186 views 8 mins

Três formas das empresas promoverem boas práticas na destruição de dados sensíveis

em Destaques
quarta-feira, 18 de outubro de 2023

A destruição inadequada pode levar a violações graves de políticas de privacidade e proteção de dados, como a LGPD, além de problemas de conformidade e custos adicionais

As empresas brasileiras precisam se atentar a uma série de questões relacionadas à segurança de dados no tratamento de seus ativos de TI que contenham informações sensíveis, não apenas nas operações do dia a dia, mas também no momento do descarte, reciclagem ou remarketing dos equipamentos. Um estudo da IDG com 200 líderes de TI nos EUA revelou que as principais preocupações estão relacionadas à perda ou roubo de informações de clientes e patrocinadores, perda ou roubo de propriedade intelectual e danos à reputação da organização. “O volume de dados em posse de empresas cresce a cada ano, especialmente com a adoção de Inteligência Artificial. É preciso dar o tratamento adequado aos ativos de TI para evitar o vazamento de informações privadas”, destaca Orlando Souza, Vice-Presidente Comercial da Iron Mountain para a América Latina.

O executivo afirma que, apesar de todas essas preocupações, há ainda indecisão e dúvida sobre como gerir e apagar adequadamente os dados dos ativos tecnológicos em fim de vida útil. Recentemente, 56% dos profissionais de TI entrevistados pela Blancco, empresa de software de eliminação de dados, acreditavam erroneamente que uma formatação rápida ou completa de uma unidade de disco apagaria de forma segura e permanente todos os dados – algo que não é possível.

A destruição inadequada dos dados em ativos de TI no fim da vida útil pode levar a violações graves das políticas de privacidade e proteção de dados, além de problemas de conformidade e custos adicionais. Para garantir a adequada destruição dos dados, Souza aponta três métodos para as empresas promoverem boas práticas neste quesito, cada um com vantagens e desvantagens que devem ser consideradas de acordo com cada tipo de dado:

Sobregravação ou Data Wiping
Como o nome sugere, esse processo envolve a gravação de novos dados sobre os antigos, análogo à gravação sobre uma fita VHS antiga. Esse processo apaga o material antigo e torna tudo o que resta completamente ilegível. Quando os dados são substituídos, um padrão de 1 e 0 é gravado sobre as informações originais. Às vezes, um padrão aleatório é usado, mas um padrão definido pode ser utilizado, permitindo a verificação posterior de que a unidade foi limpa por meio da detecção do padrão definido.

A sobregravação de dados é suficiente para a maioria das situações. Entretanto, para aplicativos de alta segurança, podem ser necessárias várias limpezas. Isso proporciona um nível extra de garantia de que os dados antigos foram destruídos. O lado negativo é que leva muito tempo para substituir uma unidade inteira de alta capacidade. E esse processo pode não conseguir limpar os dados de regiões inacessíveis, como áreas protegidas pelo host.

Desmagnetização ou Degaussing
A desmagnetização usa um ímã de alta potência para interromper o campo magnético do meio de armazenamento e destruir os dados no processo. Pode ser aplicada à mídia de armazenamento magnético, como discos rígidos, fita magnética ou disquetes, limpando de forma rápida uma mídia de armazenamento por inteiro.

Embora a desmagnetização possa ser um método eficaz de destruição de dados, ela tem duas grandes desvantagens. Primeiro, a desmagnetização torna o disco rígido inoperante por interromper fisicamente os delicados mecanismos interconectados da unidade, destruindo, assim, qualquer valor potencial do ativo tecnológico em fim de vida útil. Segundo, não há como garantir que todos os dados sejam destruídos. Como a desmagnetização torna uma unidade inoperante, não há como executar a mesma para verificar se os dados foram eliminados. A eficácia da desmagnetização também pode depender da densidade das unidades. Por fim, é importante destacar que a desmagnetização não elimina os dados de mídias não magnéticas, como Unidades de Estado Sólido (SSD na sigla em inglês) e CDs.

Destruição física
A destruição física é uma possível opção de destruição segura de dados. As organizações podem destruir fisicamente os dados por trituração, perfuração, fusão ou qualquer outro método que torne a mídia de armazenamento físico inutilizável e ilegível. A destruição física, no entanto, é propensa a erros humanos e manipulação, não tendo uma maneira confiável de auditar o processo de destruição física.

A maioria dos métodos de destruição física deixa grandes porções do prato da unidade intactas, mesmo que ela esteja inoperante. Nesses casos, os dados ainda podem ser recuperados usando métodos forenses. Somente ao pulverizar o disco se garante que os dados sejam irrecuperáveis. Como a destruição física torna a mídia ilegível, a mesma também impede que os ativos sejam limpos e revendidos. Isso significa que não existe mais a oportunidade de recuperar qualquer valor de fim de vida útil que esses ativos possam ter.

O melhor método de destruição de dados depende do tipo de mídia, da sensibilidade dos dados e do valor do fim de vida útil dos ativos. Muitas empresas tentam realizar a destruição de dados internamente. Normalmente, isso não é um bom uso do tempo e dos recursos internos. A maioria das empresas de ITAD – Disposição de Ativos de TI têm a experiência e a escala para realizar a destruição de dados de forma econômica e segura, ajudando as empresas a garantir que seus ativos de informática sejam destruídos, reciclados ou reaproveitados adequadamente para obter o máximo valor. Usando logística segura e métodos de cadeia de custódia, é garantida a conformidade regulatória, a segurança e a sustentabilidade.