Estimados amigos de Inseguros !!!
En el Tema 3 de los Controles CIS, el control 3.5 habla de algo muy concreto: eliminar el dato de manera segura.
Este control viene “pegado” al 3.4 (retención), porque dentro de cualquier política de retención siempre hay una parte que es el borrado. Y aquí hay un matiz importante: no se trata de hacer un documento nuevo por cada control. La idea es tener un proceso único de gestión del dato (el del 3.1) y, sobre ese mismo documento, ir aplicando los matices: inventario (3.2), ACL/permisos (3.3), retención (3.4) y ahora borrado seguro (3.5).
El 3.5 se entiende rápido si se recuerda cómo funciona el “borrar” en informática. Cuando se borra un fichero en un disco, normalmente no se “pone a cero” el dato. Se elimina la referencia en la tabla de índices: se marca dónde estaba el cluster, pero el contenido puede seguir ahí hasta que se sobrescriba. Por eso, “borrar” no siempre significa “destruir”.
Y esto no es solo tecnología. También existe el mundo físico: papel y destructoras. No cualquier destructora, sino procedimientos (incluso destructoras certificadas cuando aplica). Igual que en un data center, cuando falla un disco de una SAN con decenas de discos, ese disco no se tira a la basura. Se gestiona, porque podría reconstruirse algo.
Aquí el control es tan simple como serio: definir cómo se borran los datos según su tipo, y dejar registro de evidencias. No basta con “decir que se borró”. Hay que poder demostrarlo. En entornos grandes se ha visto incluso el caso de máquinas industriales que rompen discos y, en el mismo proceso, generan evidencia (por ejemplo, una foto cuando baja el mecanismo).
También aplica a servicios como OneDrive, donde existen diferentes fases y maneras de “borrar”, y por eso el procedimiento y la evidencia importan: no es lo mismo borrar “en el cliente”, que purgar correctamente siguiendo el ciclo de vida.
Este tipo de controles (retención + borrado seguro + evidencias) son los que marcan la diferencia en una auditoría de ciberseguridad en empresa y, sobre todo, en una intrusión: si el dato sensible no se destruye bien, se queda como residuo explotable.
Para formación práctica orientada a profesionales (Controles CIS aplicados, auditoría, evidencias y procesos reales en empresa), en www.seguridadsi.com están los cursos y programas de ciberseguridad.
Gracias por leerme !!!
