7 pasos para crear un proceso de sanitización de datos

En las últimas semanas hemos estado abordando el tema del borrado seguro, y de cómo este procedimiento ayuda a las organizaciones a cumplir con las normativas de privacidad de datos.

Ahora bien, también existen otras prácticas que pueden ser clave a la hora de establecer medidas contra ciberataques originados por información crítica obsoleta, y con la ayuda del equipo de Delete Technology, queremos hablarte acerca de la sanitización de datos.

El Instituto Nacional de Estándares y Tecnología (NIST) describe 7 pasos para crear un marco de ciberseguridad global. Estos pasos también son aplicables para crear un proceso completo de desinfección de datos.

Paso 1. Priorización y Alcance

En este paso, la empresa debe identificar los riesgos asociados con la falta de control sobre la información a lo largo de su ciclo de vida y además detectar la necesidad de un enfoque del ciclo de vida de la información que implique procesos adecuados de desinfección de datos en

cada paso. Además de enlistar las aplicaciones y almacenes de información particulares que se encuentran dentro del alcance y los recursos que se están dedicando al saneamiento de datos a medida que se implementa una política clara. El alcance del programa se decide a partir de la información de mayor prioridad y los tipos de información que podrían estar dentro del alcance incluyen, pero no se limitan a lo siguiente:

• Registros de empleados (salud, desempeño, acciones disciplinarias, financieros)
• Registros de clientes
• Información de identificación personal
• Correo electrónico y otras comunicaciones corporativas.
• Documentos legales (contratos, memorandos de entendimiento, presentaciones públicas)
• Registros de transacciones
• Propiedad intelectual (patentes, notas, registros de investigación)
• Material de marketing
• Documentación de atención al cliente
• Documentación de calidad de fabricación.
• Registros que no han sido anónimos

Paso 2. Orientación en el proceso

Una vez que se ha determinado el alcance del programa de desinfección de datos para el negocio, la organización debe identificar los sistemas y activos relacionados, los requisitos reglamentarios y los riesgos generales de exposición de datos. Este ejercicio de auditoría de datos abarcará todos los tipos de datos recopilados almacenados, procesados, archivados y eliminados, para identificar las amenazas y vulnerabilidades de los almacenes de datos, sistemas y activos utilizados.

Paso 3. Creación del perfil actual

En este punto se debe mapear el estado de los procesos existentes con la documentación de respaldo, así como determinar cuando sea necesario, el método adecuado de desinfección de datos. Por ejemplo, hacer un mapa del proceso por el cual se incorporan los nuevos clientes y cómo se crean y mantienen los registros a medida que sus pedidos se cumplen, se entregan, se facturan y se contabilizan los pagos. A medida que los registros envejecen, ¿cómo se archivan? ¿Por cuánto tiempo? ¿Existe una política de retención de registros para cada entorno regulatorio? ¿Cuál es el procedimiento apropiado para deshacerse de esos registros al final de su vida?

Estas preguntas pueden ser de mucha ayuda para la creación del perfil según la actividad del negocio.

Paso 4: Realizar una evaluación de riesgos

Aquí es importante identificar el riesgo de una acción regulatoria, incluidas multas no conformidades, impuestas por los reguladores con base en el perfil de la empresa que fue creado en el paso 3. El objetivo de esta fase es cuantificar el riesgo para la organización derivado de la eliminación incorrecta de los datos, incluida la pérdida de la propiedad intelectual, los costos de notificación de infracciones y el impacto en la marca y la satisfacción del cliente.

Paso 5: Creación de un perfil objetivo o de destino

En este paso se establecerán las metas para la gestión de saneamiento de datos. El Perfil objetivo es el estado final deseado: un programa de desinfección de datos completamente implementado dentro del alcance definido en el Paso 1. Para cada clase de información priorizada, se debe definir su fin de vida útil (período de retención) y aplicar la desinfección de datos adecuada. Para la mayoría de la información puede ser suficiente la sobreescritura de software certificado, pero es posible que algunos equipos deban ser destruidos físicamente y que se mantengan registros de esa destrucción.

Paso 6: Determinar, analizar y priorizar las brechas

Determinar qué tecnología, procesos y personas deben pasar del Perfil actual al Estado objetivo. Por ejemplo, se puede determinar que no existe un proceso establecido para la limpieza permanente de archivos temporales, como los generados por la actividad de navegación y debido a esto, buscar implementar un software que pueda desinfectar automáticamente los archivos temporales.

Otro ejemplo de una brecha puede ser la forma en que el hardware en un centro de datos se devuelve al fabricante para su garantía. Será necesario implementar un proceso completo de desinfección del disco para cerrar esta brecha.

Paso 7. Implementar el Plan de Acción

Trabajar sistemáticamente para cerrar brechas y mejorar continuamente las prácticas de desinfección de datos; crear hitos medibles que se puedan revisar al menos 1 vez al año de forma que se puedan correr los 7 pasos del proceso para garantizar la mejora continua.

Ahora que ya tienes esta información, puedes echar a andar un plan para la sanitización de datos, evitar incumplimientos y sobre todo ser víctima de un ataque debido a una brecha por mal uso de la información.

Si quieres saber más de las estrategias para la eliminación de los datos correctamente, contáctanos para tener una conversación y asesorarte.