SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Eliminación Segura de Información Sistema de Gestión de la Seguridad de la Información Código: SSI-9-03 Control: A.9.2.6 A.9.2.7 Este documento es de propiedad exclusiva de SENDA y su uso debe estar ceñido a lo dispuesto en la clasificación del mismo, quedando prohibida la divulgación y/o reproducción total o parcial del contenido de éste, sin la debida autorización por parte del Comité de Seguridad de la Información. Su uso y distribución sólo está autorizado al interior de SENDA y por parte del personal debidamente habilitado.
Página 2 de 8 Control de versiones: VERSIÓN ELABORADO REVISADO APROBADO FECHA 1 Encargado de Seguridad de la Información Jefe Tecnología e Informática Comité de Seguridad de la Información 22/10/2013
Página 3 de 8 Contenido 1. Introducción... 4 2. Objetivo... 4 3. Roles/Responsabilidades... 4 4. Alcance... 4 5. Referencias... 4 6. Descripción... 5 6.1. Consideraciones Generales.... 5 6.2. Eliminación Lógica de Discos Duros... 5 6.3. Eliminación Física de Medios... 5 6.4. Eliminación de dispositivos ópticos: CD, DVD, Minidisc y similares.... 6 6.5. Eliminación física de otros medios no re-escribibles: Papel, papel calco, negativos fotográficos, fotocopias desechadas, etc... 6 7. Registros de Control... 6 7.1. Registro de Formateo de Discos Duros... 6 8. Indicador de eficacia... 6 8.1. Porcentaje de discos duros correctamente formateados... 6 9. ANEXOS... 7 9.1. Instructivo de Eliminación de Información Digital... 7
Página 4 de 8 1. Introducción Los procesos de eliminación de información se establecen con el propósito de velar por la seguridad de todos los medios de almacenamiento de información y la confidencialidad de la información contenida en ellos. Los procedimientos y normas planteadas toman como base los medios actuales y plantean normativas para futuras tecnologías, con el propósito de facilitar la inserción de nuevos medios a ser utilizados. 2. Objetivo Facilitar los procesos de control de medios e información que dejen de ser requeridos. 3. Roles/Responsabilidades Área Tecnología e Informática: Definir, actualizar y ejecutar los procedimientos de destrucción de medios de almacenamiento (cintas, discos duros, CD, etc.) que contengan información sensible para la institución. Jefaturas de Área: Definir la información que debe conservarse y por cuánto tiempo. 4. Alcance Este Procedimiento aplica a todos los medios de almacenamiento dispuestos y/o autorizados por SENDA. 5. Referencias Inventario de Activos de Información Políticas de Respaldo Instructivo de Eliminación Información Digital
Página 5 de 8 6. Descripción 6.1. Consideraciones Generales. Deben chequearse los plazos de almacenamiento establecidos para cada tipo de medio de almacenamiento, criticidad e importancia antes de proceder con la eliminación física y/o lógica de la información. Entiéndase eliminación física como la destrucción del objeto y eliminación lógica como la destrucción del contenido, ambas de manera irreversible. Esta información se encuentra definida en el Inventario de Activos de Información. Las solicitudes especiales de eliminación deben estar correctamente visadas por el Área de Tecnología e Informática, o por quien ésta delegue. El Área de Tecnología e Informática determinará la forma adecuada de almacenamiento para cada tipo de medio, de igual manera, determinará el proceso adecuado de eliminación de éste, cuando ya haya finalizado su utilidad. 6.2. Eliminación Lógica de Discos Duros El proceso de eliminación lógica deberá ser realizado mediante software específico que esté diseñado para un proceso eficaz. Será responsabilidad del Área de Tecnología e Informática establecer cuál ocupar y deberá considerar nuevos programas en caso de detectarse incompatibilidad con los resultados esperados. (Ver Instructivo de Eliminación Información Digital). Todo proceso de eliminación lógica deberá ser revisado y validado por el Área de Tecnología e Informática, además deberá registrar el resultado del proceso para un control y seguimiento posterior. 6.3. Eliminación Física de Medios Eliminación de dispositivos re-escribibles no ópticos: Cintas magnéticas, discos duros, pendrives, etc. Para todo medio de almacenamiento masivo re-escribible se debe realizar un proceso de eliminación lógica antes del proceso de eliminación físico. El proceso de eliminación físico corresponde a la inutilización del dispositivo antes de ser desechado. La eliminación física del dispositivo deberá realizarse cumpliendo con las normas ambientales a definir por la institución.
Página 6 de 8 6.4. Eliminación de dispositivos ópticos: CD, DVD, Minidisc y similares. La ejecución de este procedimiento podrá ser realizado por el funcionario que tenga a cargo el dispositivo. Todo almacenamiento óptico, re-escribible o solamente escribible deberá ser destruido físicamente doblando el disco de manera que no pueda ser nuevamente introducido en un lector de estos medios o logrando la fragmentación del dispositivo. La eliminación física de los restos del dispositivo deberá realizarse cumpliendo con las normas ambientales definidas por la institución. 6.5. Eliminación física de otros medios no re-escribibles: Papel, papel calco, negativos fotográficos, fotocopias desechadas, etc. La ejecución de este procedimiento podrá ser realizado por el funcionario que tenga a cargo el medio no re-escribible. Los documentos serán destruidos mediante trituradoras de papel con almacenamiento cerrado. De no contar con este medio se deberá destruir el medio no re-escribible, procurando que no pueda ser reconstruido. La eliminación física de los restos deberá realizarse cumpliendo con las normas ambientales definidas por la institución 7. Registros de Control 7.1. Registro de Formateo de Discos Duros 8. Indicador de eficacia 8.1. Porcentaje de discos duros correctamente formateados Evidencia: Registro de Formateo de Discos Duros Frecuencia de medición: Trimestral
Página 7 de 8 9. ANEXOS 9.1. Instructivo de Eliminación de Información Digital Paso 1 Bajar la siguiente aplicación (open source) llamada DBAN. Página: http://downloads.sourceforge.net/project/dban/dban/dban-2.2.6/dban-2.2.6_i586.iso Al momento de escribir este procedimiento, la versión más reciente es 2.2.6. Grabar esta imagen.iso en CD o DVD. Paso 2 Encender el equipo o servidor, que necesita borrado de datos. Cambiar el orden de inicio para que arranque por CD/DVD. (usualmente tecla F1, F2, o F12) Paso 3 Después de iniciar el CD/DVD, aparece la pantalla azul indicada en la imagen. Para el inicio del proceso, debemos escribir la palabra autonuke.
Página 8 de 8 Paso 4 Esta es la siguiente pantalla que veremos, con el proceso de limpieza basado en DOD3, iniciado. El proceso es lento, aproximadamente 20 minutos por cada 10 GB.