Testa a velocidade da tua internet com o

Opinião: Eliminar dados de forma segura

20 abr 2009 17:19

Este artigo tem mais de 15 anos

Nem sempre os dados que pensava ter limpo dos discos rígidos são apagados de forma segura. Nicolás Green, da Kroll Ontrack, alerta para os problemas de segurança que podem surgir e a forma de os evitar.

Eliminar dados de forma segura

Por Nicolás Green *

http://imgs.sapo.pt/gfx/470666.gifNão é surpresa que no actual ambiente empresarial quase 98 por cento da propriedade intelectual seja armazenada electronicamente. Como tal, o pessoal de TI conhece a importância da segurança dos dados desde a aquisição até à eliminação. Milhões de dólares são gastos em políticas de infra-estruturas de TI, cópias de segurança e armazenamento, segurança de redes, cumprimento com os regulamentos em matéria de protecção firewall e privacidade de dados de modo a proteger os respectivos dados importantes.

Contudo, quando chega o momento de reformar velhos computadores ou sistemas com informação interna, muitos ainda se esquecem de garantir que a informação é definitivamente eliminada desses discos - o que os deixa vulneráveis a grandes falhas de segurança. De facto, sessenta e seis por cento de todas as organizações ainda não têm em prática uma abordagem prática para a adequada eliminação dos velhos equipamentos electrónicos da empresa e para destruir dados electrónicos confidenciais.

Num nível inicial, a maioria dos indivíduos sabe que o simples acto de apagar ou reformatar não é suficiente. Mesmo depois dos ficheiros serem colocados na reciclagem de um computador e de o disco ser reformatado, os dados continuam a poder ser recuperados com facilidade. Isto acontece porque o acto de apagar ficheiros ou de reformatar volumes apenas remove as entradas no índice ou tabela de conteúdos que apontam para os dados. Para apagar os dados de forma permanente de um disco rígido é necessária uma ferramenta de eliminação que escreva por cima dos dados actuais.

Mais especificamente, os ficheiros são armazenados num disco rígido e são gravados com um padrão preciso de caracteres, gerados pelo sistema operacional do computador. Quando todo ou parte de um disco rígido é "limpo" utilizando uma ferramenta de eliminação, o programa escreve por cima de todos os locais acessíveis no disco rígido com um padrão de caracteres benigno ou gerado aleatoriamente frequentemente conhecido como dados absurdos.

Actualmente, existem uma série de programas de eliminação de dados disponíveis comercialmente no mercado, bem como diversos programas de eliminação gratuitos. Todos estes afirmam conseguirem apagar de forma permanente os dados no computador e podem ser descarregados directamente da Internet. Independentemente do programa que uma empresa opte por incorporar nos respectivos processos de gestão do ciclo de vida dos dados, é claro que as ferramentas de eliminação de dados têm três funções nucleares.

Estas funções incluem:

Mitigar as falhas de dados.
Cumprir os regulamentos em matéria de privacidade ou segurança de dados
Proteger a marca ou a reputação.

As ferramentas de eliminação de dados são importantes para garantir que a informação interna não cai nas mãos erradas. De acordo com um estudo realizado pela PGP Corporation em parceria com o Instituto Ponemon, uma violação de dados custa a uma empresa uma média de 4,8 milhões de dólares por falha. Perante isto, é essencial que as empresas se protejam eliminando todos os dados de velhos computadores, portáteis e servidores que vão ser eliminados ou retirados de funcionamento.

Além disso, ao mesmo tempo que a eliminação de dados é fundamental para reduzir o risco de violações à segurança, estes programas também ajudam as empresas a cumprir leis e regulamentos em matéria de retenção e privacidade de dados. Embora os regulamentos de retenção de dados variem de acordo com os sectores, uma série de rigorosas normas sectoriais e regulamentos governamentais (isto é, HIPAA, SOX, FACTA, PCI, etc.) forçaram as organizações a tomarem os passos adequados para mitigarem o risco de uma exposição não autorizada de dados empresariais confidenciais.

De facto, em 2006, foram introduzidos 168 projectos de lei sobre violação à segurança de dados em 39 estados dos EUA, no seguimento de uma lei sobre falhas em dados na Califórnia que estipula que os comerciantes são obrigados a notificar os clientes sobre violações de segurança que possam resultar na divulgação não autorizada da sua informação pessoal e financeira informatizada e não codificada.

É importante que as empresas prestem atenção a estes regulamentos, dado que as consequências do não cumprimento são graves. Para uma empresa, o incumprimento pode resultar em pesadas penalizações financeiras, redução do valor do capital, perda de confiança dos consumidores e perda de receitas de vendas.

Neste sentido, é crítico para as empresas disporem da melhor ferramenta de limpeza de dados. Face à rápida evolução da tecnologia, os velhos equipamentos electrónicos das empresas estão a amontoar-se com a maior velocidade de sempre. Esta situação é ainda mais complicada pela taxa à qual novas exigências reguladoras, requisitos de privacidade ou outras mensagens de segurança estão a ser aplicadas. No final do dia, as empresas precisam procurar uma solução global que as ajude a resolver todos os problemas do fim do ciclo de vida.

Os gestores podem encontrar descanso, destruição rastreável de documentação e a garantia de um cumprimento adequado trabalhando com uma especializada e reputada empresa de destruição e reciclagem electrónica de dados. Embora não custe muito construir um produto que elimine ou apague informação, é importante garantir que o produto seleccionado permita a uma empresa manter-se cumpridora ao mesmo tempo que reduz os riscos. Especificamente, os gestores ou o pessoal de TI responsáveis pela eliminação de hardware e segurança de dados devem assegurar-se que procuram um produto que:

Elimine realmente os dados. A única maneira de garantir que os dados desapareceram é escrever por cima deles. Retirar os indicadores significa que o utilizador mediano não consegue encontrar os discos ou ficheiros, mas os dados ainda estão lá. Um caçador profissional de informação não terá problemas em recuperar os dados de um disco que apenas foi apagado e/ou reformatado.
Elimina todos os dados. Actualmente, há produtos disponíveis que permitem ao consumidor eliminar apenas os ficheiros, pastas ou discos seleccionados. A aplicação de uma ferramenta de eliminação "parcial" pode deixar uma empresa exposta, uma vez que a maioria dos computadores contêm muitas cópias de ficheiros noutros locais.
É certificado. Isto significa que as autoridades testaram e certificaram que as normas que o programa afirma incluir são cumpridas. A maioria das ferramentas de eliminação no mercado actualmente não é certificada. Se um produto não tiver sido certificado, há uma possibilidade de não fazer aquilo que afirma fazer e podem ficar vestígios de dados esquecidos após a aplicação.
É flexível. Uma empresa não quer ter de mudar a sua infra-estrutura de TI com a implementação de uma ferramenta de eliminação de dados. Como tal, procura um produto que possa ser ajustado a qualquer tipo de sistema e que não requeira configurações do sistema.
Oferece relatórios de eliminação. Relatórios que verificam ou confirmam que aquilo que ordenou à ferramenta que executasse foi realmente executado são essenciais. Os relatórios devem informá-lo sobre o que foi eliminado, identificando os pormenores seguintes: o número de série e a informação sobre o fabricante/modelo do disco limpo, a data e hora da eliminação dos dados e uma listagem da quantidade de informação eliminada. Um bom mecanismo de reporte dar-lhe-á uma visão exacta do que foi feito, para que um operador possa comparar o relatório com o seu sistema de gestão activo.
Garante que as medidas de segurança são cumpridas. Opte por uma ferramenta que tenha uma autorização licenciada para garantir que esta é utilizada apenas por aqueles que é suposto fazerem-no.

Embora as ferramentas de eliminação de dados sejam mais frequentemente usadas para fins legítimos, alguns trabalhadores poderão tentar usá-las para destruir, esconder ou obscurecer informação nos respectivos discos rígidos. Como tal, é importante compreender a natureza destes produtos, como escolher um para a sua empresa e como usá-los correctamente num ambiente empresarial de modo a cumprir os actuais regulamentos.

Importante para salvaguardar a sua empresa de uma utilização indevida é optar por uma ferramenta de eliminação de dados que lhe permita, a si e à sua empresa, gerir totalmente a operação e a instalação do software.

O fundamental é que na actual era de informação electrónica, as ferramentas de eliminação de dados não são um "é bom ter", mas sim uma obrigação - independentemente da dimensão da organização - e têm de ser incorporadas em todos os planos de segurança de dados e continuidade negocial. Quando equipado com a informação certa e a ferramenta certa, o processo de eliminar informação e equipamento em segurança não é tão complexo como pode parecer.

* Responsável pela Kroll Ontrack Espanha e Portugal