Guía sobre almacenamiento y borrado seguro de información OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
Edición: Abril 2011 La Guía sobre almacenamiento y borrado seguro de información ha sido elaborada por el equipo del de INTECO: Pablo Pérez San-José (dirección) Cristina Gutiérrez Borge (coordinación) Eduardo Álvarez Alonso Susana de la Fuente Rodríguez Laura García Pérez El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrollará actuaciones en las siguientes líneas: Seguridad Tecnológica, Accesibilidad, Calidad TIC y Formación. El (http://observatorio.inteco.es) se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica, siendo un referente nacional e internacional al servicio de los ciudadanos, empresas, y administraciones españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza de la Sociedad de la Información. La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Edición: Febrero 2011 Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es Guía sobre almacenamiento y borrado seguro de información Página 2 de 35
Índice ÍNDICE 1 INTRODUCCIÓN... 4 1.1 La información como activo de valor en la empresa... 4 1.2 Gestión del Ciclo de Vida de la Información... 7 2 ALMACENAMIENTO DE LA INFORMACIÓN... 10 2.1 Cómo se almacena la información... 10 2.2 Políticas que deben regir el uso de los sistemas de almacenamiento... 12 2.3 Tipos de dispositivos de almacenamiento... 16 3 PÉRDIDA Y RECUPERACIÓN DE INFORMACIÓN... 18 3.1 Pérdida de información... 18 3.2 Recuperación de la información... 21 4 BORRADO SEGURO Y DESTRUCCIÓN DE LA INFORMACIÓN... 23 4.1 Métodos de destrucción de la información... 23 4.2 Métodos que no destruyen la información de forma segura... 28 4.3 Políticas de borrado seguro de la información... 28 5 LEGISLACIÓN APLICABLE... 30 5.1 Normativa interna en relación con la Seguridad de la Información en la empresa... 30 5.2 Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica... 31 5.3 Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)... 33 5.4 Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)... 34 Guía sobre almacenamiento y borrado seguro de información Página 3 de 35
1. Introducción 1 INTRODUCCIÓN En la actual sociedad del conocimiento, las empresas y entidades generan información constantemente y a un ritmo creciente: se estima que en 2020 la cantidad de información será 44 veces mayor que la que había en 2009 1. Gracias a la tecnología, esta información se puede generar, copiar, enviar y recibir desde cualquier lugar y en cualquier momento, aspectos vitales para el funcionamiento de las empresas. El conocimiento de la gestión del ciclo de vida de la información y el establecimiento de planes, normas y políticas de almacenamiento de la información y de seguridad de los datos, asegura un control y gestión de la información eficiente. Almacenamiento. Los datos que se recopilan en los soportes de almacenamiento pueden constituir información muy delicada y su indebida divulgación no solo puede afectar a la propia empresa, ya que los empleados u otras entidades también pueden verse perjudicados. Por ello, el primer paso en la gestión segura de la información es realizar una clasificación de los datos y un almacenamiento adecuados, en base a unas políticas establecidas y actualizadas. Recuperación. Las pérdidas de datos son acontecimientos comunes en las empresas, a veces por causas fortuitas y otras veces por fallos humanos o en los equipos. En este sentido, las técnicas de recuperación de la información son una herramienta imprescindible en las organizaciones, ya que permiten restaurar la actividad y asegurar su continuidad. Borrado seguro. Por último, cuando la información ha sido tratada en la empresa y llega al final de su vida útil, debe ser eliminada de forma segura, para evitar que pueda caer en manos de terceros y sea recuperada. En la presente guía se analiza por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, y qué debe hacerse si se quiere eliminar de modo permanente la información. 1.1 LA INFORMACIÓN COMO ACTIVO DE VALOR EN LA EMPRESA Para entender la información como un activo de valor en la empresa antes se explica qué se entiende por información y cuál es la diferencia entre información y datos. El dato hace referencia a un atributo o una representación simbólica (alfabética, gráfica, numérica, etc.) como resultado de una observación, sujeta a determinadas normas o 1 The Digital Universe Decade Are you ready? May-2010 An IDC White Paper Sponsored by EMC Corp. Guía sobre almacenamiento y borrado seguro de información Página 4 de 35
reglas, útil para la interpretación y el procesamiento, bien sea por medios humanos o automatizados. En sí mismo, el dato no tiene significado, por lo cual se requiere su procesamiento o tratamiento para que suministre información que pueda ser utilizada en la realización de cálculos y operaciones aritméticas, en procesos de análisis, planificación, investigación, negociación o para la toma de decisiones en cualquier ámbito. La información es un conjunto organizado de datos con algún significado acerca de un hecho, evento o suceso, que al ser procesados o evaluados mejoran el conocimiento acerca de algo y por lo tanto, reducen la incertidumbre. El proceso comprende la entrada y depuración de datos, el procesamiento de estos y la depuración y salida de los resultados. Partiendo de las explicaciones anteriores, se desprende que la información tiene un significado preciso y diferente al de los datos y por tanto, un valor en la toma de decisiones, mientras que los datos no lo tienen. Para hacer una distinción entre datos e información, se puede pensar en los datos como las materias primas, mientras que la información es equivalente a los productos acabados producidos después del procesamiento de esa materia prima. Ilustración 1: Diferentes etapas de la información en la empresa Las empresas manejan a diario gran cantidad de información y parte de esta información es más sensible, ya que es estratégica para el negocio, contiene datos personales de clientes, proveedores o empleados, incluye referencias de propiedad intelectual, etc. Por este motivo, es imprescindible la adecuada gestión de la información que manejan, tanto para asegurar su actividad como para cumplir con los requisitos legales de aplicación. En el contexto de las normativas de gestión adecuada y segura de la información se entiende por información a aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. Según se refleja en las definiciones de la norma internacional ISO27001, seguridad de la información es la preservación de la confidencialidad, la integridad y la disponibilidad de Guía sobre almacenamiento y borrado seguro de información Página 5 de 35
la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. Por tanto a la hora de analizar la organización y los procesos llevados a cabo hay 3 elementos clave que confirman que el modo en que se trata la información es seguro: confidencialidad, integridad, y disponibilidad. Confidencialidad: es la propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. Integridad: es la propiedad de salvaguardar la exactitud y completitud de los activos. Disponibilidad: es la propiedad de ser accesible y utilizable por una entidad autorizada. Ilustración 2: Criterios de la información desde el enfoque de la seguridad Para garantizar que la seguridad de la información es gestionada correctamente, se requiere hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de la Seguridad de la Información (SGSI), que ayuda a las empresas a definir políticas, procedimientos, métodos, estándares y controles relacionados con los objetivos de la organización en el ámbito de la seguridad de sus sistemas de información. Dada la importancia de la información como base para la toma de decisiones estratégicas y su relevancia a la hora de establecer ventajas competitivas, es necesario contar con una eficiente gestión de la seguridad que preste especial atención a este recurso, en cada una de las fases de su ciclo de vida. Para explicar el ciclo de vida de la información se toma el enfoque aportado a las empresas por el Information Lifecycle Management (ILM) que facilita el estudio de soluciones de almacenamiento, disponibilidad y seguridad de la información. Guía sobre almacenamiento y borrado seguro de información Página 6 de 35
1.2 GESTIÓN DEL CICLO DE VIDA DE LA INFORMACIÓN Los grandes y crecientes volúmenes de información con los que trabajan las empresas en la actualidad requieren de sistemas que las ayuden a gestionar los datos a lo largo de su evolución. Es por ello que cada vez más están adaptando sus procesos a la gestión del ciclo de vida de la información o ILM. ILM hace referencia a los sistemas, procedimientos y políticas que se deben seguir para gestionar los datos de una empresa, desde que estos se crean o generan hasta su eliminación definitiva, teniendo en consideración el valor y la disponibilidad de la información. Por tanto, este sistema ayuda a las organizaciones a administrar de manera eficiente el crecimiento de datos a lo largo de su ciclo de vida completo, desde el desarrollo, pruebas, producción y destrucción de ficheros 2, asegurando en todo momento el cumplimiento de la legislación vigente. Las fases del ciclo de vida de la información, como parte de un proceso continuo, son las siguientes: Ilustración 3: Diagrama del ciclo de vida de la información 2 Un fichero es un archivo informático, o conjunto de datos organizados. Guía sobre almacenamiento y borrado seguro de información Página 7 de 35
Fase 1: Clasificación de datos. Todos los datos que se crean, generan o almacenan se deben identificar y categorizar para mejorar la eficiencia en el momento en que se efectúen los procesos de búsqueda, recuperación o auditoría. Esta clasificación de datos permite conocer con qué datos se cuenta, qué tratamiento darles, dónde almacenarlos, qué jerarquía tienen, cuál es su volumen, cuáles pueden ser eliminados y cómo recuperarlos de nuevo cuando sea necesario volver a trabajar con ellos. Cuando se trata de datos de carácter personal, en esta clasificación es necesario establecer los niveles de seguridad básico, medio o alto, definidos en el artículo 81 del reglamento de desarrollo de la LOPD. Fase 2: Almacenamiento físico. Inicialmente se deben establecer de forma clara los requisitos de almacenamiento de información de la empresa. Posteriormente, se deben alinear las necesidades con las opciones de almacenamiento disponible. ILM permite analizar las ventajas y desventajas entre el coste de distintas opciones de almacenamiento y disponibilidad de información, que permiten tomar decisiones a la hora de invertir en soportes de almacenamiento. Fase 3: Migración. La migración de los datos entre diferentes almacenes se realiza para equilibrar el rendimiento y el coste de los diferentes dispositivos de almacenamiento, asegurando que esté libre el espacio adecuado para satisfacer otras nuevas localizaciones de espacio. En este proceso las empresas mueven y manipulan los distintos tipos de datos, de acuerdo con el valor que representan para estas. La comprensión y administración de los diferentes datos almacenados mejora la calidad del servicio y reduce los costes de gestión. Fase 4: Disposición. La información ha de ser almacenada de manera segura y estar disponible para los usuarios cuando estos la necesiten. La información también debe ser mantenida y utilizada de tal forma que su integridad no se vea comprometida. Hay dos factores principales para asegurar la disponibilidad de la información: o Aseguramiento de la integridad. Para ello, se aplican privilegios a cada usuario para acceder únicamente a la información que puede manipular, particularmente cuando esta es sensible. Los accesos a la información se pueden restringir a través de contraseñas, permisos de ingresos al sistema o restricciones de actualización de datos. Guía sobre almacenamiento y borrado seguro de información Página 8 de 35
o Copias de Seguridad. Las copias de seguridad o backup son la garantía frente a cualquier fallo en el sistema o pérdida de la información. Estas se pueden hacer de manera planificada o puntual y la frecuencia con que se realizan va a depender de la importancia de la información almacenada y lo crítica que puede ser para las estrategias de la empresa. Fase 5: Utilización de la información almacenada. El uso o utilización se lleva a cabo después de que la información se distribuye internamente y puede servir de soporte a la toma de decisiones en las empresas, generar acciones o servir a otros fines. La información puede ser destruida cuando deja de generar valor para la empresa, siguiendo para ello las políticas internas previamente establecidas. Guía sobre almacenamiento y borrado seguro de información Página 9 de 35
2. Almacenamiento de la información 2 ALMACENAMIENTO DE LA INFORMACIÓN La creciente dependencia de la mayoría de las organizaciones de sus sistemas de información pone de manifiesto la necesidad de contar con los medios y técnicas necesarios que permitan almacenar la información de la manera más adecuada. Una correcta gestión de este proceso permite mantener en todo momento su integridad y autenticidad y, en caso de ser necesario, recuperar la información, es decir, asegurar su disponibilidad total. En los siguientes apartados se profundiza en el proceso de almacenamiento en la empresa, en las políticas de almacenamiento y en las características de los dispositivos. 2.1 CÓMO SE ALMACENA LA INFORMACIÓN La importancia de la información como activo de valor en las empresas obliga a que las soluciones de almacenamiento cada vez cobren un mayor protagonismo. La información se guarda en diferentes dispositivos de almacenamiento de datos, en función de su ciclo de vida y de su valor, tomando en consideración que no toda la información es igual de crítica y, por lo tanto, no puede ser tratada de la misma manera. Para establecer el grado de criticidad de la información se realiza una ponderación en función de parámetros como su uso, antigüedad, valor estratégico, etc. Partiendo de esta definición, se establece el nivel de accesibilidad y de disponibilidad requeridos para cada activo de información. De igual manera, las empresas necesitan infraestructuras flexibles y soluciones que protejan y resguarden la información y se adapten a los rápidos cambios del negocio y las nuevas exigencias del mercado, garantizando el rápido retorno de la inversión efectuada en los sistemas de almacenamiento. Alineando las diferentes soluciones de almacenamiento con los requerimientos del negocio se consigue hacer un uso más correcto de las mismas. En la siguiente ilustración se identifican los diferentes sistemas de almacenamiento de información en la empresa. Guía sobre almacenamiento y borrado seguro de información Página 10 de 35
Ilustración 4: Diagrama de los sistemas de almacenamiento en la empresa Almacenamiento local. Los empleados de la empresa, en mayor o menor medida, utilizan equipos informáticos para realizar su actividad profesional. La información se genera en estos equipos y desde ellos se modifica y transmite. Cada uno de estos equipos dispone de un sistema de almacenamiento local, normalmente discos duros donde se guarda la información. Servidores de almacenamiento en red. Para poder disponer de un lugar común de trabajo donde almacenar el resultado de los trabajos individuales y poder compartir información entre los diferentes usuarios de la empresa se dispone de servidores de almacenamiento en red. Dispositivos externos. Adicionalmente se puede disponer de sistemas externos que, conectados directamente a los equipos, permiten un almacenamiento extra de la información, evitando que se ocupe este espacio en el equipo. Estos pueden ser discos duros externos conectados por USB o Firewire, CD o DVD, USB Pendrives o cintas magnéticas. Sistema de copias de seguridad. Se establece un procedimiento para sistematizar la realización de copias de respaldo de la información generada en la empresa. Guía sobre almacenamiento y borrado seguro de información Página 11 de 35
2.2 POLÍTICAS QUE DEBEN REGIR EL USO DE LOS SISTEMAS DE ALMACENAMIENTO Para poder mantener de un modo seguro y eficaz todos estos sistemas de almacenamiento es importante que la empresa especifique cuáles son las políticas que deben seguir todos los usuarios de los sistemas para evitar que aumente la capacidad de los mismos de modo desordenado y la consiguiente falta de control o pérdida de información. Así, se identifican cuatro políticas necesarias en la empresa, para que sean conocidas por los propios usuarios y controladas por los responsables: Política de almacenamiento local en los equipos de trabajo. Política de almacenamiento en la red corporativa. Política sobre el uso de dispositivos externos. Política de copias de seguridad. Ilustración 5: Políticas de almacenamiento en los entornos empresariales 2.2.1 Políticas de almacenamiento local en los equipos de trabajo En primer lugar, la empresa establece unas normas de almacenamiento para los equipos de trabajo de la empresa (equipos de sobremesa, equipos portátiles, teléfonos y otros dispositivos) que los usuarios deben cumplir. Esta política incluye al menos los siguientes aspectos: Guía sobre almacenamiento y borrado seguro de información Página 12 de 35
Qué tipo de información se puede almacenar en los equipos locales. Cuánto tiempo debe permanecer dicha información en los mismos. Permanencia de la información en la red local una vez transmitida a los servidores corporativos. Ubicación dentro del árbol de directorios del equipo. Utilización de sistemas de cifrado de información en los documentos empresariales. Normativa para los empleados relativa al almacenamiento de documentos personales, archivos de música, fotografías, etc, y en concreto relativa a archivos que estén bajo algún tipo de regulación en cuanto a derechos de autor (descargas desde los equipos de trabajo). 2.2.2 Políticas de almacenamiento en la red corporativa En la red corporativa es necesario distinguir entre información general de la empresa que deben utilizar todos los usuarios, e información de trabajo de los empleados almacenada en esta red corporativa: 1. Los servidores de almacenamiento disponibles en la red corporativa están configurados para poder almacenar y compartir aquella información de la empresa que deba ser utilizada por los empleados. Los controles de acceso son definidos por la dirección y el responsable de sistemas, con el objetivo de definir quién puede acceder y a dónde, mientras que el contenido de la información almacenada se determina a través de una política de uso específica que debe cubrir al menos los siguientes aspectos: Tipo de información almacenada, momento de su almacenamiento y ubicación dentro de los directorios del sistema. Personas encargadas de la actualización de dicha información en caso de modificación. 2. Los empleados pueden disponer de buzones o carpetas personales dentro de la misma red corporativa. En estas carpetas se almacena información que, si bien tiene relación con su trabajo, no necesariamente es compartida por otros miembros del equipo. Para controlar dicha información, se deben especificar políticas que incluyan los mismos aspectos que los relacionados con el almacenamiento local. Guía sobre almacenamiento y borrado seguro de información Página 13 de 35
Es importante concienciar al empleado que toda aquella información almacenada en estos buzones debe ser relevante para el trabajo. La información carente de valor se elimina una vez que se haya utilizado. Así se evita que la capacidad de almacenamiento se vea desbordada innecesariamente. Un ejemplo de cómo se puede optimizar este uso se encuentra cuando se genera un vídeo corporativo que ocupa varios Gb de información. Dicho vídeo se ubica primeramente en una localización en la red y posteriormente varios empleados lo almacenan en sus unidades locales y vuelcan dicha información en sus buzones personales. Pasado un tiempo, se analiza la cantidad de archivos exactamente iguales que se encuentran almacenados. Se identifican varias copias del vídeo en la red corporativa. A la vista de esta situación, la empresa decide llevar a cabo una política de control y revisión de la información almacenada y ajuste a las necesidades concretas. 2.2.3 Políticas sobre el uso de dispositivos externos conectados Especialmente importante son las normas relativas al uso de equipos externos que, conectados directamente a los equipos de trabajo, permiten el almacenamiento extra de información con el objeto de trasportarla a otra ubicación o simplemente disponer de una copia de seguridad personal. Esta política incluye al menos los siguientes aspectos: Si está permitido o no el uso de estos dispositivos. En caso afirmativo, qué tipo de información en ningún caso está permitido almacenar, como aquella que contiene datos personales de clientes, etc. Qué medidas de borrado se han de utilizar cuando esta información deja de ser necesaria. 2.2.4 Políticas de copias de seguridad Una copia de seguridad, también conocida como backup, es un duplicado que se realiza sobre ficheros o aplicaciones contenidas en un ordenador con la finalidad de recuperar los datos en el caso de que el sistema de información sufra daños o pérdidas accidentales de los datos almacenados 3. Todo plan de contingencia de una empresa requiere contar con una planificación adecuada de las copias de seguridad que se realizan, ya que la pérdida de datos puede poner en peligro la continuidad del negocio. 3 Fuente: http://www.inteco.es/wikiaction/seguridad/observatorio/area_juridica/enciclopedia_juridica/articulos_1/backup Guía sobre almacenamiento y borrado seguro de información Página 14 de 35
Algunos de los requisitos que debe cumplir la planificación de copias de seguridad son: Identificar los datos que requieren ser preservados. Son aquellos cuya pérdida afectaría a la continuidad del negocio. Establecer la frecuencia con la que se van a realizar los procesos de copia. Esta frecuencia influye en la cantidad de información que se puede perder con respecto a la fuente original. Este parámetro es de suma importancia y requiere de un análisis exhaustivo. Por ejemplo, si se realiza una copia cada noche y el soporte se estropea a las 12h toda la información generada desde la noche anterior hasta las 12h no se encontrará en la copia de seguridad. Disponer el almacén físico para las copias. Este almacén se determina en función de la seguridad que requiere la información entre almacenes en el mismo edificio o remotos en edificios externos. Por ejemplo, si se produce un incendio en el edificio de la empresa, la información almacenada en un edificio externo sigue estando disponible. Buscar una probabilidad de error mínima, asegurándose que los datos son copiados íntegramente del original y en unos soportes fiables y en buen estado. No se deben utilizar soportes que estén cerca de cumplir su vida útil para evitar que fallen cuando vaya a recuperarse la información que contienen. Controlar los soportes que contienen las copias, guardándolos en un lugar seguro y restringiendo su acceso sólo a las personas autorizadas. Planificar la restauración de las copias: o o o Formando a los técnicos encargados de realizarlas. Disponiendo de soportes para restaurar la copia, diferentes de los de producción. Estableciendo los medios para disponer de dicha copia en el menor tiempo posible. Probar el sistema de forma exhaustiva para comprobar su correcta planificación y la eficacia de los medios dispuestos. Definir la vigencia de las copias, estableciendo un periodo en el que dicha copia deja de tener validez y puede sustituirse por una copia más actualizada de la información. Guía sobre almacenamiento y borrado seguro de información Página 15 de 35
Controlar la obsolescencia de los dispositivos de almacenamiento. Para el caso de aquellas copias que almacenan información histórica de la organización, por ejemplo proyectos ya cerrados, se debe tener en cuenta el tipo de dispositivo en el que se ha realizado la copia, para evitar que en el momento que se requiera la restauración de dicha información no existan ya lectores adecuados para dicho dispositivo. Cuando se desechen los soportes de almacenamiento, porque hayan llegado al límite de vida útil fijado en la política de copias de seguridad, es importante realizar un proceso de borrado seguro o destrucción para asegurar que la información que contiene no podrá ser recuperada posteriormente. 2.3 TIPOS DE DISPOSITIVOS DE ALMACENAMIENTO Los dispositivos de almacenamiento constituyen una parte vital de cualquier sistema o instalación informática. La tendencia general en el mercado de los dispositivos de almacenamiento de información se dirige, por un lado, al continuo incremento de su capacidad y, por otro, a desarrollar funcionalidades como la rapidez, la fiabilidad, la economía y el tamaño. Esta evolución se traduce en una disminución del coste, lo que ha permitido aumentar el número de empresas que utilizan estos dispositivos. La gama es amplia y las funcionalidades dependen del tipo de dispositivo, aunque como aproximación, se indican los siguientes: Discos duros: dispositivo de almacenamiento magnético, masivamente utilizado en todos los ordenadores como almacenamiento principal. Dispone de múltiples capacidades de almacenamiento y permite tanto la lectura como la escritura. Los discos duros también se utilizan como medios de almacenamiento externos conectados a los equipos por medio de conectores USB (Universal Serial Bus o conductor universal en serie) o FireWire. Cintas magnéticas DAT/DDS (Digital Audio Tape/Digital Data Storage) / LTO Linear Tape-Open): utilizadas principalmente como medio de almacenamiento en los sistemas de copias de seguridad, ya que resultan económicas para almacenar grandes cantidades de datos. El acceso a los datos es sensiblemente más lento que el de los discos duros. CD (Compact Disc) / DVD (Digital Versatile Disc) / Blu-ray Disc (BD): dispositivos de almacenamiento óptico con diferentes capacidades de almacenamiento. Son un medio económico y fácil de transportar o conservar. Sistemas de almacenamiento en red: las empresas que necesitan almacenar gran cantidad de información a la que acceden varios usuarios desde sus respectivos equipos utilizarán los sistemas de almacenamiento en red tipo NAS Guía sobre almacenamiento y borrado seguro de información Página 16 de 35
(Network Attached Storage). Presentan un volumen de almacenamiento grande, ya que unen la capacidad de múltiples discos duros en la red local como un volumen único de almacenamiento. Las reglas de acceso permiten llevar un control de quién tiene acceso y a qué partes de la información almacenada. USB pendrive: denominado con múltiples nombres como llavero USB, memoria USB o sólo pendrive. Es un pequeño dispositivo de almacenamiento que dispone de una memoria NAND-Flash para el almacenamiento de la información. La capacidad de los pendrive es cada vez mayor y es uno de los medios más comúnmente utilizados para transportar la información de un lugar a otro. Esta movilidad, unida a la rapidez con la que se conecta y desconecta en diferentes equipos, lo hace especialmente susceptible a la pérdida de información, por extravío o sustracción del dispositivo o por rotura física del mismo. En el cuadro siguiente se resumen las principales características de los dispositivos de almacenamiento: Tabla 1: Comparativa soportes de almacenamiento (datos referenciados en enero de 2011) Soporte Capacidad máxima de datos 4 Máxima velocidad de transferencia de datos 5 Tipo Discos Duros 3 TB 400 Mb/s Magnético Discos Flexibles 240 MB 250 Kb/s Magnético Cintas de Backup 24 GB 2,77 Mb/s Magnético CD 900 MB 4800 Kb/s Óptico DVD 8,5 GB 11,1 Mb/s Óptico Blu-ray Disc 54 GB 54 Mb/s Óptico Pendrive 256 GB 100 Mb/s Electrónico Fuente: INTECO 4 Byte (B) equivale a 8 bits (b) y es la unidad básica de almacenamiento de información en combinación con los prefijos de cantidad: Kilobyte (KB=1.000 bytes), Megabyte (MB=1.000 KB), Gigabyte (GB=1.000 MB), Terabyte (TB=1.000 GB), etc. 5 Unidades de velocidad de transferencia de datos: Kilobit por segundo (Kb/ s), Megabit por segundo (Mb/s), Gigabit por segundo (Gb/s), etc.:. Guía sobre almacenamiento y borrado seguro de información Página 17 de 35
3. Pérdida y recuperación de la información 3 PÉRDIDA Y RECUPERACIÓN DE INFORMACIÓN La información es un activo de valor para la empresa y, como tal, la posibilidad de que esta pase a manos no autorizadas, o que no esté disponible, puede tener unas repercusiones en muchos aspectos importantes para las empresas. En los siguientes apartados se analiza tanto la pérdida de la información como la posibilidad de recuperación de la misma. 3.1 PÉRDIDA DE INFORMACIÓN El objetivo básico de un dispositivo de almacenamiento es guardar información para que esté disponible posteriormente. Para ello todos los componentes físicos del dispositivo tienen que funcionar correctamente y el sistema operativo debe encontrar la información que ha sido almacenada de un modo ordenado. De forma explicativa, los sistemas operativos almacenan la información dentro del disco duro en archivos. Al guardar cada archivo, se anota también su ubicación en una base de datos o lista de archivos 6. Esta lista es el índice que utiliza el sistema operativo para encontrar el contenido de los archivos dentro del disco. Ilustración 6:Información contenida en el dispositivo 6 La lista de archivos es un término genérico que referencia al conjunto de elementos que cada sistema de archivos utiliza para guardar, tanto la información que identifica los archivos (nombre, tipo, fecha de creación, etc), como un índice que recoge la ubicación física del contenido del mismo. Guía sobre almacenamiento y borrado seguro de información Página 18 de 35
Siguiendo la correspondencia entre información y datos introducida en el apartado 1.1, La información como activo de valor en la empresa, a la información almacenada en el soporte se denomina datos, por lo que son equivalentes la pérdida de información y la pérdida de datos. Se dice que se produce una pérdida de información o datos cuando se altera alguno de sus atributos de integridad, disponibilidad y confidencialidad y, específicamente en el proceso del almacenamiento, la disponibilidad es el atributo más crítico. Una información se pierde definitivamente cuando no se consigue el acceso a la misma o esta ha desaparecido. 3.1.1 Causas de la pérdida de datos Las causas por las cuales se producen las pérdidas de acceso a la información son múltiples y en muchos casos imprevisibles. Entre estas, destacan las siguientes: Fallos mecánicos en los dispositivos de almacenamiento: causados bien por motivos externos (como cortes de suministro eléctrico o picos de tensión en la red eléctrica), o internos de los propios dispositivos (por ejemplo, por degradación de las piezas mecánicas al final de la vida útil de los mismos). Errores humanos: por borrado o formateo de las unidades de almacenamiento o por manipulación indebida de los dispositivos. A veces la mala preparación del personal y la toma de decisiones erróneas a la hora de intentar recuperar la información tras un incidente son las causas de estos errores. Fallos en el software utilizado: como fallos imprevistos en los sistemas operativos por reinicios inesperados o mal funcionamiento de las propias herramientas de diagnóstico. Virus o software malicioso: ya que en ocasiones los programas instalados en los ordenadores buscan causar un fallo en el sistema y/o robar información que envían a un equipo remoto. Desastres naturales o estructurales: como incendios e inundaciones que causan la destrucción de las instalaciones donde se encuentran los equipos. 3.1.2 Consecuencias de la pérdida de datos En caso de que se produzca una pérdida de datos temporal o definitiva, se ocasionan múltiples perjuicios al funcionamiento de las empresas. Entre estos se encuentran: El tiempo y dinero perdidos por los procesos llevados a cabo para restaurar o volver a generar la información perdida. Guía sobre almacenamiento y borrado seguro de información Página 19 de 35
Las pérdidas ocasionadas por la indisponibilidad de esta información, como pueden ser los retrasos en los procesos de producción. La mala imagen dada por la compañía, por ejemplo, en caso de tener que solicitar de nuevo información a clientes o proveedores. Pérdida definitiva de trabajos y proyectos ya realizados, que puede llegar a poner en riesgo la continuidad del negocio. Demandas o penalizaciones administrativas por posibles incumplimientos de contratos. 3.1.3 Recomendaciones ante una pérdida de datos Cuando un disco duro se rompe y no se puede acceder a los datos que contiene, se habrán perdido los datos si no se dispone de una copia de estos mismos datos en otro dispositivo al cual sí se pueda acceder. Por tanto, primer consejo: se debe disponer y seguir una correcta política de copias de seguridad. Además, ante un incidente de pérdida de datos se recomienda: Evitar actuar de una forma precipitada. Las acciones sobre los dispositivos que se realicen en un intento desordenado de recuperación pueden llevar a la destrucción definitiva de los datos. No reiniciar constantemente el dispositivo, ya que esto puede agravar el daño que sufra en caso que éste tenga algún fallo físico de funcionamiento. Dedicar un tiempo a analizar cuáles son los datos perdidos, si se dispone de una copia de seguridad y el estado de la misma. Valorar la pérdida, tanto económica como de tiempo de restauración, para ver con más claridad la dimensión del problema y los medios que se pueden dedicar a la restauración de los datos. Es importante decidir si es mejor iniciar un proceso de recuperación de datos o restaurar el sistema y generar de nuevo los datos perdidos. Si se intenta restaurar la copia de seguridad no es aconsejable utilizar los discos dañados para recuperar los datos de la copia. En caso de que la copia restaurada no se encuentre totalmente operativa o esté desactualizada, no se podrá intentar una recuperación posterior. Igualmente hay que tener especial cuidado para no realizar ninguna acción que pueda sobre-escribir los datos en el soporte dañado. Guía sobre almacenamiento y borrado seguro de información Página 20 de 35