Guía sobre almacenamiento y borrado seguro de información OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN Edición: Abril 2011 La “Guía sobre almacenamiento y borrado seguro de información” ha sido elaborada por el equipo del Observatorio de la Seguridad de la Información de INTECO: Pablo Pérez San-José (dirección) Cristina Gutiérrez Borge (coordinación) Eduardo Álvarez Alonso Susana de la Fuente Rodríguez Laura García Pérez El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrollará actuaciones en las siguientes líneas: Seguridad Tecnológica, Accesibilidad, Calidad TIC y Formación. El Observatorio de la Seguridad de la Información (http://observatorio.inteco.es) se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica, siendo un referente nacional e internacional al servicio de los ciudadanos, empresas, y administraciones españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza de la Sociedad de la Información. La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: • • Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Edición: Febrero 2011 Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es Guía sobre almacenamiento y borrado seguro de información Página 2 de 35 Observatorio de la Seguridad de la Información Índice ÍNDICE 1 INTRODUCCIÓN ........................................................................... 4 1.1 La información como activo de valor en la empresa ......................... 4 1.2 Gestión del Ciclo de Vida de la Información ....................................... 7 2 ALMACENAMIENTO DE LA INFORMACIÓN .............................. 10 2.1 Cómo se almacena la información ...................................................... 10 2.2 Políticas que deben regir el uso de los sistemas de almacenamiento ............................................................................................ 12 2.3 Tipos de dispositivos de almacenamiento ......................................... 16 3 PÉRDIDA Y RECUPERACIÓN DE INFORMACIÓN ..................... 18 3.1 Pérdida de información ........................................................................ 18 3.2 Recuperación de la información .......................................................... 21 4 BORRADO SEGURO Y DESTRUCCIÓN DE LA INFORMACIÓN ............................................................................. 23 4.1 Métodos de destrucción de la información ........................................ 23 4.2 Métodos que no destruyen la información de forma segura ............ 28 4.3 Políticas de borrado seguro de la información .................................. 28 5 LEGISLACIÓN APLICABLE ......................................................... 30 5.1 Normativa interna en relación con la Seguridad de la Información en la empresa ........................................................................... 30 5.2 Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica .......................................................................... 31 5.3 Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)............................................................................................................ 33 5.4 Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) ........................................................................ 34 Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 3 de 35 1. Introducción 1 INTRODUCCIÓN En la actual sociedad del conocimiento, las empresas y entidades generan información constantemente y a un ritmo creciente: se estima que en 2020 la cantidad de información será 44 veces mayor que la que había en 2009 1. Gracias a la tecnología, esta información se puede generar, copiar, enviar y recibir desde cualquier lugar y en cualquier momento, aspectos vitales para el funcionamiento de las empresas. El conocimiento de la gestión del ciclo de vida de la información y el establecimiento de planes, normas y políticas de almacenamiento de la información y de seguridad de los datos, asegura un control y gestión de la información eficiente. • Almacenamiento. Los datos que se recopilan en los soportes de almacenamiento pueden constituir información muy delicada y su indebida divulgación no solo puede afectar a la propia empresa, ya que los empleados u otras entidades también pueden verse perjudicados. Por ello, el primer paso en la gestión segura de la información es realizar una clasificación de los datos y un almacenamiento adecuados, en base a unas políticas establecidas y actualizadas. • Recuperación. Las pérdidas de datos son acontecimientos comunes en las empresas, a veces por causas fortuitas y otras veces por fallos humanos o en los equipos. En este sentido, las técnicas de recuperación de la información son una herramienta imprescindible en las organizaciones, ya que permiten restaurar la actividad y asegurar su continuidad. • Borrado seguro. Por último, cuando la información ha sido tratada en la empresa y llega al final de su vida útil, debe ser eliminada de forma segura, para evitar que pueda caer en manos de terceros y sea recuperada. En la presente guía se analiza por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, y qué debe hacerse si se quiere eliminar de modo permanente la información. 1.1 LA INFORMACIÓN COMO ACTIVO DE VALOR EN LA EMPRESA Para entender la información como un activo de valor en la empresa antes se explica qué se entiende por información y cuál es la diferencia entre información y datos. El dato hace referencia a un atributo o una representación simbólica (alfabética, gráfica, numérica, etc.) como resultado de una observación, sujeta a determinadas normas o 1 The Digital Universe Decade – Are you ready? May-2010– An IDC White Paper – Sponsored by EMC Corp. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 4 de 35 reglas, útil para la interpretación y el procesamiento, bien sea por medios humanos o automatizados. En sí mismo, el dato no tiene significado, por lo cual se requiere su procesamiento o tratamiento para que suministre información que pueda ser utilizada en la realización de cálculos y operaciones aritméticas, en procesos de análisis, planificación, investigación, negociación o para la toma de decisiones en cualquier ámbito. La información es un conjunto organizado de datos con algún significado acerca de un hecho, evento o suceso, que al ser procesados o evaluados mejoran el conocimiento acerca de algo y por lo tanto, reducen la incertidumbre. El proceso comprende la entrada y depuración de datos, el procesamiento de estos y la depuración y salida de los resultados. Partiendo de las explicaciones anteriores, se desprende que la información tiene un significado preciso y diferente al de los datos y por tanto, un valor en la toma de decisiones, mientras que los datos no lo tienen. Para hacer una distinción entre datos e información, se puede pensar en los datos como las materias primas, mientras que la información es equivalente a los productos acabados producidos después del procesamiento de esa materia prima. Ilustración 1: Diferentes etapas de la información en la empresa Las empresas manejan a diario gran cantidad de información y parte de esta información es más sensible, ya que es estratégica para el negocio, contiene datos personales de clientes, proveedores o empleados, incluye referencias de propiedad intelectual, etc. Por este motivo, es imprescindible la adecuada gestión de la información que manejan, tanto para asegurar su actividad como para cumplir con los requisitos legales de aplicación. En el contexto de las normativas de gestión adecuada y segura de la información se entiende por información a aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. Según se refleja en las definiciones de la norma internacional ISO27001, seguridad de la información es la preservación de la confidencialidad, la integridad y la disponibilidad de Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 5 de 35 la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. Por tanto a la hora de analizar la organización y los procesos llevados a cabo hay 3 elementos clave que confirman que el modo en que se trata la información es seguro: confidencialidad, integridad, y disponibilidad. • Confidencialidad: es la propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: es la propiedad de salvaguardar la exactitud y completitud de los activos. • Disponibilidad: es la propiedad de ser accesible y utilizable por una entidad autorizada. Ilustración 2: Criterios de la información desde el enfoque de la seguridad Para garantizar que la seguridad de la información es gestionada correctamente, se requiere hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de la Seguridad de la Información (SGSI), que ayuda a las empresas a definir políticas, procedimientos, métodos, estándares y controles relacionados con los objetivos de la organización en el ámbito de la seguridad de sus sistemas de información. Dada la importancia de la información como base para la toma de decisiones estratégicas y su relevancia a la hora de establecer ventajas competitivas, es necesario contar con una eficiente gestión de la seguridad que preste especial atención a este recurso, en cada una de las fases de su ciclo de vida. Para explicar el ciclo de vida de la información se toma el enfoque aportado a las empresas por el Information Lifecycle Management (ILM) que facilita el estudio de soluciones de almacenamiento, disponibilidad y seguridad de la información. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 6 de 35 1.2 GESTIÓN DEL CICLO DE VIDA DE LA INFORMACIÓN Los grandes y crecientes volúmenes de información con los que trabajan las empresas en la actualidad requieren de sistemas que las ayuden a gestionar los datos a lo largo de su evolución. Es por ello que cada vez más están adaptando sus procesos a la gestión del ciclo de vida de la información o ILM. ILM hace referencia a los sistemas, procedimientos y políticas que se deben seguir para gestionar los datos de una empresa, desde que estos se crean o generan hasta su eliminación definitiva, teniendo en consideración el valor y la disponibilidad de la información. Por tanto, este sistema ayuda a las organizaciones a administrar de manera eficiente el crecimiento de datos a lo largo de su ciclo de vida completo, desde el desarrollo, pruebas, producción y destrucción de ficheros 2, asegurando en todo momento el cumplimiento de la legislación vigente. Las fases del ciclo de vida de la información, como parte de un proceso continuo, son las siguientes: Ilustración 3: Diagrama del ciclo de vida de la información 2 Un fichero es un archivo informático, o conjunto de datos organizados. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 7 de 35 • Fase 1: Clasificación de datos. Todos los datos que se crean, generan o almacenan se deben identificar y categorizar para mejorar la eficiencia en el momento en que se efectúen los procesos de búsqueda, recuperación o auditoría. Esta clasificación de datos permite conocer con qué datos se cuenta, qué tratamiento darles, dónde almacenarlos, qué jerarquía tienen, cuál es su volumen, cuáles pueden ser eliminados y cómo recuperarlos de nuevo cuando sea necesario volver a trabajar con ellos. Cuando se trata de datos de carácter personal, en esta clasificación es necesario establecer los niveles de seguridad básico, medio o alto, definidos en el artículo 81 del reglamento de desarrollo de la LOPD. • Fase 2: Almacenamiento físico. Inicialmente se deben establecer de forma clara los requisitos de almacenamiento de información de la empresa. Posteriormente, se deben alinear las necesidades con las opciones de almacenamiento disponible. ILM permite analizar las ventajas y desventajas entre el coste de distintas opciones de almacenamiento y disponibilidad de información, que permiten tomar decisiones a la hora de invertir en soportes de almacenamiento. • Fase 3: Migración. La migración de los datos entre diferentes almacenes se realiza para equilibrar el rendimiento y el coste de los diferentes dispositivos de almacenamiento, asegurando que esté libre el espacio adecuado para satisfacer otras nuevas localizaciones de espacio. En este proceso las empresas mueven y manipulan los distintos tipos de datos, de acuerdo con el valor que representan para estas. La comprensión y administración de los diferentes datos almacenados mejora la calidad del servicio y reduce los costes de gestión. • Fase 4: Disposición. La información ha de ser almacenada de manera segura y estar disponible para los usuarios cuando estos la necesiten. La información también debe ser mantenida y utilizada de tal forma que su integridad no se vea comprometida. Hay dos factores principales para asegurar la disponibilidad de la información: o Aseguramiento de la integridad. Para ello, se aplican privilegios a cada usuario para acceder únicamente a la información que puede manipular, particularmente cuando esta es sensible. Los accesos a la información se pueden restringir a través de contraseñas, permisos de ingresos al sistema o restricciones de actualización de datos. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 8 de 35 o • Copias de Seguridad. Las copias de seguridad o backup son la garantía frente a cualquier fallo en el sistema o pérdida de la información. Estas se pueden hacer de manera planificada o puntual y la frecuencia con que se realizan va a depender de la importancia de la información almacenada y lo crítica que puede ser para las estrategias de la empresa. Fase 5: Utilización de la información almacenada. El uso o utilización se lleva a cabo después de que la información se distribuye internamente y puede servir de soporte a la toma de decisiones en las empresas, generar acciones o servir a otros fines. La información puede ser destruida cuando deja de generar valor para la empresa, siguiendo para ello las políticas internas previamente establecidas. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 9 de 35 2. Almacenamiento de la información 2 ALMACENAMIENTO DE LA INFORMACIÓN La creciente dependencia de la mayoría de las organizaciones de sus sistemas de información pone de manifiesto la necesidad de contar con los medios y técnicas necesarios que permitan almacenar la información de la manera más adecuada. Una correcta gestión de este proceso permite mantener en todo momento su integridad y autenticidad y, en caso de ser necesario, recuperar la información, es decir, asegurar su disponibilidad total. En los siguientes apartados se profundiza en el proceso de almacenamiento en la empresa, en las políticas de almacenamiento y en las características de los dispositivos. 2.1 CÓMO SE ALMACENA LA INFORMACIÓN La importancia de la información como activo de valor en las empresas obliga a que las soluciones de almacenamiento cada vez cobren un mayor protagonismo. La información se guarda en diferentes dispositivos de almacenamiento de datos, en función de su ciclo de vida y de su valor, tomando en consideración que no toda la información es igual de crítica y, por lo tanto, no puede ser tratada de la misma manera. Para establecer el grado de criticidad de la información se realiza una ponderación en función de parámetros como su uso, antigüedad, valor estratégico, etc. Partiendo de esta definición, se establece el nivel de accesibilidad y de disponibilidad requeridos para cada activo de información. De igual manera, las empresas necesitan infraestructuras flexibles y soluciones que protejan y resguarden la información y se adapten a los rápidos cambios del negocio y las nuevas exigencias del mercado, garantizando el rápido retorno de la inversión efectuada en los sistemas de almacenamiento. Alineando las diferentes soluciones de almacenamiento con los requerimientos del negocio se consigue hacer un uso más correcto de las mismas. En la siguiente ilustración se identifican los diferentes sistemas de almacenamiento de información en la empresa. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 10 de 35 Ilustración 4: Diagrama de los sistemas de almacenamiento en la empresa • Almacenamiento local. Los empleados de la empresa, en mayor o menor medida, utilizan equipos informáticos para realizar su actividad profesional. La información se genera en estos equipos y desde ellos se modifica y transmite. Cada uno de estos equipos dispone de un sistema de almacenamiento local, normalmente discos duros donde se guarda la información. • Servidores de almacenamiento en red. Para poder disponer de un lugar común de trabajo donde almacenar el resultado de los trabajos individuales y poder compartir información entre los diferentes usuarios de la empresa se dispone de servidores de almacenamiento en red. • Dispositivos externos. Adicionalmente se puede disponer de sistemas externos que, conectados directamente a los equipos, permiten un almacenamiento extra de la información, evitando que se ocupe este espacio en el equipo. Estos pueden ser discos duros externos conectados por USB o Firewire, CD o DVD, USB Pendrives o cintas magnéticas. • Sistema de copias de seguridad. Se establece un procedimiento para sistematizar la realización de copias de respaldo de la información generada en la empresa. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 11 de 35 2.2 POLÍTICAS QUE DEBEN ALMACENAMIENTO REGIR EL USO DE LOS SISTEMAS DE Para poder mantener de un modo seguro y eficaz todos estos sistemas de almacenamiento es importante que la empresa especifique cuáles son las políticas que deben seguir todos los usuarios de los sistemas para evitar que aumente la capacidad de los mismos de modo desordenado y la consiguiente falta de control o pérdida de información. Así, se identifican cuatro políticas necesarias en la empresa, para que sean conocidas por los propios usuarios y controladas por los responsables: • Política de almacenamiento local en los equipos de trabajo. • Política de almacenamiento en la red corporativa. • Política sobre el uso de dispositivos externos. • Política de copias de seguridad. Ilustración 5: Políticas de almacenamiento en los entornos empresariales 2.2.1 Políticas de almacenamiento local en los equipos de trabajo En primer lugar, la empresa establece unas normas de almacenamiento para los equipos de trabajo de la empresa (equipos de sobremesa, equipos portátiles, teléfonos y otros dispositivos) que los usuarios deben cumplir. Esta política incluye al menos los siguientes aspectos: Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 12 de 35 • Qué tipo de información se puede almacenar en los equipos locales. • Cuánto tiempo debe permanecer dicha información en los mismos. • Permanencia de la información en la red local una vez transmitida a los servidores corporativos. • Ubicación dentro del árbol de directorios del equipo. • Utilización de sistemas de cifrado de información en los documentos empresariales. • Normativa para los empleados relativa al almacenamiento de documentos personales, archivos de música, fotografías, etc, y en concreto relativa a archivos que estén bajo algún tipo de regulación en cuanto a derechos de autor (descargas desde los equipos de trabajo). 2.2.2 Políticas de almacenamiento en la red corporativa En la red corporativa es necesario distinguir entre información general de la empresa que deben utilizar todos los usuarios, e información de trabajo de los empleados almacenada en esta red corporativa: 1. Los servidores de almacenamiento disponibles en la red corporativa están configurados para poder almacenar y compartir aquella información de la empresa que deba ser utilizada por los empleados. Los controles de acceso son definidos por la dirección y el responsable de sistemas, con el objetivo de definir quién puede acceder y a dónde, mientras que el contenido de la información almacenada se determina a través de una política de uso específica que debe cubrir al menos los siguientes aspectos: • Tipo de información almacenada, momento de su almacenamiento y ubicación dentro de los directorios del sistema. • Personas encargadas de la actualización de dicha información en caso de modificación. 2. Los empleados pueden disponer de buzones o carpetas personales dentro de la misma red corporativa. En estas carpetas se almacena información que, si bien tiene relación con su trabajo, no necesariamente es compartida por otros miembros del equipo. Para controlar dicha información, se deben especificar políticas que incluyan los mismos aspectos que los relacionados con el almacenamiento local. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 13 de 35 Es importante concienciar al empleado que toda aquella información almacenada en estos buzones debe ser relevante para el trabajo. La información carente de valor se elimina una vez que se haya utilizado. Así se evita que la capacidad de almacenamiento se vea desbordada innecesariamente. Un ejemplo de cómo se puede optimizar este uso se encuentra cuando se genera un vídeo corporativo que ocupa varios Gb de información. Dicho vídeo se ubica primeramente en una localización en la red y posteriormente varios empleados lo almacenan en sus unidades locales y vuelcan dicha información en sus buzones personales. Pasado un tiempo, se analiza la cantidad de archivos exactamente iguales que se encuentran almacenados. Se identifican varias copias del vídeo en la red corporativa. A la vista de esta situación, la empresa decide llevar a cabo una política de control y revisión de la información almacenada y ajuste a las necesidades concretas. 2.2.3 Políticas sobre el uso de dispositivos externos conectados Especialmente importante son las normas relativas al uso de equipos externos que, conectados directamente a los equipos de trabajo, permiten el almacenamiento extra de información con el objeto de trasportarla a otra ubicación o simplemente disponer de una copia de seguridad personal. Esta política incluye al menos los siguientes aspectos: • Si está permitido o no el uso de estos dispositivos. • En caso afirmativo, qué tipo de información en ningún caso está permitido almacenar, como aquella que contiene datos personales de clientes, etc. • Qué medidas de borrado se han de utilizar cuando esta información deja de ser necesaria. 2.2.4 Políticas de copias de seguridad Una copia de seguridad, también conocida como backup, es un duplicado que se realiza sobre ficheros o aplicaciones contenidas en un ordenador con la finalidad de recuperar los datos en el caso de que el sistema de información sufra daños o pérdidas accidentales de los datos almacenados 3. Todo plan de contingencia de una empresa requiere contar con una planificación adecuada de las copias de seguridad que se realizan, ya que la pérdida de datos puede poner en peligro la continuidad del negocio. 3 Fuente: http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica/Enciclopedia_Juridica/Articulos_1/backup Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 14 de 35 Algunos de los requisitos que debe cumplir la planificación de copias de seguridad son: • Identificar los datos que requieren ser preservados. Son aquellos cuya pérdida afectaría a la continuidad del negocio. • Establecer la frecuencia con la que se van a realizar los procesos de copia. Esta frecuencia influye en la cantidad de información que se puede perder con respecto a la fuente original. Este parámetro es de suma importancia y requiere de un análisis exhaustivo. Por ejemplo, si se realiza una copia cada noche y el soporte se estropea a las 12h toda la información generada desde la noche anterior hasta las 12h no se encontrará en la copia de seguridad. • Disponer el almacén físico para las copias. Este almacén se determina en función de la seguridad que requiere la información entre almacenes en el mismo edificio o remotos en edificios externos. Por ejemplo, si se produce un incendio en el edificio de la empresa, la información almacenada en un edificio externo sigue estando disponible. • Buscar una probabilidad de error mínima, asegurándose que los datos son copiados íntegramente del original y en unos soportes fiables y en buen estado. No se deben utilizar soportes que estén cerca de cumplir su vida útil para evitar que fallen cuando vaya a recuperarse la información que contienen. • Controlar los soportes que contienen las copias, guardándolos en un lugar seguro y restringiendo su acceso sólo a las personas autorizadas. • Planificar la restauración de las copias: o Formando a los técnicos encargados de realizarlas. o Disponiendo de soportes para restaurar la copia, diferentes de los de producción. o Estableciendo los medios para disponer de dicha copia en el menor tiempo posible. • Probar el sistema de forma exhaustiva para comprobar su correcta planificación y la eficacia de los medios dispuestos. • Definir la vigencia de las copias, estableciendo un periodo en el que dicha copia deja de tener validez y puede sustituirse por una copia más actualizada de la información. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 15 de 35 • Controlar la obsolescencia de los dispositivos de almacenamiento. Para el caso de aquellas copias que almacenan información histórica de la organización, por ejemplo proyectos ya cerrados, se debe tener en cuenta el tipo de dispositivo en el que se ha realizado la copia, para evitar que en el momento que se requiera la restauración de dicha información no existan ya lectores adecuados para dicho dispositivo. Cuando se desechen los soportes de almacenamiento, porque hayan llegado al límite de vida útil fijado en la política de copias de seguridad, es importante realizar un proceso de borrado seguro o destrucción para asegurar que la información que contiene no podrá ser recuperada posteriormente. 2.3 TIPOS DE DISPOSITIVOS DE ALMACENAMIENTO Los dispositivos de almacenamiento constituyen una parte vital de cualquier sistema o instalación informática. La tendencia general en el mercado de los dispositivos de almacenamiento de información se dirige, por un lado, al continuo incremento de su capacidad y, por otro, a desarrollar funcionalidades como la rapidez, la fiabilidad, la economía y el tamaño. Esta evolución se traduce en una disminución del coste, lo que ha permitido aumentar el número de empresas que utilizan estos dispositivos. La gama es amplia y las funcionalidades dependen del tipo de dispositivo, aunque como aproximación, se indican los siguientes: • Discos duros: dispositivo de almacenamiento magnético, masivamente utilizado en todos los ordenadores como almacenamiento principal. Dispone de múltiples capacidades de almacenamiento y permite tanto la lectura como la escritura. Los discos duros también se utilizan como medios de almacenamiento externos conectados a los equipos por medio de conectores USB (Universal Serial Bus o conductor universal en serie) o FireWire. • Cintas magnéticas DAT/DDS (Digital Audio Tape/Digital Data Storage) / LTO Linear Tape-Open): utilizadas principalmente como medio de almacenamiento en los sistemas de copias de seguridad, ya que resultan económicas para almacenar grandes cantidades de datos. El acceso a los datos es sensiblemente más lento que el de los discos duros. • CD (Compact Disc) / DVD (Digital Versatile Disc) / Blu-ray Disc (BD): dispositivos de almacenamiento óptico con diferentes capacidades de almacenamiento. Son un medio económico y fácil de transportar o conservar. • Sistemas de almacenamiento en red: las empresas que necesitan almacenar gran cantidad de información a la que acceden varios usuarios desde sus respectivos equipos utilizarán los sistemas de almacenamiento en red tipo NAS Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 16 de 35 (Network Attached Storage). Presentan un volumen de almacenamiento grande, ya que unen la capacidad de múltiples discos duros en la red local como un volumen único de almacenamiento. Las reglas de acceso permiten llevar un control de quién tiene acceso y a qué partes de la información almacenada. • USB pendrive: denominado con múltiples nombres como llavero USB, memoria USB o sólo pendrive. Es un pequeño dispositivo de almacenamiento que dispone de una memoria NAND-Flash para el almacenamiento de la información. La capacidad de los pendrive es cada vez mayor y es uno de los medios más comúnmente utilizados para transportar la información de un lugar a otro. Esta movilidad, unida a la rapidez con la que se conecta y desconecta en diferentes equipos, lo hace especialmente susceptible a la pérdida de información, por extravío o sustracción del dispositivo o por rotura física del mismo. En el cuadro siguiente se resumen las principales características de los dispositivos de almacenamiento: Tabla 1: Comparativa soportes de almacenamiento (datos referenciados en enero de 2011) Capacidad máxima de datos 4 Máxima velocidad de transferencia de datos 5 Tipo 3 TB 400 Mb/s Magnético 240 MB 250 Kb/s Magnético 24 GB 2,77 Mb/s Magnético CD 900 MB 4800 Kb/s Óptico DVD 8,5 GB 11,1 Mb/s Óptico Blu-ray Disc 54 GB 54 Mb/s Óptico Pendrive 256 GB 100 Mb/s Electrónico Soporte Discos Duros Discos Flexibles Cintas de Backup Fuente: INTECO 4 Byte (B) equivale a 8 bits (b) y es la unidad básica de almacenamiento de información en combinación con los prefijos de cantidad: Kilobyte (KB=1.000 bytes), Megabyte (MB=1.000 KB), Gigabyte (GB=1.000 MB), Terabyte (TB=1.000 GB), etc. 5 Unidades de velocidad de transferencia de datos: Kilobit por segundo (Kb/ s), Megabit por segundo (Mb/s), Gigabit por segundo (Gb/s), etc.:. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 17 de 35 3. 3 Pérdida y información recuperación de la PÉRDIDA Y RECUP ERACIÓN DE INFORMACIÓN La información es un activo de valor para la empresa y, como tal, la posibilidad de que esta pase a manos no autorizadas, o que no esté disponible, puede tener unas repercusiones en muchos aspectos importantes para las empresas. En los siguientes apartados se analiza tanto la pérdida de la información como la posibilidad de recuperación de la misma. 3.1 PÉRDIDA DE INFORMACIÓN El objetivo básico de un dispositivo de almacenamiento es guardar información para que esté disponible posteriormente. Para ello todos los componentes físicos del dispositivo tienen que funcionar correctamente y el sistema operativo debe encontrar la información que ha sido almacenada de un modo ordenado. De forma explicativa, los sistemas operativos almacenan la información dentro del disco duro en archivos. Al guardar cada archivo, se anota también su ubicación en una base de datos o “lista de archivos 6”. Esta lista es el índice que utiliza el sistema operativo para encontrar el contenido de los archivos dentro del disco. Ilustración 6:Información contenida en el dispositivo 6 La “lista de archivos” es un término genérico que referencia al conjunto de elementos que cada sistema de archivos utiliza para guardar, tanto la información que identifica los archivos (nombre, tipo, fecha de creación, etc), como un índice que recoge la ubicación física del contenido del mismo. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 18 de 35 Siguiendo la correspondencia entre información y datos introducida en el apartado 1.1, La información como activo de valor en la empresa, a la información almacenada en el soporte se denomina datos, por lo que son equivalentes la pérdida de información y la pérdida de datos. Se dice que se produce una pérdida de información o datos cuando se altera alguno de sus atributos de integridad, disponibilidad y confidencialidad y, específicamente en el proceso del almacenamiento, la disponibilidad es el atributo más crítico. Una información se pierde definitivamente cuando no se consigue el acceso a la misma o esta ha desaparecido. 3.1.1 Causas de la pérdida de datos Las causas por las cuales se producen las pérdidas de acceso a la información son múltiples y en muchos casos imprevisibles. Entre estas, destacan las siguientes: • Fallos mecánicos en los dispositivos de almacenamiento: causados bien por motivos externos (como cortes de suministro eléctrico o picos de tensión en la red eléctrica), o internos de los propios dispositivos (por ejemplo, por degradación de las piezas mecánicas al final de la vida útil de los mismos). • Errores humanos: por borrado o formateo de las unidades de almacenamiento o por manipulación indebida de los dispositivos. A veces la mala preparación del personal y la toma de decisiones erróneas a la hora de intentar recuperar la información tras un incidente son las causas de estos errores. • Fallos en el software utilizado: como fallos imprevistos en los sistemas operativos por reinicios inesperados o mal funcionamiento de las propias herramientas de diagnóstico. • Virus o software malicioso: ya que en ocasiones los programas instalados en los ordenadores buscan causar un fallo en el sistema y/o robar información que envían a un equipo remoto. • Desastres naturales o estructurales: como incendios e inundaciones que causan la destrucción de las instalaciones donde se encuentran los equipos. 3.1.2 Consecuencias de la pérdida de datos En caso de que se produzca una pérdida de datos temporal o definitiva, se ocasionan múltiples perjuicios al funcionamiento de las empresas. Entre estos se encuentran: • El tiempo y dinero perdidos por los procesos llevados a cabo para restaurar o volver a generar la información perdida. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 19 de 35 • Las pérdidas ocasionadas por la indisponibilidad de esta información, como pueden ser los retrasos en los procesos de producción. • La mala imagen dada por la compañía, por ejemplo, en caso de tener que solicitar de nuevo información a clientes o proveedores. • Pérdida definitiva de trabajos y proyectos ya realizados, que puede llegar a poner en riesgo la continuidad del negocio. • 3.1.3 Demandas o penalizaciones administrativas por posibles incumplimientos de contratos. Recomendaciones ante una pérdida de datos Cuando un disco duro se rompe y no se puede acceder a los datos que contiene, se habrán perdido los datos si no se dispone de una copia de estos mismos datos en otro dispositivo al cual sí se pueda acceder. Por tanto, primer consejo: se debe disponer y seguir una correcta política de copias de seguridad. Además, ante un incidente de pérdida de datos se recomienda: • Evitar actuar de una forma precipitada. Las acciones sobre los dispositivos que se realicen en un intento desordenado de recuperación pueden llevar a la destrucción definitiva de los datos. • No reiniciar constantemente el dispositivo, ya que esto puede agravar el daño que sufra en caso que éste tenga algún fallo físico de funcionamiento. • Dedicar un tiempo a analizar cuáles son los datos perdidos, si se dispone de una copia de seguridad y el estado de la misma. • Valorar la pérdida, tanto económica como de tiempo de restauración, para ver con más claridad la dimensión del problema y los medios que se pueden dedicar a la restauración de los datos. • Es importante decidir si es mejor iniciar un proceso de recuperación de datos o restaurar el sistema y generar de nuevo los datos perdidos. • Si se intenta restaurar la copia de seguridad no es aconsejable utilizar los discos “dañados” para recuperar los datos de la copia. En caso de que la copia restaurada no se encuentre totalmente operativa o esté desactualizada, no se podrá intentar una recuperación posterior. Igualmente hay que tener especial cuidado para no realizar ninguna acción que pueda sobre-escribir los datos en el soporte “dañado”. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 20 de 35 • Cuando la pérdida de datos se produce en sistemas compuestos por varios discos, es recomendable que al menos dos personas realicen el seguimiento de las decisiones para poder contrastar que la decisión tomada es la adecuada, y que se anotan todos los pasos realizados. • 3.2 No es recomendable desmontar los dispositivos sin tener un conocimiento profesional, ya que dicha acción puede ocasionar la imposibilidad de recuperación posterior. RECUPERACIÓN DE LA INFORMACIÓN Si se ha perdido el acceso a una información almacenada, dicha pérdida puede no ser definitiva si existen medios para restaurar la disponibilidad de acceso, en cuyo caso se puede plantear la recuperación de la información. El acceso a la información se puede perder por varios motivos, como son: • Porque el dispositivo tiene dañado algún componente físico necesario para su funcionamiento. • Porque, aún funcionando correctamente, la “lista de archivos” se ha corrompido impidiendo conocer la ubicación de los archivos almacenados. • Porque los datos almacenados han sido reemplazados por nuevos datos a través de la sobre-escritura. En los dos primeros casos se puede intentar un proceso de recuperación, en el tercero no puede realizarse ya que esos datos ya no existen y por tanto no pueden recuperarse. 3.2.1 Métodos de recuperación de la información Por métodos de recuperación de datos se entienden aquellos procesos llevados a cabo con el objetivo de restablecer el acceso a la información que sigue estando almacenada en los dispositivos, pero que no está disponible por alguna de las causas señaladas anteriormente. Los métodos de recuperación de datos se agrupan en 2 principales: 1. Métodos de recuperación lógica. Los métodos de recuperación lógica se utilizan cuando todos los componentes del dispositivo funcionan correctamente y por tanto se puede acceder a todos y cada uno de los sectores donde se almacena la información. Si se ha perdido acceso a los datos podrá ser debido a que: • Alguna parte de la estructura del sistema de archivos se encuentra dañada. • Algún archivo ha sido borrado con los comandos del sistema y por tanto no aparece en la “lista de archivos” que contiene el sistema. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 21 de 35 La recuperación lógica de datos consiste en analizar la estructura de archivos que permanece, identificar el daño producido y acceder a los datos que aún están en el dispositivo. En algunos casos se pueden recuperar los datos identificativos del archivo, (nombre, extensión, tamaño, fecha de creación, etc.) y en otros sólo el contenido del mismo. Algunas herramientas emplean el término análisis profundo o “en bruto” que consiste en analizar toda la superficie del disco buscando aquellas codificaciones específicas que permiten identificar a cada tipo de archivo 7 y recuperan directamente el contenido de los mismos, sin tener en cuenta la información presente en la “lista de archivos”, por lo que se pierden el nombre y las fechas de los archivos recuperados. Las herramientas de reparación de sistemas de archivos que disponen los sistemas operativos tales como “chkdsk” en sistemas Windows o “fsck” en Linux o las utilidades de disco en Mac OS pueden reparar algunos errores de los sistemas de archivos. Sin embargo, un conocimiento insuficiente puede provocar daños mayores al sistema y hacer irrecuperable la información. Por ello, es recomendable acudir a profesionales en recuperación de datos ante una situación de este tipo. 2. Métodos de recuperación física. Si algún componente físico del dispositivo se encuentra dañado, pero el soporte de almacenamiento sigue inalterado, se podrá abordar una recuperación física reparando o sustituyendo el componente dañado y accediendo nuevamente a la información guardada. Los métodos de recuperación física requieren un conocimiento de cada uno de los dispositivos y se desaconseja totalmente el intento de recuperación por personal no experto. 3.2.2 Herramientas de recuperación de datos Existen múltiples herramientas software que permiten la recuperación de datos lógica. Inteco pone a disposición información relativa a algunas de ellas en su página web: http://cert.inteco.es/software/Proteccion/utiles_gratuitos/ En cualquier caso se recomienda utilizar cada herramienta con las debidas precauciones evitando en todo momento escribir sobre los propios discos sobre los que se quiere recuperar información. 7 El contenido de cada tipo de archivo posee una codificación específica. Por ejemplo, todas las imágenes con el formato JPG comienzan con los caracteres FF D8 FF. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 22 de 35 4. 4 Borrado seguro y destrucción de la información BORRADO S EGURO Y DES TRUCCIÓN DE LA INFORMACIÓN Para completar el ciclo de vida de la información desde el enfoque de la seguridad, es indispensable cubrir un aspecto de suma importancia como es la destrucción de la información. Las empresas pueden encontrar diversos motivos para eliminar la información que guardan. Además, son las encargadas de velar por la adecuada gestión de datos personales, estratégicos, legales o contables, entre otros, y están obligadas a conservar estos datos durante un periodo de tiempo, tras el cual se suelen eliminar. Por ello se recomienda un primer proceso de reflexión interna para analizar la forma en la que eliminan los datos o entregan los dispositivos a terceros (y por tanto, ceden el control de la información). Como ejemplos, se indican los siguientes: • Frecuentemente, el proceso de destrucción de información se simplifica, por ejemplo, vaciando la papelera de reciclaje, formateando el equipo o tirando a la basura el CD o pendrive donde está la información. • Además, en muchas ocasiones las empresas subcontratan la gestión de infraestructuras informáticas (mantenimiento, renovación, reparación, actualización, donación, leasing o renting de equipos informáticos, etc.), confiando a terceros el control de su información. Una vez utilizados los equipos, estos proveedores pueden reutilizarlos, por lo que existe un riesgo de traspaso a terceros de la información de la empresa que contienen esos equipos o dispositivos reutilizados. En el presente capítulo se aborda el planteamiento que debe realizar la empresa en cuanto a la destrucción de información y los métodos de borrado seguro que garantizan la adecuada gestión del ciclo de vida desde el punto de vista de la seguridad de la información. 4.1 MÉTODOS DE DESTRUCCIÓN DE LA INFORMACIÓN Los medios eficaces que evitan completamente la recuperación de los datos contenidos en los dispositivos de almacenamiento son: la desmagnetización, la destrucción y la sobre-escritura en la totalidad del área de almacenamiento de la información. 4.1.1 Desmagnetización La desmagnetización consiste en la exposición de los soportes de almacenamiento a un potente campo magnético, proceso que elimina los datos almacenados en el dispositivo. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 23 de 35 Este método es válido para la destrucción de datos de los dispositivos magnéticos 8, como por ejemplo, los discos duros, disquetes, cintas magnéticas de backup, etc. Cada dispositivo, según su tamaño, forma y el tipo de soporte magnético de que se trate, necesita de una potencia específica para asegurar la completa polarización de todas las partículas. Los inconvenientes que presenta este método son: • Los dispositivos deben trasladarse al lugar donde se encuentre el desmagnetizador, lo que implica unos costes de transporte y el aseguramiento de la cadena de custodia. • Tras el proceso, estos dejan de funcionar correctamente y por tanto requieren de un reciclado que sea respetuoso con el medio ambiente. • Para comprobar que todos los datos han sido borrados completamente es necesario acceder a los dispositivos. Al no funcionar correctamente, este acceso no es posible, lo que dificulta la certificación del proceso. • Es recomendable analizar el campo aplicado para desmagnetizar cada dispositivo. En ocasiones se opta por aplicar la máxima potencia, desperdiciando energía de forma innecesaria. 4.1.2 Destrucción física El objetivo de la destrucción física es la inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena. Existen diferentes tipos de técnicas y procedimientos para la destrucción de medios de almacenamiento: • Desintegración, pulverización, fusión e incineración: son métodos diseñados para destruir por completo los medios de almacenamiento. Estos métodos suelen llevarse a cabo en una destructora de metal o en una planta de incineración autorizada, con las capacidades específicas para realizar estas actividades de manera eficaz, segura y sin peligro. • Trituración: las trituradoras de papel se pueden utilizar para destruir los medios de almacenamiento flexibles. El tamaño del fragmento de la basura debe ser lo suficientemente pequeño para que haya una seguridad razonable en proporción a la confidencialidad de los datos que no pueden ser reconstruidos. Los medios 8 Los dispositivos de almacenamiento magnéticos son aquellos cuyo soporte de almacenamiento lo componen unas partículas que pueden polarizarse en un sentido u otro según la dirección de un campo magnético aplicado a ellas. La dirección de polarización de sus partículas indicará si el dato almacenado es un uno o un cero. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 24 de 35 ópticos de almacenamiento (CD, DVD, magneto-ópticos), deben ser destruidos por pulverización, trituración de corte transversal o incineración. Cuando el material se desintegra o desmenuza, todos los residuos se reducen a cuadrados de cinco milímetros (5mm) de lado. Como todo proceso de borrado seguro de datos, su correcta realización implica la imposibilidad de recuperación posterior por ningún medio conocido. En el caso de los discos duros se deberá asegurar que los platos internos del disco han sido destruidos eficazmente. Los métodos de destrucción física pueden llegar a ser seguros totalmente en cuanto a la destrucción real de los datos pero presenta algunos inconvenientes como son: • Implican la utilización de métodos industriales de destrucción distintos para cada soporte. • Obligan a un transporte de los dispositivos a un centro de reciclaje adecuado, obligando a extremar las medidas de custodia para asegurar el control de los dispositivos. • Los residuos generados deben ser tratados adecuadamente. • La certificación de la operación de destrucción es compleja, ya que no es posible acceder a los dispositivos para confirmar que la información ha sido eliminada y se deben hacer comprobaciones manuales, como fotografías y anotación de número de serie que certifique que el dispositivo ha sido eliminado. 4.1.3 Sobre-escritura La sobre-escritura consiste en la escritura de un patrón de datos sobre los datos contenidos en los dispositivos de almacenamiento. Para asegurar la completa destrucción de los datos se debe escribir la totalidad de la superficie de almacenamiento. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 25 de 35 Ilustración 7: Resultado de un proceso de sobre-escritura La sobre-escritura se realiza accediendo al contenido de los dispositivos y modificando los valores almacenados, por lo que no se puede utilizar en aquellos que están dañados ni en los que no son regrabables, como los CD y DVD. El método de sobre-escritura para la destrucción segura de la información es el que dispone del mayor número de ventajas entre las que se pueden destacar las siguientes: • Se puede utilizar para todos los dispositivos regrabables. • Tras el proceso de borrado es posible acceder de nuevo al dispositivo para certificar que todos los datos que se encontraban almacenados previamente han sido sustituidos por el patrón de borrado. • Es posible realizar la operación de borrado en las propias oficinas de la empresa, evitando la necesidad de guardar la cadena de custodia en el transporte a un centro de reciclaje autorizado. • Permite la reutilización de los dispositivos. Siendo el único inconveniente que no es posible utilizarlo en aquellos dispositivos que no sean regrabables o en aquellos que tengan alguna avería física. 4.1.4 Cuadro comparativo Una vez vistos los principales métodos de borrado de información, se aprecia que no ofrecen los mismos resultados. A continuación se ofrece un resumen de las principales características observadas en cada uno de estos métodos y los métodos de borrado aplicables en cada dispositivo. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 26 de 35 Tabla 2: Comparativa de los métodos de borrado seguro Destrucción Física Desmagnetización Sobre-escritura Eliminación de forma segura de la información Eliminación de forma segura de la información Eliminación de forma segura de la información Un sistema de destrucción para cada soporte Una configuración del sistema para cada soporte Una única solución para todos los dispositivos Dificultad de certificación del proceso Dificultad de certificación del proceso Garantía documental de la operación Necesidad de transportar los equipos a una ubicación externa Necesidad de transportar los equipos a una ubicación externa Posibilidad de eliminación en las propias oficinas Medidas extraordinarias para garantizar la cadena de custodia Medidas extraordinarias para garantizar la cadena de custodia Garantía de la cadena de custodia Destrucción de dispositivos, no Regrabables, ópticos Sólo válido para dispositivos de almacenamiento magnético No válido para dispositivos no regrabables ni ópticos Destrucción definitiva y dificultad de reciclaje de materiales Tras el proceso el dispositivo deja de funcionar correctamente Reutilización de los dispositivos con garantías de funcionamiento Fuente: INTECO Tabla 3: Método de borrado adecuado en función del dispositivo Soporte Tipo Destrucción Física Desmagnetización Sobreescritura Discos Duros Magnético Discos Flexibles Magnético Cintas de Backup Magnético CD Óptico DVD Óptico Blu-ray Disc Óptico Electrónico Pen Drive 9 Fuente: INTECO 9 A pesar que actualmente la sobre-escritura es un método seguro de destrucción de datos para dispositivos basados en memorias de estado sólido Nand-Flash, diversos trabajos de investigación forense apuntan la posibilidad de recuperación posterior con técnicas de lectura directa de los chips de memoria. Uno de estos estudios es el de la Universidad de California http://nvsl.ucsd.edu/sanitize/. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 27 de 35 Para más información, Inteco proporciona útiles gratuitos de borrado seguro en su página web: http://cert.inteco.es/software/Proteccion/utiles_gratuitos/ 4.2 MÉTODOS QUE NO DESTRUYEN LA INFORMACIÓN DE FORMA SEGURA Los sistemas operativos de los equipos informáticos ordenan la información en archivos, dentro del dispositivo de almacenamiento. Para encontrar estos archivos dentro del dispositivo correspondiente (por ejemplo, en el disco duro) hay que acudir a la “lista de archivos”, donde se indica tanto el nombre del archivo como su ubicación dentro del espacio de almacenamiento. Cuando se utilizan métodos de borrado dispuestos por el propio sistema operativo como el comando “suprimir”, se realiza el borrado exclusivamente en la “lista de archivos” sin que se elimine realmente el contenido del archivo que permanece en la zona de almacenamiento hasta que se reutilice este espacio con un nuevo archivo. Por tanto toda aquella acción que no conlleve la eliminación, tanto de la información de la “lista de archivos” como del contenido del mismo, no consigue destruir eficazmente dicha información. De forma específica: • Los comandos de borrado del sistema operativo, acceden a la “lista de archivos” y marcan el archivo como suprimido, pero su contenido permanece intacto. .Por tanto, no son un método de destrucción segura. • 4.3 Al formatear un dispositivo normalmente se sobre-escribe el área destinada a la “lista de archivos” sin que el área de datos donde se encuentra el contenido de los archivos haya sido alterada. Por tanto tampoco este es un método de destrucción segura. POLÍTICAS DE BORRADO SEGURO DE LA INFORMACIÓN Toda empresa debe contar con una política de borrado seguro de la información de los dispositivos de almacenamiento con los que trabaja, que contenga al menos los siguientes elementos: • Gestión de soportes adecuada: o Realizar un seguimiento de los dispositivos que están en funcionamiento, las personas o departamentos responsables, la información contenida en ellos y su clasificación en función del grado de criticidad para el negocio. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 28 de 35 o Llevar a cabo la supervisión de los dispositivos que almacenan las copias de seguridad de estos datos. o Controlar cualquier operación realizada mantenimiento, reparación, sustitución, etc. o En los traslados de los dispositivos de almacenamiento a instalaciones externas a las de la empresa, asegurar que se cumple la cadena de sobre un dispositivo: custodia de los mismos, para evitar fugas de información. • Documentación de las operaciones de borrado realizadas: o Al seleccionar una herramienta de borrado, elegir aquella que permita la obtención de un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado. o En el caso de que la destrucción lógica no se realice correctamente por fallo del dispositivo, este hecho debe documentarse claramente y utilizar métodos de destrucción física de dicho soporte, asegurando que se realice de forma respetuosa con el medio ambiente. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 29 de 35 5. Legislación aplicable 5 5.1 LEGIS LACIÓN AP LICABLE NORMATIVA INTERNA EN RELACIÓN CON LA SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA La mayoría de organizaciones, y especialmente los departamentos de sistemas de información, consideran la seguridad de la información como un valor fundamental. Por lo general, la función de seguridad está en manos de un grupo específico dentro del área de sistemas de información, que debe tener entre sus responsabilidades la gestión técnica del hardware y software de seguridad, el desarrollo de la normativa interna y la definición de la estructura y organización necesarias para la gestión de la seguridad. Existen distintas certificaciones que permiten asegurar que las organizaciones cumplen con determinadas normativas, controles o estándares en sus procesos y operaciones. Por ejemplo, la certificación según la norma ISO 9001 permite garantizar que la organización cumple con la política y los objetivos de calidad, con la revisión de los datos del sistema de gestión de calidad y toma las medidas necesarias para asegurarse de que se cumplan los objetivos de calidad, establecer nuevas metas y lograr un proceso de mejora continua. Una vez implementado el sistema de calidad, la organización debe centrarse en el cumplimiento de los objetivos de calidad, relacionados con aspectos legales, ambientales y de producción. Específicamente en relación con las políticas internas de gestión de la seguridad de la información, la empresa puede tener definidos acuerdos de confidencialidad, de uso y distribución de la información, controles y niveles de acceso a la información y políticas de resguardo y recuperación de la información. Como se indicó en el capítulo 1.1 La información como activo de valor en la empresa, un Sistema de Gestión de la Seguridad de la Información (SGSI), ayuda a las empresas a definir un conjunto políticas que apoyen los objetivos de la organización en el ámbito de la administración y seguridad de la información. Para garantizar este objetivo es conveniente acreditar una certificación que avale el cumpliendo de los requisitos exigidos y ayude a gestionar, formalizar y proteger los activos de información, apoyando esta siempre en la mejora continua de los sistemas de información de las empresas. La norma para la seguridad de la información UNE-ISO/IEC 27001 detalla los requisitos necesarios para establecer, implantar, operar, supervisar, revisar, mantener, auditar y mejorar un SGSI. Es susceptible de ser adoptada por empresas de cualquier tamaño, grande, mediano o pequeño, de cualquier sector o ámbito empresarial y en cualquier parte del mundo. La norma UNE-ISO/IEC 27001 permite garantizar a las empresas que su información está protegida y es especialmente importante si la protección de la información es crítica, tal y como puede ocurrir en el sector de las finanzas, sanidad pública y tecnología de la información. Igualmente es muy eficaz para empresas que administran y gestionan la información por encargo de otras, como por ejemplo, las empresas de subcontratación de tecnologías de la información (TI). Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 30 de 35 5.2 ESQUEMA NACIONAL DE SEGURIDAD ADMINISTRACIÓN ELECTRÓNICA EN EL ÁMBITO DE LA Es importante mencionar el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en relación con el tratamiento de dispositivos de almacenamiento y borrado seguro de información. La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Este esquema está formado por los principios básicos y requisitos mínimos que se requieren para garantizar de manera eficaz la protección de la información. El Real Decreto 3/2010 expone, en su Anexo II, las medidas de seguridad que debe contemplar una empresa para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos. Las medidas de seguridad se dividen en tres grupos: marco organizativo [org], marco operacional [op] y medidas de protección [mp]. En este Anexo II, en el Apartado 5 se incluyen las medidas de protección [mp] para activos concretos. Específicamente la medida 5.5. Protección de los soportes de información [mp.si], en el apartado 5.5.5 Borrado y destrucción [mp.si.5] hace referencia a la dimensión de seguridad que corresponde a esta medida, Confidencialidad (C), entendida como la propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados 10. Además, se especifica el nivel requerido en esta dimensión de seguridad (bajo, medio o alto), según las siguientes definiciones: • Nivel BAJO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. • Nivel MEDIO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. 10 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 31 de 35 • Nivel ALTO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. En el apartado descrito del Anexo II se emplean las siguientes convenciones: • Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz “aplica”. En caso contrario se indica “no aplica”. • Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo =. • El color amarillo se refiere a las medidas que empiezan a aplicarse en la categoría media o superior. Un sistema de información será de categoría media si alguna de sus dimensiones de seguridad alcanza el nivel medio, y ninguna alcanza un nivel superior. Vistas las aclaraciones, a continuación se refleja la información extraída del Anexo II: Anexo II Apartado 5: Medidas de protección [mp]: Las medidas de protección, se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad. Apartado 5.5. Protección de los soportes de información [mp.si] Apartado 5.5.5. Borrado y destrucción [mp.si.5] Dimensiones Confidencialidad nivel bajo medio Alto no aplica aplica = La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos. a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido. b) Se destruirán de forma segura los soportes, en los siguientes casos: a) Cuando la naturaleza del soporte no permita un borrado seguro. b) Cuando así lo requiera el procedimiento asociado al tipo de la información contenida. c) Se emplearán, preferentemente, productos certificados. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 32 de 35 5.3 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), obliga a las empresas a custodiar la información de modo que no pueda ser accedida por terceros no autorizados. Hace referencia a la legislación aplicable en cuanto al uso y difusión de datos personales de un tercero sin previa autorización (por ejemplo, publicar fotografías de un cliente en el perfil social de la empresa o difundir datos personales de un socio empresarial sin previa autorización, entre otros). Además, es importante tomar en consideración que las empresas e instituciones de cualquier tamaño son responsables de todos los datos informáticos almacenados en sus equipos. Cada día más, los empleados almacenan grandes cantidades de información en los discos duros de sus equipos informáticos, que en muchos casos, contienen a su vez datos personales o privados que les confieren características de confidencialidad. La eliminación no segura de la información puede ocasionar una posterior recuperación no autorizada, ocasionando grandes perjuicios comerciales, de imagen y, por supuesto, legales. El Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD) desarrolla de forma completa la LOPD. Específicamente en el artículo 92.4 se expone lo siguiente: siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. Las sanciones 11 por el incumplimiento de obligaciones legales en materia de protección de datos pueden variar entre 900 euros a 40.000 euros (infracciones leves), entre 40.001 a 300.000 euros (infracción grave) y entre 300.001 a 600.000 euros (infracción muy grave), siendo la Agencia Española de Protección de Datos la entidad encargada de su aplicación. Por las razones expuestas anteriormente, es de gran importancia realizar un borrado seguro de datos, no sólo desde el punto de vista de la privacidad de los usuarios y la seguridad de las empresas, sino que, además, constituye una medida de obligatorio cumplimiento cuando se trata de datos de carácter personal, según lo estipulado en la LOPD y el RDLOPD. 11 Modificación de la Ley de Protección de Datos de Carácter Personal (LOPD), contenida en la Ley 2/2011, de 4 de marzo, de Economía Sostenible. Disponible en: http://www.boe.es/diario_boe/txt.php?id=BOE-A-2011-4117 Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 33 de 35 5.4 LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO (LSSI) La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSICE) regula el régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica. Las empresas tienen obligaciones y responsabilidades en lo referente al servicio y uso de la Red con fines comerciales, para garantizar el correcto uso del tratamiento de la información. Internet es una pieza fundamental en los negocios y las empresas aprovechan los numerosos servicios que se proporcionan a través de Internet, como el acceso a información ilimitada, servicios de transmisión de la información y servicios de almacenamiento y gestión de información, como las soluciones de posting y cloud computing o informática en la nube. La LSSI ofrece garantías y derechos a las empresas que contratan servicios en Internet, como por ejemplo: • Obtención de la información sobre los prestadores de servicios, servicios que ofrecen, precios, impuestos, gastos de envío. • Conocimiento de la identidad del anunciante y posibilidad de no recibir mensajes promocionales no solicitados o dejar de recibirlos si se autorizaron previamente. • Explicación de los pasos para la contratación por Internet, condiciones generales y acuses de recibo. A la hora de contratar servicios de la sociedad de la información, la empresa debe asegurarse de que el acuerdo legal contenga de forma detallada las opciones de recuperación y borrado seguro de la información en caso de incidente o terminación del contrato. El incumpliendo de la LSSI podrá acarrear distintas sanciones en función de la gravedad de las actuaciones realizadas, tipificándose las siguientes: • Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros. • Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros. • Por la comisión de infracciones leves, multa de hasta 30.000 euros. Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 34 de 35 Web http://observatorio.inteco.es Perfil en Scribd del Observatorio de la Seguridad de la Información: http://www.scribd.com/ObservaINTECO Canal Twitter del Observatorio de la Seguridad de la Información: http://twitter.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Información: http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/ [email protected] www.inteco.es Guía sobre almacenamiento y borrado seguro de información Observatorio de la Seguridad de la Información Página 35 de 35