informaron que no cuentan con un registro de auditoría para el proceso de destrucción física, y el 31 por ciento admitió no capturar el número de serie de la unidad. Sin una pista de auditoría integral de todos los activos de TI, desde la compra hasta el final de la vida útil, las organizaciones se exponen al riesgo de incumplimiento.

Además, las empresas están descuidando su deber de cuidar los datos que poseen, al no actuar sobre las mejores prácticas de gestión de datos. Esto pone mayor énfasis en la necesidad de administración de datos.

Entonces, ¿qué constituye la mejor práctica?

Hay varias facetas que son importantes para lograr la mejor práctica de saneamiento de datos. En primer lugar, las políticas deben estar actualizadas y bien comunicadas en toda la empresa. Con demasiada frecuencia vemos que las empresas implementan nuevas prácticas pero no las comunican a nivel de toda la empresa. Además, el valor de los datos almacenados debe revisarse periódicamente. Cuando los datos ya no tienen valor para una empresa, deben eliminarse total e irreversiblemente, y la única forma de garantizar que se elimine por completo es a través del borrado de datos.

La mejor práctica debe incluir la integración de la desinfección de datos en un proceso de gestión de activos, asegurando la eliminación remota e inmediata de cualquier activo reasignado o que haya llegado al final de su vida útil. Se necesita una pista de auditoría completa. Y es esencial que las demoras en el procesamiento de datos para el borrado se minimicen, para mitigar el riesgo. También beneficiará la eficiencia operativa si puede automatizar el proceso de desinfección de datos además de sus procesos existentes.

Las organizaciones deben evitar acumular activos de TI antiguos siempre que sea posible. No solo son un riesgo de cumplimiento, sino que con frecuencia el dispositivo o sus partes pueden procesarse para revenderse en el mercado secundario. Esto desbloquea parte del valor latente del dispositivo y ayuda a reducir los desechos electrónicos globales. Finalmente, si la destrucción física es parte del proceso de desinfección de datos de su empresa, entonces se deben tomar medidas para garantizar que se utilicen diferentes métodos para los SSD, prestando atención a los estándares de trituración.

La desinfección de datos ya no debe verse como un elemento "agradable de tener" de prácticas de administración de datos más amplias, dentro de una empresa. Gartner declaró recientemente que "las crecientes preocupaciones sobre la privacidad y la seguridad de los datos, las fugas, el cumplimiento normativo y la capacidad cada vez mayor de los medios de almacenamiento y el volumen de los dispositivos informáticos y de IoT están haciendo que la desinfección de datos robusta sea un requisito central de nivel C".

Por lo tanto, es vital que los datos estén seguros y se evalúen regularmente a lo largo de todo su ciclo de vida, para constituir una gestión de datos adecuada de acuerdo con el cumplimiento normativo. Es crucial que haya un elemento de cuidado, y los empleados de la empresa deben adoptar una función de administración de datos. El riesgo de no hacer esto es enfrentar una posible devastación de datos.

Por Fredrik Forslund, vicepresidente de soluciones de borrado de centros de datos y nube en Blancco