BORRADO SEGURO

El borrado seguro es muy importante, ya que si tanto particulares como empresas se deshacen de sus viejos dispositivos informáticos sin tomar medidas que prevengan las recuperaciones no deseadas, ponen en riesgo su seguridad y confidencialidad.

Se calcula que de media, en España se desechan entre 3 y 4 millones de ordenadores y cerca de 12 millones de teléfonos móviles al año , sin tener en cuenta los datos o información que se contiene en los mismos.

En el año 2009, el 66,3% de los hogares con al menos un miembro de 16 a 74 años disponía de ordenador. El 51,3% de los hogares disponía de algún tipo de ordenador de sobremesa y un 34,7% de portátiles.

Como dato anecdótico, en el año 2003, dos estudiantes del Massachusetts Institute of Technology, adquirieron un total de 158 discos duros a través de diferentes páginas de subastas en internet y tiendas de segunda mano, con la finalidad de realizar un estudio respecto al borrado e información que se “olvidaban” los anteriores usuarios de los mismos, antes de desecharlos. Los datos que obtuvieron fueron muy clarificadores, así de los 158 discos duros adquiridos, 129 eran funcionales y tras realizar un análisis exhaustivo, encontraron en su interior más de 5000 números de tarjetas de crédito, información personal detallada de los antiguos usuarios, registros financieros de diferentes empresas, numerosos informes médicos, y varios gigas de mails personales e imágenes pornográficas. Un total de 60 de los discos duros, se habían formateado pero su información se pudo recuperar sin demasiados problemas, 28 de ellos no tenían ningún proceso de borrado y solo 12 de ellos habían sido borrados por un procedimiento seguro.

¿Por qué no los eliminamos con un simple click?

Al deshacerse de un equipo, mucha gente mantiene la falsa idea, de que no almacena en él ningún dato importante, o que a nadie le puede interesar o se tomará las molestias de comprobarlo. Pero nada más lejos de la realidad.

El sistema operativo de nuestros equipos informáticos –Windows, Linux, OS X- nos hace creer que cuando enviamos los datos o documentos a la papelera de reciclaje o formateamos el disco duro, el borrado es definitivo. Pero no es así.

El espacio ocupado por estos archivos, queda disponible para ser reutilizado por otros que almacenemos posteriormente, pero mientras esto no se produzca, la información sigue guardada en el disco duro. Esto es debido a que la mayoría de los sistemas operativos, simplemente asignan como vacíos, los sectores donde se encuentra el archivo que hemos intentado borrar definitivamente, sin eliminar realmente esa información, esperando a que éstos se sobrescriban con nuevos datos. Lo que a simple vista dejamos de ver, sigue estando disponible si se saben emplear los medios adecuados para su recuperación.

¿Puede afectarnos?

Tanto las empresas como Administraciones Públicas, son cada vez más conscientes de la importancia de las nuevas tecnologías de la información y las comunicaciones –TIC- para gestionar con plena eficiencia y eficacia sus funciones y servicios.

Pero no se percibe una amenaza que se cierne sobre sus sistemas de información, cada día más complejos y con amenazas que avanzan a la misma velocidad que la tecnología.

EL simple hecho de desechar de un ordenador de sobremesa de una empresa, puede permitir a competidores o antiguos empleados, aprovecharse en perjuicio de la misma, llegando incluso a apropiarse de información confidencial y altamente transcendente para la empresa o datos de contacto de clientes.

Las Administraciones Públicas gestionan millones de datos personales e información variada de la ciudadanía en sus funciones diarias, permitiendo en caso de desarrollar una correcta política de desecho, el apoderamiento de todo ello con un simple procedimiento de recuperación.

Cada día nos encontramos en los diferentes medios de comunicación, noticias sobre información que aparece en la basura o se encuentra en plena calle. Pero realmente cuando eliminamos nuestros papeles intentamos romperlos o emplear una destructora de papel, sin darnos cuenta de que cuando desechamos un equipo informático o un dispositivo o un soporte electrónico, estamos tirando a la basura millones de papeles –electrónicos-.

Cuando la información se refiere a datos personales, pueden existir sanciones de la Agencia Española de Protección de Datos e incluso sanciones penales. Pero evitar el daño previniendo es más sencillo de lo que parece, porque desechar un equipo por una avería, por cambiarlo por uno más actual, porque no soporta ciertas aplicaciones o por cualquier motivo, puede abrir la puerta a nuestra vida, nuestro negocio y nuestras cuentas bancarias.

La convicción de que la Seguridad de la Información debe ser una prioridad en las empresas y las Administraciones Públicas, tiene que ser una realidad, que en muchas ocasiones requerirá de dotaciones económicas, en la misma medida que se preocupa una organización de contar con una empresa de seguridad y vigilancia que evite accesos a las instalaciones.

El procedimiento de borrado

¿Qué es?

Todos sabemos que el borrado de archivos es la acción que realizamos para eliminar una determinada información que ya no nos resulta útil o necesitamos, pero desde una perspectiva técnica, sería “la acción de una unidad de disco duro al marcar un grupo de sectores ocupados del mismo como sectores libres.”. El borrado común, implica que el disco duro no realiza la tarea de borrado completo, sino que marca espacio en uso por espacio libre, pudiendo así, convertirse en espacio libre, para ser utilizado por otros archivos que en el futuro quisiésemos almacenar.

Pero el borrado seguro, va más allá. Este procedimiento cuando borra un archivo, sobre escribe en el mismo una combinación determinada, evitando así que de realizarlo correctamente, este archivo se pueda recuperar. Este procedimiento debe realizarse de una manera determinada para lograr el objetivo, porque una simple sobre escritura no logra el objetivo.

¿De verdad que no me sirve el simple formateo del equipo?

Al formatear el equipo o dispositivo o soporte que queramos, podremos observar que su capacidad ha aumentado, y aparecerá como libre, el espacio que antes ocupaban los archivos. Pero lo único que se ha hecho con la acción de formatear, es preparar el disco para almacenar más información, conservando todos los archivos intactos por lo que van a poder ser recuperados por terceras partes.

¿Qué peligros entraña el no realizar un borrado seguro?

La generación, almacenamiento y flujo de información en sistemas informáticos hoy en día, es constante y va en aumento año tras año. Muchas veces no somos conscientes de que empleamos sistemas que previamente han sido empleados por otras personas o que nuestros viejos o inútiles sistemas, pueden estar en manos de otros.

Actualmente no es extraño adquirir o eliminar el equipamiento en las empresas o las Administraciones Públicas o en nuestros propios hogares, a través de la compraventa de segunda mano, contratos de leasing o renting, reutilización de equipos, donaciones o una simple restructuración de áreas o de personal. Y la gran mayoría de ellos sin proceder a un borrado seguro o encriptar su contenido, por lo que el nuevo adquiriente con unas nociones de informática, podrá acceder y recuperar lo que teníamos almacenado.

Y eso sin tener en cuenta que, la picaresca o mala fe, puede hacer de esa información un auténtico filón de oro, por medio de extorsiones, sobornos, reventas o uso en su propio beneficio . Y no son casos raros o que no se estén produciendo cada día, por ejemplo la cadena BBC, denunció un nuevo tipo de negocio detectado en Nigeria. El gobierno de este país había enviado sus viejos equipos a este país, pero lo que también envió fue el contenido de todos ellos, que se encontraban en sus discos duros por lo que la venta de datos bancarios de clientes británicos y otras muchas informaciones están en manos de quienes supieron recuperar los datos que habían sido “formateados” o simplemente “eliminados tras enviarlos a la papelera de reciclaje”.

No es el único caso. Desde fotos personales, contraseñas, documentos confidenciales, información bancaria, y toda la multitud de datos que almacenamos, puede acabar en malas manos si no tomamos las medidas oportunas.

Recuperación de disco duro

¿Borraste aquel archivo que no querías que nadie viera? ¿Sabes que existe una forma de recuperarlo?

Tanto si borraste queriendo como sin querer un documento, sin emplear un procedimiento de borrado seguro, se puede recuperar.

En ocasiones es necesarios recuperar información de viejos equipos, dispositivos o soportes, porque una avería, un virus, un accidente, un golpe o una sobretensión han provocado que se pierda el documento o el archivo que necesitamos.

Una de las aplicaciones de la informática forense es precisamente examinar y recuperar datos residuales de diferentes equipos o soportes, que previamente se han intentado eliminar para evitar dejar huellas.

La información que se podrá recuperar de los dispositivos, soportes y equipos informáticos, estará determinada por el uso que se diera al mismo y por el proceso que se haya seguido para eliminar los datos o archivos. Teniendo en cuenta esto, son susceptibles de recuperación, direcciones IP, direcciones de correo, números de cuentas bancarias, contraseñas, fotografías, documentos, informes, videos y toda clase de información que a priori se hubiera podido almacenar.

La recuperación de datos es una auténtica ciencia. Su fin es intentar reconstruir el sistema del archivo, de manera que así se pueda acceder al archivo de datos.

Pero el problema reside en que cada sistema operativo tiene su propio sistema para indexar y monitorizar los archivos que se generan y cada uno de ellos, es especialmente complejo.

Lo que dice la ley

Normativa

Debemos tener presente, que independientemente de lo que nos dice la ley, cualquier acto de pérdida de información en una organización o empresa dañan la imagen y reputación de la misma, además de mermar la confianza del consumidor y el cliente, pudiendo acarrear pérdidas de contratos o de altas cuantías económicas o de tiempo.

Nuestra normativa, sobre protección de datos es muy estricta respecto al tratamiento de desecho de la información y datos personales, exigiendo altos niveles de seguridad en la destrucción de documentos no sólo con soporte en papel, sino también contenida en plásticos, microfichas, formatos de almacenamiento ópticos -CD, CD-RW, HD DVD, VMD y Blue Ray-, cintas de video, placas médicas, películas de triacetato y cualquier otro medio de almacenamiento, unidades flash USB, discos externos e internos, teléfonos móviles, PDA’s, contendores multimedia, etc…

La Ley Orgánica 15/1999 de Protección de Datos Personales y su reglamento de desarrollo, el Real Decreto 1720/2007, imponen una serie de medidas de carácter obligatorio a las empresas y Administraciones Públicas, para garantizar la seguridad de los datos personales que manejan de los ciudadanos. Entre estas medidas, el legislador ha querido reflejar el problema de los datos almacenados en dispositivos y soportes informáticos respecto a la insuficiente eliminación de los mismos por los medios que habitualmente se emplean, el borrado sencillo.

Disponen los artículos 4.5 de la Ley Orgánica de Protección de Datos y 8.6 del Reglamento de desarrollo de la ley, que habrá que cancelar los datos personales que se hubieran recogido, cuando estos dejen ser necesarios para los fines por los que se recogieron, momento en que habrá que conservarlos durante un periodo mínimo de 3 años, si no existe otra ley que determine el tiempo en que se podrían ejecutar acciones de responsabilidad donde pudieran verse involucrados los documentos en que se encuentren los datos personales.

Transcurrido el tiempo legalmente estipulado, los datos deberán destruirse –salvo que se disocien-, por un procedimiento seguro que impida la reutilización de los mismos o vulnere el deber de secreto del artículo 10 de la Ley Orgánica de Protección de Datos. El legislador ha querido reforzar especialmente esta medida de eliminación segura de documentación y soportes o equipos informáticos, y de tal forma lo ha incluido entre las medidas a desempeñar, en el artículo 92 del Reglamento de desarrollo de la ley, “Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.”.

La Agencia Española de Protección de Datos, ha impuesto muchas sanciones -ej. PS/00534/2008 o PS/00137/2010- relacionadas con documentos o equipos informáticos de los que se ha podido recuperar la información, “debió, por ello, adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información que contenían dichos documentos. Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho que dicha documentación fue encontrada por la entidad denunciante, en la vía pública, fuera de los contenedores y dispersa.”.

La Audiencia Nacional también ha resuelto diferentes recursos de entidades sancionadas por no haber eliminado correctamente soportes o documentos; 1182/2001, 1517/2001, 160/2006; dictaminando en común que “No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. (…) se trataba de documentos de uso interno a los que no debían tener acceso personas ajenas al organigrama de…y si lo tuvieron fue de manera anómala, esto es, por una insuficiencia o deficiente puesta en práctica de las medidas de seguridad” y su consagrada doctrina de deudor de la seguridad “Como ha dicho esta Sala en múltiples sentencias…se impone, en consecuencia, una obligación de resultado, consistente en que se adoptan las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros…la recurrente es, por disposición legal una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor.”

Si una empresa o administración, no cumpliera lo dispuesto por el Artículo 10 –deber de secreto- y 9 de la Ley o lo desarrollado en el Real Decreto 1720/2007, respecto al desecho de soportes o documentos, estaría incurriendo en dos infracciones tipificadas en el artículo 44.2 e) o 44.3 g) y 44.2. h) de la Ley Orgánica 15/1999, pudiendo ser calificadas como infracción grave, que podrían ser sancionadas con una multa que oscilaría entre los 60.101,21€ a los 300.506,05 €.

Las organizaciones –públicas y privadas- deben tener un adecuado sistema de tratamiento de los datos y garantizar un pleno cumplimiento de las medidas que impone la legislación, pero en especial se debe:

Clasificar la información y tratarla conforme a su nivel de seguridad.
Velar por el cumplimiento de la normativa específica conexa.
Destruir o borrar la información según el soporte en el que se encuentre de una manera segura y que impida su recuperación posterior.
De nada han servido a muchas empresas o Administraciones, presentar certificados o facturas de empresas de reciclaje o borrado, que prestaron servicios a las mismas, pero no con la eficacia que impone la ley, porque lo cierto es que los procedimientos realizados deben asegurar el resultado, no solo el mero intento.

Pero debemos ser conscientes, que la obligación legal recae sobre todo tipo de soportes, donde se pueda almacenar datos, y desde un punto de vista de equipamiento informático, incluye Información en discos duros y removibles, Información en teléfonos móviles, Información en PDAs, Información en imágenes, videos y similares.

¿Por qué nosotros?

¿Por qué elegirnos?

Porque la práctica totalidad de proveedores de servicios, no cuentan con un equipo multidisciplinar, implicado en todos los procesos de negocio que desarrollamos –informático, legal, seguridad de la información y tecnológico-.

Porque contamos con los medios técnicos y recursos humanos necesarios y porque nuestra experiencia en el sector TIC y de servicios TI nos avala.

Porque no formateamos los equipos. Por lo que aplicamos un procedimiento de borrado dividido en varias fases.

Porque realizamos un escrupuloso procedimiento para lograr el objetivo de borrado seguro con una prueba o intento de restauración, que acredita que la información ha sido correctamente eliminada por los procedimientos correctos.

Porque nuestro interés es siempre la satisfacción del clientes, la calidad, la confidencialidad y la mejora continua de los trabajos.

Porque somos especialistas en seguridad de la información.

Venta

Morbi sagittis felis vel sollicitudin rutrum. In ac enim nulla. Morbi est sapien, hendrerit eu leo nec, volutpat finibus ex. Curabitur non semper ligula, quis sagittis libero. Quisque sit amet hendrerit nulla, sed sodales arcu. 

Leasing

Morbi dui leo, blandit vel tempor non, eleifend et massa. Sed pharetra ornare nisl. Quisque eu aliquet nulla, in auctor est. Donec rhoncus ullamcorper scelerisque. Curabitur cursus ut libero sed eleifend.

Reubicación

Morbi dui leo, blandit vel tempor non, eleifend et massa. Sed pharetra ornare nisl. Quisque eu aliquet nulla, in auctor est. Donec rhoncus ullamcorper scelerisque. Curabitur cursus ut libero sed eleifend.

Donación

Morbi dui leo, blandit vel tempor non, eleifend et massa. Sed pharetra ornare nisl. Quisque eu aliquet nulla, in auctor est. Donec rhoncus ullamcorper scelerisque. Curabitur cursus ut libero sed eleifend.

Renting

Morbi dui leo, blandit vel tempor non, eleifend et massa. Sed pharetra ornare nisl. Quisque eu aliquet nulla, in auctor est. Donec rhoncus ullamcorper scelerisque. Curabitur cursus ut libero sed eleifend.

Reciclaje

Morbi dui leo, blandit vel tempor non, eleifend et massa. Sed pharetra ornare nisl. Quisque eu aliquet nulla, in auctor est. Donec rhoncus ullamcorper scelerisque. Curabitur cursus ut libero sed eleifend.

ENCUÉNTRANOS EN:

Calle Luis Braille, 13 Bajo

Calle Luis Braille, 13, Bajo. Oviedo, Asturias, España

info@obice.es

902 02 47 31