Una de las cuestiones que la mayoría de las empresas tienen pendientes es implantar políticas de borrado seguro. Se trata en primer lugar de tener controlados los dispositivos de almacenamiento con los que se trabaja en la empresa y de esta forma los datos de nuestros clientes que pueden ser sensibles.
No se trata ya solo de una cuestión de datos personales, que también, sino de datos estratégicos de nuestra organización que no tienen por qué acabar en manos indebidas simplemente porque nos olvidamos de borrar la información cuando dejamos de utilizar un ordenador que acabó no se sabe muy bien como en manos de terceros.
No se puede perder el control de los datos en ningún momento
Para empezar a establecer una política de borrado seguro es necesario:
Tener controlados y documentados los dispositivos que contienen datos de nuestra empresa. Incluimos los discos duros de servidores y almacenamientos centrales, pero también los dispositivos de copias de seguridad.
Se deben incluir las estaciones de trabajo, en caso de que puedan guardar información en sus propios discos, así como si realizamos algún tipo de almacenamiento online, por ejemplo en la nube.
En este caso es necesario que te asegures que si dejas de utilizar este servicio de almacenamiento se encargarán de destruir dichos datos.
Especial atención hay que prestar a los dispositivos de almacenamiento externos, tipo USB, que es muy fácil perder. O se limita la copia de datos en dichos dispositivos, o se documenta y controla el número de ellos permitidos.
Lo mismo podríamos decir de las conexiones remotas, de empleados que trabajan desde su casa, a los que en ningún caso debería permitirse almacenar datos en su ordenadores. Esto también aplica en el caso de almacenamientos en teléfonos móviles o tablets.
Supervisar y documentar el mantenimiento de los mismos, en caso de que tengan que ser reconfigurados, reparados o cambiados.
Asegurar la cadena de custodia en el caso de que tengan que salir de nuestras instalaciones para dicha cuestión. Si se trata de copias de seguridad que salen de la empresa de forma habitual, siempre tienen que ir cifradas.
Documentar todas las acciones de borrado, con la herramienta con la que se ha realizado, si ha sido un borrado de software o se ha destruido el disco físicamente, detallando cómo y cuando se ha realizado.
Por último hay que hablar del papel, que no deja de ser otro soporte de información, al que muchas veces ya no se le da la importancia debida. Es necesario tener una política de destrucción de documentos establecida. En muchas empresas se almacenan en contenedores que después pasan a recoger para ser destruidos. Otras tienen sus propias trituradoras de papel para hacerlas ellas mismas. Hay que asegurarse que estas trituradoras cumplen con la normativa establecida para la protección de datos.
Lo normal es que si un ordenador no va a salir de la empresa, es decir, pasa de un puesto a otro, no se realicen estas políticas de borrado seguro. En todo caso depende de qué nivel de acceso tenga. Si el ordenador del jefe pasa a otro empleado, en estos casos lo mejor es que se «limpie» el disco no solo eliminando datos, sino con un borrado seguro que nos garantice que el espacio libre del disco no tiene datos que se puedan recuperar.