A importância da eliminação segura dos dados numa organização

Segundo a Gartner, este ciclo comporta sete fases: criação, utilização, partilha, atualização, arquivo, armazenamento e eliminação segura de dados.

Para além das boas práticas do tratamento e segurança dos dados, a aplicação do RGPD – Regulamento Geral de Proteção de Dados – também introduz às organizações obrigações relativamente à eliminação definitiva de dados. Fase esta que pode ser equivocadamente percebida como de pouca importância e ocasionar riscos à segurança de confidencialidade para além de coimas pela infração ao correto tratamento previsto pelo RGPD.

Esta fase do ciclo de vida dos dados pode ser exposta a falhas de segurança de confidencialidade se coincidir com o fim do ciclo de vida do suporte em que os dados estão armazenados; confundindo-se assim as regras de gestão de vida dos dados com a gestão de vida dos ativos onde estão armazenados.

A não separação destes dois conceitos pode comprometer a segurança dos dados, originando situações amplamente publicitadas em que equipamentos comercializados em 2nd market revelam dados confidenciais. Sobretudo no interior das organizações, estes conceitos também devem ser geridos de forma especializada, por exemplo: a transferência de um ativo de endpoint deve garantir a eliminação segura dos dados devendo ser reduzido o espaço temporal entre a tomada de decisão da sua transferência e a execução do procedimento de eliminação segura dos dados.

A DRC – Data Risk and Consulting, como detentora de um conjunto de certificações de segurança, ferramentas, processos e pessoas, oferece um processo de eliminação deliberada, irrecuperável e irreversível de dados, chamado Data Sanitizing, garantindo assim a confidencialidade da informação que está presente nos suportes de armazenamento e que não existem fugas internas ou externas, mesmo recorrendo a ferramentas avançadas de recuperação de dados.

Esta metodologia pode ser aplicada em dois cenários. A destruição física, também conhecida por data destruction aplica-se quando se pretende destruir dados muito sensíveis ou dados alocados em equipamentos antigos e sem valor comercial. Neste método, os suportes de armazenamento são fisicamente destruídos deixando o suporte inutilizável e garantindo a impossibilidade de recuperação da informação.

Para atestar a fiabilidade do método e implementar um fluxo de trabalho seguro, a DRC desenvolveu um laboratório móvel o qual permite:

• Recolha dos Dados Identificativos do Ativo: número de série, marca, etc;
• Destruição Física: este processo pode ser acompanhado pelo cliente final;
• Produção de Evidência: é entregue ao cliente um filme da execução do processo;
• Reciclagem: os resíduos são geridos por uma entidade gestora certificada.

Já a destruição lógica, também conhecida por data erasure ou data wiping, é utilizada quando se pretende destruir dados importantes no fim de vida da máquina ou quando a máquina terá um novo utilizador. Portanto, este método permite a reutilização dos dispositivos além de emitir um relatório com o serial number do ativo e a norma utilizada na eliminação dos dados.

Como uma empresa especializada em Segurança da Informação e que está no mercado desde 1989, a DRC promove diariamente através da alta qualificação do seu corpo técnico um conjunto de serviços a fim de estabelecer um fluxo de trabalho seguro para qualquer organização nas mais diversas vertentes:

• Recolha dos Dados Identificativos do Ativo: número de série, marca, etc;
• Destruição Lógica: utilização de normas de segurança internacionais: Departamento de Defesa ou Departamento de Energia dos Estados Unidos, HIPAA, NIST, etc;
• Auditoria: o processo inclui uma etapa de verificação da boa execução da eliminação dos dados através de uma tentativa de recuperação de dados que é efetuada em todos os ativos;
• Produção de evidência: emissão de um certificado de destruição segura de dados que inclui informação sobre o serial number, norma utilizada, data e tempo de duração, nome do técnico, etc.
• Formação: introdução à segurança da informação, RGPD, Navegação Segura e etc.
• Reutilização de equipamentos: após emissão do certificado de eliminação dos dados, os ativos podem ser reutilizados ou reciclados. Construir um programa de cibersegurança adequado à sua realidade e contexto muito particular, torna a DRC um parceiro de confiança para suportar as organizações neste momento de transformação digital.

Conteúdo co-produzido pela MediaNext, pela Informantem e pela DRC