Llegamos a ustedes gracias a:



Reportajes y análisis

La destrucción de los datos

[20/02/2012] Una parte clave de cualquier estrategia de seguridad de la información es deshacerse de los datos una vez que ya no sean necesarios. De no hacerlo, puede dar lugar a violaciones graves de protección de datos y políticas de privacidad, problemas de cumplimiento y costos adicionales.
Cuando se trata de elegir la manera de destruir los datos, las organizaciones tienen un pequeño menú. Hay básicamente tres opciones: sobre escritura, que es cubrir los datos viejos con información; desmagnetización, que borra el campo magnético de los medios de almacenamiento; y destrucción física, que emplea técnicas como la trituración de disco. Cada una de estas técnicas tiene ventajas y desventajas, señalan los expertos.
Algunas organizaciones utilizan más de un método. Por ejemplo, el fabricante de microprocesadores Intel utiliza los tres, "dependiendo de lo que estamos tratando de hacer y con qué propósito", comenta Malcolm Harkins, CISO y vicepresidente del grupo de TI.
El mercado de la destrucción de datos no ha cambiado mucho en los últimos años, agrega Ben Rothke, un profesional de seguridad de la información con amplia experiencia en la destrucción de datos. "Si hay alguna tendencia, es que cada vez más empresas son conscientes de la importancia de la destrucción de datos", añade Rothke.
Sin embargo, algunas organizaciones, especialmente las más pequeñas, necesitan más educación acerca de la destrucción de datos, de acuerdo con Jay Heiser, un analista de la firma de investigación Gartner. "Consideramos que es un tema muy importante, pero no es algo sobre lo que nuestros clientes nos pregunten", añade Heiser.
"Los clientes corporativos en general, tienen una idea bastante buena de cómo lidiar con esto, las prácticas se han mantenido relativamente constantes durante varios años, y no generan mucha atención".
Por desgracia, señala Heiser, todavía hay muchas pequeñas y medianas empresas que no han tomado en cuenta a plenitud los riesgos de los datos no destruidos.
También hay preguntas persistentes entre todo tipo de empresas sobre cómo manejar los datos que están en manos de los proveedores de cloud computing. "Lo que más me preguntan los clientes de Gartner tiene que ver con el tratamiento de datos por parte de los proveedores de servicios, especialmente software como servicio [SaaS]", añade Heiser.
Mientras que un proveedor subcontratado de centro de datos tradicional por lo general se compromete a destruir los datos al final de un contrato y confirmar la destrucción por escrito, ese tipo de política es rara o inexistente para SaaS, indica Heiser.
"Aunque la arquitectura de almacenamiento de la mayoría de los servicios SaaS probablemente signifique que los datos de antiguos clientes rápidamente se sobrescribirán y pronto se convertirán en casi imposibles de recuperar, no hay una buena forma de saber si este es el caso", añade. "El mercado SaaS tampoco tiene poca o ninguna convención que rodee el tratamiento de los datos de los clientes antiguos en los medios de copia de seguridad".
Los servicios en la nube probablemente le den cada vez más forma a cómo se percibe y se realiza la destrucción de datos en los próximos años, señala Ariel Silverstone, vicepresidente y CISO del proveedor de servicios de viajes online Expedia.
"Con la masiva migración en dirección a la nube, la destrucción de restos físicos se está acabando", añade Silverstone. "En otras palabras, la destrucción lógica, para todos los datos realmente clasificados, se reafirma como la norma. El problema no es la destrucción tanto como lo es el descubrimiento de los datos. ¿Cómo podemos encontrar los datos que necesitamos destruir?"
En cuanto a los datos en las instalaciones, las organizaciones deben considerar varios factores antes de elegir un método de destrucción, señala Jeff Misrahi, un consultor de seguridad de la información independiente y CISO con experiencia.
El primero es el tiempo dedicado a la destrucción de datos. Por ejemplo, ¿Es algo que la empresa hace mucho, o hay muchos discos acumulados?
El segundo es el costo. ¿La empresa puede pagar la destrucción de discos o necesitan ser reutilizados, y puede costear hardware especializado en destrucción?
Finalmente, piense acerca de la validación y la certificación. ¿La destrucción de datos es un requisito de cumplimiento normativo? ¿Cómo le va a demostrar a los reguladores o auditores que usted ha cumplido con los requisitos?
He aquí un vistazo a algunas de las ventajas y desventajas de los tres principales métodos de destrucción de datos.
Sobre escritura
Una de las maneras más comunes para hacer frente a los datos remanentes -la representación residual de los datos que se mantiene en medios de almacenamiento después de varios intentos de borrado- es sobrescribir los medios con datos nuevos.
Debido a que la sobre escritura se puede hacer por software y se puede utilizar selectivamente sobre toda o parte de un medio de almacenamiento, es una opción relativamente fácil y de bajo costo para algunas aplicaciones, señalan los expertos.
Entre las mayores ventajas de este método, indica Rothke, es que una sola pasada es suficiente para la eliminación de los datos, siempre y cuando se aborden todas las regiones de almacenamiento de datos.
El software también puede ser configurado para borrar datos, archivos y particiones específicas, o simplemente liberar espacio en los medios de almacenamiento. La sobre escritura borra todos los restos de los datos eliminados para mantener la seguridad, señala Rothke, y es una opción respetuosa del medio ambiente.
Por otro lado, agrega Rothke, se necesita mucho tiempo para sobrescribir todo un disco de alta capacidad. Este proceso no podría ser capaz de desinfectar los datos de las regiones inaccesibles, tales como las zonas de acogida protegidas. Además, no hay ninguna protección de seguridad durante el proceso de borrado, y está sujeta a cambios de parámetros intencionales o accidentales. La sobre escritura puede requerir una licencia independiente para cada unidad de disco duro, y el proceso es ineficaz sin un buen proceso de garantía de calidad.
Otro factor a considerar es que la sobre escritura solo funciona cuando los medios de almacenamiento no están dañados y siguen siendo utilizables, señala Vivian Tero, directora del programa de gobierno, riesgo y cumplimiento de la infraestructura de la firma de investigación IDC (una compañía hermana de la editorial CSO).
"La degradación de los medios hará que este método sea ineficaz", añade Tero. La sobre escritura tampoco funcionará en discos con características avanzadas de gestión de almacenamiento, agrega. "Por ejemplo, el uso de RAID significa que los datos se escriben en varias ubicaciones para la tolerancia a fallas, lo que significa que los remanentes de los datos se encuentran dispersos en la arquitectura de almacenamiento empresarial", comenta Tero.
Los profesionales de la seguridad señalan que, si bien la sobre escritura es rentable, no es gratuita. "La sobre escritura es definitivamente más barata que otros métodos, pero todavía tiene que gestionar la plantilla, por lo que hay costos allí", señala Harkins.
Siguiendo los estándares creados por el Departamento de defensa y el Instituto nacional de estándares y tecnología de Estados Unidos, "puede estar bastante seguro de que los datos sobre escritos serán ilegibles e inservibles", señala Harkins. "He visto que hay estudios donde la gente demuestra que puede encontrar cosas en las unidades que se sobrescriben. Pero creo que si se siguen las normas, se reduce al mínimo la probabilidad de que eso sea así".
Aun así, señala Harkins, la sobre escritura de ninguna manera es infalible. Hay áreas donde los errores pueden ocurrir y los datos pueden no estar totalmente sobrescritos. "En las manos equivocadas, alguien todavía podría ser capaz de recuperar los datos", agrega.
Desmagnetización
La desmagnetización es la eliminación o reducción del campo magnético de un disco o unidad de almacenamiento. Se hace utilizando un dispositivo llamado desmagnetizador, que está diseñado específicamente para el medio de que se borrará.
Cuando se aplica a los medios de almacenamiento magnéticos, como discos duros, cintas magnéticas o disquetes, el proceso de desmagnetización puede purgar un medio de almacenamiento de forma rápida y efectiva.
Una ventaja clave de la desmagnetización es que hace que los datos sean totalmente irrecuperables, por lo que este método de destrucción es de especial interés para el tratamiento de datos altamente sensibles.
En el lado negativo, señala Rothke, los productos desmagnetizadores fuertes pueden ser costosos y pesados, y pueden tener campos electromagnéticos especialmente fuertes que pueden producir daños colaterales a los equipos vulnerables cercanos.
Además, la desmagnetización puede crear daños irreversibles a los discos duros. Destruye los datos especiales de control servo de la unidad, que se supone debe estar permanentemente incrustado. Una vez que el servo está dañado, la unidad no se puede utilizar.
"La desmagnetización hace que los datos sean irrecuperables, pero puede dañar ciertos tipos de medios para que ya no sean utilizables", señala Harkins. "Así que si estás reutilizando esos medios, puede que este no sea el método correcto".
Una vez que los discos son inutilizados por la desmagnetización, los fabricantes pueden no ser capaces de arreglar las unidades o hacer valer las garantías de repuesto y los contratos de servicios, señala Tero.
También está el tema de asegurar los medios durante el proceso de desmagnetización. "Si existen requisitos estrictos que impiden la salida de los medios fallidos y que estén fuera de servicio desde el centro de datos, la organización debe asignar espacio físico en el centro de datos para asegurar los medios y equipos para el proceso de la erradicación del disco", añade Tero.
La eficacia de la desmagnetización puede depender de la densidad de las unidades, indica Harkins. "Nos encontramos con esta cuestión hace tres o cuatro años con los discos duros de computadoras portátiles", agrega.
"A causa de los cambios en la tecnología de las unidades de disco duro y su tamaño, se encontró que algunas de las capacidades de desmagnetización estaban disminuyendo con el tiempo".
Qué tan efectivo es el método también depende de las personas que hacen la desmagnetización. "Si la gente comete errores, entonces su control disminuye", señala Harkins. "Digamos que la persona responsable de las unidades de desmagnetización se suponía que debían hacerlo en 15 minutos, pero tuvo que salir a almorzar por lo que lo hizo en cinco minutos. Podría tener fallas por el estilo". Pero admite que los tres métodos son susceptibles a errores humanos.
La destrucción física
Las organizaciones pueden destruir físicamente los datos en un número de maneras, como por ejemplo triturar el disco, derretirlo o cualquier otro método que haga que lo medios físicos queden inutilizables e ilegibles.
Una de las mayores ventajas de este método es que proporciona la máxima seguridad de destrucción absoluta de los datos. No hay posibilidad de que alguien sea capaz de reconstruir o recuperar los datos de un disco o una unidad que ha sido destruida físicamente.
En el lado negativo, la destrucción física puede ser una forma costosa de deshacerse de los datos, dados los altos gastos en cuestión.
"La destrucción física es una estrategia cara y no sostenible fiscalmente a largo plazo", señala Tero. "El enfoque también contraviene los programas verdes y de sostenibilidad de la organización".
Sin embargo, Intel ha encontrado que la destrucción física es un método eficaz de deshacerse de los datos cuando el medio transportable de almacenamiento para la desmagnetización no es práctico ni seguro.
Por ejemplo, cuando la empresa necesitaba limpiar datos de miles de unidades en varios lugares, sus opciones eran o bien la desmagnetización en múltiples sitios, lo que habría sido costoso, o enviar las unidades a un solo lugar, lo que habría sido arriesgado si las unidades caían en las manos equivocadas.
La compañía terminó acumulando miles de unidades antiguas, mientras meditaba cómo destruirlas de una manera que no fuera prohibitivamente cara, pero que todavía resulte en la destrucción completa de los datos. Intel ha estado trabajando con los contratistas de chatarra que funden y recuperan los metales preciosos, y a alguien se le ocurrió la idea de tener que fundir las unidades de disco duro y reciclar el metal.
"No hubo ningún impacto sobre los costos del presupuesto de TI, y también era verde debido a que los metales estaban siendo reciclados", señala Harkins.
Sin embargo, Harkins agrega que la eficacia de los métodos de destrucción física depende de la cantidad del medio que fue destruido en realidad. "Yo todavía me preocuparía por taladrar agujeros en un disco duro", lo que podría hacer que la unidad quede inservible, pero sin destruir los datos que se quedan en los espacios no afectados, finaliza.
Bob Violino, CSO (EE.UU.)