Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

1

FACULTAD DE INGENIERÍA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C. LICENCIA CREATIVE COMMONS: Atribución no comercial sin derivadas AÑO DE ELABORACIÓN: 2015 TÍTULO: Diseño de un procedimiento de borrado seguro de discos duros para el Ministerio de Minas y Energía de Colombia AUTORES: Rojas Chaparro, Sandra Patricia y Yate Alape, John Jairo DIRECTOR: Velandia, John PÁGINAS: 52 TABLAS: 3 CUADROS: 0 FIGURAS: 9 ANEXOS: 1 CONTENIDO: 1 GENERALIDADES DEL TRABAJO DE GRADO 2 MARCOS DE REFERENCIA 3 METODOLOGÍA 4 EVALUACIÓN DE NORMAS CONSULTADAS 5 PROCEDIMIENTO DE BORRADO SEGURO DE DISCOS DUROS PARA EL

MINISTERIO DE MINAS Y ENERGÍA DE COLOMBIA 6 FLUJO PARA TOMA DE DECISIÓN DE LA DISPOSICIÓN DE LOS DISCOS

DUROS INDICADOR DE GESTION DEL BORRADO SEGURO 9 VALIDACIÓN DEL PROCEDIMIENTO DE BORRADO SEGURO 10 CONCLUSIONES 11 BIBLIOGRAFÍA DESCRIPCIÓN: Actualmente, el mundo avanza a pasos agigantados en cuanto a sus avances tecnológicos. Esto ha propiciado, que todos los días las organizaciones y las personas, generen una gran cantidad de información, la cual es salvaguardada en sus equipos de cómputo, más exactamente en sus discos duros locales. Dicho

Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

2

método de almacenamiento de información es utilizado por usuarios, bien sea de tipo corporativo o doméstico. Siendo los discos duros locales un medio de almacenamiento principal, éstos se convierten en una parte sensible del equipo de cómputo, ya que allí reposa toda la información confidencial de las personas u organizaciones; razón por la cual, se debe tener un cuidado especial de seguridad tanto física como lógica de estos dispositivos de almacenamiento. Lo anterior, no es tenido en cuenta por ningún usuario, ni por muchas Organizaciones del sector Estatal o Privado. Las entidades estatales y privadas, hacen traslado de equipos entre usuarios, realizan donaciones de equipos a otras entidades o fundaciones, también dan de baja los equipos de cómputo obsoletos, sin tener en cuenta la información contiene el disco duro, tan solo realizan un formateo de equipo, borrado de archivos sin verificar que la información haya sido borrado en su totalidad y esta sea irrecuperable a través de cualquier medio o uso de herramientas avanzadas de recuperación de información. Teniendo en cuenta lo anterior, este proyecto plantea brindar una herramienta como lo es el diseño de un procedimiento de borrado seguro de discos duros para el Ministerio de Minas y Energía de Colombia. METODOLOGÍA: El enfoque de esta investigación es de carácter cualitativo, toda vez que a partir de la información recolectada sobre guías, estándares y métodos existentes de borrado seguro de discos duros, los autores de este proyecto podrán seleccionar e identificar las mejores prácticas para así, diseñar un procedimiento de borrado seguro de discos duros basado en los procedimientos y guías analizadas para el Ministerio de Minas y Energía de Colombia. Esta investigación es descriptiva, comparativa y proyectiva. Descriptiva porque se pretende reunir información sobre las guías, estándares y métodos existentes de borrado seguro de discos duros. Comparativa porque permitirá analizar y clasificar la información recolectada con el fin de generar un único procedimiento. Proyectiva porque el objetivo principal de este proyecto será diseñar un procedimiento de borrado seguro de discos duros que cubrirá la necesidad del Ministerio de Minas y Energía de Colombia de proteger la información almacenada en los discos duros que ya no son utilizados. Las técnicas e instrumentos que se utilizarán para alcanzar el objetivo principal de este proyecto de investigación teniendo en cuenta el enfoque y el tipo de

Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

3

investigación, es el análisis comparativo, porque los autores deben analizar las guías, estándares y métodos existentes de borrado seguro de discos duros. Con el fin de lograr el objetivo principal de este proyecto, el diseño metodológico se dividirá en cinco fases como son planeación, recolección de información, análisis de la información recolectada, implementación y verificación. En la fase de planeación se presenta la propuesta ante la Universidad y una vez sea aprobada, se procede con la segunda fase de recolección de información en donde se utilizarán las técnicas e instrumentos descritos anteriormente. Una vez se recolecte la información, se procede con la tercera fase que es el análisis de la información recolectada, en donde se escogerán las mejores prácticas en borrado seguro de discos duros. En la cuarta fase de implementación, se realizará el diseño propuesto en el objetivo principal del proyecto y en la quinta y última fase de verificación que como su nombre lo indica es la verificación del procedimiento de borrado seguro de discos duros propuesto. PALABRAS CLAVE: SEGURIDAD INFORMÁTICA; BORRADO SEGURO DE DISCOS DUROS; PROTECCIÓN DE DATOS. CONCLUSIONES: Este proyecto permitió evidenciar que en Colombia, el tema de la sanitización o el borrado de discos duros, aún no es primordial, y que tener políticas y procedimientos sin tener en cuenta éste ítem tan importante como premisa para salvaguardar los tres pilares de la Información como son la Confidencialidad, Disponibilidad e Integridad, genera una brecha de seguridad importante. El análisis de las guías, estándares y métodos existentes de borrado seguro de discos duros, arrojó como resultado la identificación de dos normas principales, sobre las cuales se realizó la respectiva evaluación, y finalmente, se tomó la norma NIST 800 como base para la elaboración de la guía de borrado seguro del Ministerio de Minas y Energía de Colombia. . Se evidenció la necesidad de que las Entidades realicen un inventario de sus equipos de cómputo asociados a sus usuarios finales, con el fin de poder categorizar la información que es almacenada en los discos duros, y tomar la mejor decisión en el momento de sanitizarlos o ponerlos a disposición.

Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

4

Este proyecto hizo un aporte al conocimiento de sus autores, porque permitió a través de la investigación identificar la importancia de garantizar la Confidencialidad de la Información en los equipos que son puestos a disposición, bien sea para ser reutilizados o para ser llevados fuera de sus Organizaciones. FUENTES: Asociación Española para la Calidad. (2015). Seguridad de la Información.

Recuperado el 18 de 10 de 2015, de http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion.

Association, Information Systems Audit and Control. (2011). La integridad de los datos: el aspecto más relegado de la seguridad de la información. Recuperado el 17 de 10 de 2015, de http://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-Integrity-Information-Securitys-Poor-Relation-spanish.aspx

Bowe Systec España. (11 de 12 de 2012). http://www.boweoffice.es/noticias-eventos/noticias/282-normativa-din66399-destruccion-datos.html. Recuperado el 20 de 05 de 2015, de http://www.boweoffice.es/documentacion/normativa-destructoras-DIN-66399.pdf

Cajon Desastres. Borrado seguro de los datos de nuestros discos duros con Hardwipe (3 de Mayo de 2012). Obtenido de https://cajondesastres.wordpress.com/2012/05/03/borrado-seguro-de-la-informacion-de-nuestros-discos-duros-con-hardwipe/

Carnegie Mellon University . (15 de 09 de 2011). Guidelines for Data Protection. Recuperado el 18 de 10 de 2015, de http://www.cmu.edu/iso/governance/guidelines/data-protection/media-sanitization.html

Contraloría General de la República. (11 de 11 de 2014). Instructivo de borrado seguro a través de formateo a bajo nivel en equipos de cómputo para dar de baja en la Contraloría General de la República. Recuperado el 18 de 10 de 2015, de http://estrategicos.contraloria.gov.co/cdisc/documentos/420.pdf

Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

5

Gobierno de España- Ministerio de la Presidencia. (14 de 12 de 2009). Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Recuperado el 20 de 06 de 2015, de https://boe.es/boe/dias/1999/12/14/pdfs/A43088-43099.pdf

Information Security Media Group. (24 de 09 de 2012). NIST Drafting Guide on Media Sanitization. Recuperado el 18 de 10 de 2015, de http://www.bankinfosecurity.com/nist-drafting-guide-on-media-sanitization-a-5135

Instituto Nacional de Ciberseguridad - España. (1 de Abril de 2011). Guía sobre almacenamiento y borrado seguro de información. Recuperado el 15 de 10 de 2015, de https://www.incibe.es/file/Nxk8l4GNfrjAyyRDEuknZg

Intituto Colombiano de Bienestar Familiar. (09 de 06 de 2014). Guía de manipulación de medios y borrado seguro v2. Recuperado el 18 de 10 de 2015, de http://www.icbf.gov.co/portal/page/portal/IntranetICBF/macro_procesos/MP_apoyo/gestion_tecnologica/G11-MPA6-Guia-de-manipulacion-de-medios-y-borrado-seguro-v2.pdf

LLC, S. T. (2015). Seagate Technology LLC. Todo lo que deseaba saber acerca de los discos duros. Obtenido de http://www.seagate.com/la/es/do-more/everything-you-wanted-to-know-about-hard-drives-master-dm/

Ministerio de Minas y Energía de Colombia. (2015). Tabla gestión documental. Recuperado el 12 de 11 de 2015 de https://www.minminas.gov.co/Tablas-de-Retencion-Documental

Ministerio de Salud de Chile. (01 de 08 de 2014). Procedimiento para la eliminación segura y reutilizaciones de equipos. Recuperado el 18 de 10 de 2015, de http://web.minsal.cl/sites/default/files/files/2014%20Procedimiento%20eliminaci%C3%B3n%20segura.pdf

National Institute Of Standards and Technology. (1 de 12 de 2014). Guidelines for Media Sanitization. Recuperado el 15 de 5 de 2015, de http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

6

Organización Internacional de Normalización (ISO). (2013). ISO/IEC 27001:2013. ISO/IEC 27001:2013.

Presidencia de la Republica de Colombia. (7 de julio de 1991). Constitucion Poíitica de Colombia 1991. Recuperado el 11 de 7 de 2015, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4125#15

Presidencia de la República de Colombia. (31 de 12 de 2008). Ley estatutaria 1266 de 2008. Recuperado el 21 de 10 de 2015, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488

Presidencia de la República de Colombia. (05 de 01 de 2009). Ley 1273 de 2009. Recuperado el 22 de 10 de 2015, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492

Recupera Data - España. (11 de 02 de 2015). Borrado seguro de datos. Recuperado el 15 de 03 de 2015, de http://www.borradoseguro.es/clientes/borradoseguro/borrado-seguro.html

Servicio de Impuestos Internos. (13 de 01 de 2015). Request for technical assistance: provide technical assistance addressing media sanitization requirements. Recuperado el 18 de 10 de 2015, de https://www.irs.gov/uac/Media-Sanitization-Methods

United States Environmental Protection Agency. (28 de 06 de 2012). Media Sanitization Considerationsfor Federal Electronics at End-of-Life. Recuperado el 18 de 10 de 2015, de http://www2.epa.gov/sites/production/files/documents/sanitization.pdf

LISTA DE ANEXOS: Anexo 1. Cuadro de clasificación documental - CCD.PDF.