Prioriza privacidad sobre pagos
Debes tener la responsabilidad corporativa de asegurar que todos los datos se eliminan permanentemente de los activos de IT y que no van a caer en manos equivocadas más adelante. La fuga de datos corporativos de clientes, ya sea accidental o intencionadamente, puede tener importantes consecuencias financieras, legales y de reputación, que van mucho más allá de las implicaciones estándar que tiene cerrar un negocio.
Las empresas pueden mitigar este riesgo de exposición a los datos y los costos incurridos, mediante la implementación de políticas de retención de datos y eliminación de datos, definiendo etapas clave en el ciclo de vida de los datos donde podrían verse comprometidos, detallando cuándo, dónde y cómo eliminar correctamente los datos que ya no son necesarios.
Una política de eliminación de datos debería siempre ser integrada en las políticas y procesos generales de gestión de datos de las organizaciones, pero esta no suele ser la realidad hoy en día. Desafortunadamente, la eliminación de datos suele ser baja en la lista de prioridades de los CIOs y profesionales de IT en términos de presupuesto, recursos y herramientas. Esto se debe en gran parte a la gran cantidad de miedo que persiste sobre otras amenazas de seguridad como malware, phishing y spoofing.
Para empeorar las cosas, las empresas tienen una visión incompleta y no entienden la gestión de activos de los datos. Como resultado, la eliminación de datos dentro de las organizaciones está fuertemente ligada al ciclo de vida de cada activo físico, y en la mayoría de los casos, el ciclo de vida de los datos, puede ser mucho más largo o más corto, que la vida útil de un activo físico.
¿Son realmente datos confidenciales?
La función de la papelera de reciclaje de los equipos, hace que sea fácil para los usuarios recuperar archivos que pueden haber sido eliminados accidentalmente, salvandonos en muchas ocasiones de un pánico repentino. Pero la emoción inicial es de corta duración y nos muestra la falta de comprensión sobre la diferencia entre borrar y borrar permanentemente los datos.
El uso de comandos de borrado básicos, la eliminación de Windows, la instalación de nuevo, o incluso el formateo de una unidad completa, no eliminan permanentemente los archivos. Esas acciones solo mueve la información de un lugar a otro. En realidad no destruyen el archivo. Simplemente eliminan punteros e indicadores de datos. Por lo tanto, una empresa que cierra, todavía tiene miles, posiblemente incluso millones, de archivos que son fácilmente accesibles y susceptibles a la pérdida de datos o robo.
Para asegurarse de que no se puede recuperar la información suprimida, las empresas necesitan utilizar herramientas certificadas que borren los datos de forma segura y cumplan con los estándares normativos. Es fundamental que las empresas no solo borren los datos sino que también proporcionen evidencia de que el proceso se ha realizado y que todos los datos han sido eliminados completa y permanentemente.
Ahora es aquí donde la verificación es absolutamente crítica. Es similar a cuando se presentan los impuestos. Una vez que has presentado tus impuestos, siempre pides un resguardo y documentación que acredite que los impuestos se han presentado. Porque siempre puedes utilizarlo para protegerte en caso de una auditoría financiera. La misma lógica se aplica a la eliminación de datos. Y sin embargo son pocas las empresas que piden pruebas de que los datos han sido borrados permanentemente, y de que nunca van a poder ser recuperados.
Los informes de eliminación de datos deben contener detalles del hardware, como el número de serie de la BIOS, datos de etiquetas, dirección MAC y números de serie del disco duro, así como información detallada sobre el software utilizado para completar el proceso de borrado. Y es fundamental que estos documentos sean inviolables. Si no se proporcionan, la credibilidad del método de eliminación de datos en sí mismo no se puede verificar. Esto abre la puerta a riesgos mayores, y hace que sea mucho más difícil mantener una auditoría que pueda ser controlada por auditores u otros reguladores de seguridad.
Cada certificado de borrado debe compararse con la base de datos de activos actual para confirmar que todos los datos mantenidos por la empresa se han borrado permanentemente. Es una especie de auditoría del borrado. Puedes utilizar una herramienta que pueda recopilar informes de borrado en una base de datos para ayudar a automatizar este proceso, y que tenga una API para facilitar la integración con tu base de datos de activos. En el entorno digital, la eliminación de datos tiene que convertirse en la regla, no en la excepción.
Para aquellas empresas que pasan por alto la eliminación permanente de información crítica almacenada en entornos de IT, será como si hubieran enviado cientos de archivos, directamente a la papelera de reciclaje de un hacker, haciéndolos fácilmente recuperables y susceptibles a una violación de datos.
