Siguiendo la serie de “ Protección de información en dispositivos”, en la que tratamos previamente cómo eliminar la información sensible contenida en ordenadores personales y en teléfonos inteligentes, así como la protección a aplicar en dispositivos Smartphone, en esta entrada nos ocuparemos de las medidas de seguridad a aplicar en soportes portables que pueden contener datos sensibles, para lograr una adecuada protección de los mismos.
Un ejemplo claro de este tipo de dispositivos pueden ser pendrives o discos duros portátiles, así como cintas magnéticas (empleadas por ejemplo, en la realización de copias de seguridad).
Vemos a continuación algunas de las medidas de seguridad recomendadas a aplicar en este tipo de dispositivos:
- Control de acceso físico: En primer lugar, y como puede parecer evidente, es importante proteger la seguridad física de los dispositivos, para evitar que personal no autorizado pueda acceder a los mismos. Para ello, es importante definir de manera formal la responsabilidad en la custodia de dichos dispositivos, así como procedimentar las medidas de seguridad a aplicar para la protección física de los mismos. En el caso de que un dispositivo no esté bajo custodia de su propietario en un periodo de tiempo determinado (de noche, por ejemplo), éste debe ser protegido mediante cajas fuertes o armarios cerrados bajo llave, evitando que el soporte pueda quedar desatendido en una ubicación no protegida.
- Control de acceso lógico: Aparte de los controles de acceso físico, también es aconsejable proteger el uso/acceso lógico a los dispositivos a través de una autenticación simple de usuario (contraseña). Haciendo esto, cuando un sistema operativo carga el firmware del dispositivo extraíble, se pide al usuario la introducción de una contraseña, antes de facilitar el acceso a los datos que dicho soporte contiene.
- Pendrives seguros: En los últimos tiempos, han aparecido en el mercado pendrives con teclado físico, que aportan una capa de seguridad adicional para proteger el acceso lógico de este tipo de dispositivos portátiles. Dichos dispositivos, solo permiten el acceso al usuario si éste introduce previamente un código numérico en el teclado físico, que habilita su desbloqueo.
- Cifrado de la información: Otro aspecto esencial para la protección de la información sensible almacenada en los dispositivos extraíbles es realizar un cifrado de la misma. Esta medida va a permitir que en el caso de que el dispositivo llegue a manos de personal no autorizado, éste no pueda acceder a la información de manera directa. El cifrado a aplicar deberá ser robusto, priorizando los algoritmos AES con una longitud de clave mínima de 256 bits.
Para la implementación de los métodos de cifrado, se puede llevarse a cabo una de las siguientes opciones:
- Cifrado de archivos: Se puede llevar a cabo un cifrado de los archivos sensibles almacenados de manera individual, mediante software especializado. Un ejemplo de software de cifrado de ficheros al alcance de todo tipo de usuarios puede ser WinRAR.
- Cifrado manual de la memoria del dispositivo: Existen softwares comerciales en el mercado que nos permiten realizar un cifrado manual (bajo demanda) de la memoria completa de un dispositivo extraíble.
- Cifrado automático de la memoria del dispositivo: Por último, también existen en el mercado dispositivos extraíbles que realizan un cifrado automático de su memoria por defecto, de manera que se proporciona una capa de abstracción adicional al usuario final para que éste no deba preocuparse por los procedimientos de cifrado de datos.
- Definición de periodos de retención: Es importante también que no nos “olvidemos” de la información almacenada en los dispositivos extraíbles, ya que esto nos puede llevar a problemas regulatorios/legales. Muchas normativas de seguridad y/o privacidad establecen un período máximo de retención para distintos tipos de datos (por ejemplo, la Ley Orgánica de Protección de Datos Española (LOPD) establece un periodo de retención máximo de 30 días para las grabaciones de los Circuitos Cerrados de Televisión (CCTV)), y a pesar de que la fecha de eliminación de dichos datos suele estar bien controlada de manera automática a nivel de servidores, cuando hablamos de soportes de información extraíbles, los procedimientos de eliminación de información deben ser en la mayoría de casos procesos manuales, que no suelen estar tan controlados. En dichos casos, se debe definir la fecha límite para el almacenamiento de los datos en cada uno de los dispositivos que los soportan, para que se puedan implementar los procedimientos de borrado manuales en el momento adecuado.
- Borrado seguro de la información: Cuando ha finalizado el periodo de retención definido para la información contenida en los dispositivos, dichos datos deben ser eliminados de manera segura, de modo que no puedan ser recuperable a partir de ese momento. Para ello, se deben emplear las técnicas de borrado de información comentadas en la Parte 1 de esta serie.
- Destrucción segura de los dispositivos: De la misma forma, una vez ha finalizado el tiempo de vida útil de los dispositivos, éstos deben ser destruidos de manera segura, mediante alguna de las técnicas siguientes:
- Desmagnetización: Los soportes magnéticos (cintas, discos duros, etc.) pueden ser destruidos mediante técnicas de desmagnetización o Degaussing, en las que se somete el dispositivo a un campo magnético muy potente, que elimina sus propiedades magnéticas de remanencia de información.
- Destrucción física: Otra opción es triturar o destruir físicamente un soporte, de manera que no pueda ser reutilizado a partir de ese momento. En estos casos, es muy importante asegurar que la destrucción ha sido correcta, ya que en el caso de que un dispositivo no haya sido destruido de manera adecuada, la información contenida en él podría ser recuperada mediante técnicas especiales de laboratorio (técnicas forenses).
- Etiquetado de soportes: Algunas prácticas de seguridad recomiendan marcar los dispositivos extraíbles que soportan información sensible con etiquetas visibles, para que el personal encargado de su custodia identifique a simple vista qué dispositivos debe proteger con más atención. No obstante, esto también puede ser un arma de doble filo, ya que por ejemplo, los dispositivos etiquetados como sensibles pueden ser los que llamen más la atención a una persona no autorizada que pretende acceder a información sensible contenida en una entidad. En cada caso, deberán estudiarse estas dos opciones, y decidir qué opción es la más adecuada para un entorno determinado.
- Protección de los soportes en procedimientos no habituales: Por último, también se deben controlar los procedimientos no habituales de tratamiento de dispositivos extraíbles. Un ejemplo claro de esto pueden ser los viajes del personal, en el que los usuarios pueden llevarse consigo dispositivos portables que contienen datos sensibles. Será importante contemplar dichos procedimientos en las políticas internas, de manera que las medidas de custodia y seguridad a implementar en estos casos queden claramente definidas. En estos casos, la custodia que haga el usuario responsable de dichos soportes será básica para garantizar una correcta protección de los dispositivos, por eso es importante que los usuarios sepan cómo tratar los dispositivos en todos los casos que difieren de su operativa de trabajo habitual.
Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.