Resum de la Guia

sobre emmagatzematge i
esborrament segur d’informació

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 1 de 16

OBSERVATORI DE LA SEGURETAT DE LA INFORMACIÓ
Observatori de la Seguretat de la Informació
 Edició: Abril 2011

El resum de la “Guia sobre emmagatzematge i esborrament segur d’informació” ha estat elaborat

per l’equip de l’Observatori de la Seguretat de la Informació d'INTECO:

Pablo Pérez San-José (direcció)

Cristina Gutiérrez Borge (coordinació)

Eduardo Álvarez Alonso

Susana de la Fuente Rodríguez

Laura García Pérez

L’Institut Nacional de Tecnologies de la Comunicació (INTECO), societat estatal adscrita al

Ministeri d'Indústria, Turisme i Comerç a través de la Secretaria d'Estat de Telecomunicacions i
per a la Societat de la Informació, és una plataforma per al desenvolupament de la Societat del
Coneixement a través de projectes de l'àmbit de la innovació i la tecnologia.

La missió d’INTECO és aportar valor i innovació als ciutadans, a les pimes, a les
Administracions Públiques i al sector de les tecnologies de la informació, a través del
desenvolupament de projectes que contribueixin a reforçar la confiança en els serveis de la
Societat de la Informació al nostre país, promovent a més una línia de participació internacional.
Per això, INTECO desenvoluparà actuacions en les següents línies: Seguretat Tecnològica,
Accessibilitat, Qualitat TIC i Formació.

L’Observatori de la Seguretat de la Informació (http://observatorio.inteco.es) s’insereix dins la

línia estratègica d’actuació d’INTECO en matèria de Seguretat Tecnològica, sent un referent
nacional i internacional al servei dels ciutadans, empreses, i administracions espanyoles per a
descriure, analitzar, assessorar i difondre la cultura de la seguretat i la confiança de la Societat
de la Informació.

Aquesta publicació pertany a l’Institut Nacional de Tecnologies de la Comunicació (INTECO) i està sota una llicència
Reconeixement-No comercial 2.5 Espanya de Creative Commons, per tant està permès copiar, distribuir i comunicar
públicament aquesta obra sota les condicions següents:
• Reconeixement: El contingut d’aquest informe es pot reproduir totalment o parcialment per tercers, citant-ne la
procedència i fent referència expressa tant a INTECO com al seu lloc web: www.inteco.es. El dit reconeixement
no podrà en cap cas suggerir que INTECO ofereix suport a dit tercer o dóna suport a l’ús que fa de la seva obra.
• Ús no comercial: El material original i els treballs derivats poden ser distribuïts, copiats i exhibits mentre no sigui
amb fins comercials. Edició: Febrer 2011
En reutilitzar o distribuir l’obra, han de quedar ben clar els termes de la llicència d'aquesta obra. Alguna d’aquestes
condicions pot no aplicar-se si s’obté el permís d'INTECO com a titular dels drets d'autor. Cap terme en aquesta llicència
menyscaba o restringeix els drets morals d'INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
Aquest document compleix les condicions d’accessibilitat del format PDF (Portable Document Format). Es tracta d’un
document estructurat i etiquetat, proveït d’alternatives a tot element no textual, marcat d’idioma i ordre de lectura adequat.
Per ampliar informació sobre la construcció de documents PDF accessibles podeu consultar la guia disponible a la secció
Accessibilitat > Formació > Manuals i Guies de la pàgina http://www.inteco.es

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 2 de 16

Observatori de la Seguretat de la Informació
 Índex
ÍNDEX

1 INTRODUCCIÓ .............................................................................. 4
2 EMMAGATZEMATGE DE LA INFORMACIÓ ............................... 5
2.1 COM S’EMMAGATZEMA LA INFORMACIÓ ......................................... 5
2.2 POLÍTIQUES QUE HAN DE REGIR L’ÚS DELS SISTEMES
D’EMMAGATZEMATGE ................................................................................ 5
2.3 TIPUS DE DISPOSITIUS D’EMMAGATZEMATGE................................ 7

3 PÈRDUA I RECUPERACIÓ DE INFORMACIÓ ............................ 8

3.1 PÈRDUA D’INFORMACIÓ ..................................................................... 8
3.2 RECUPERACIÓ DE LA INFORMACIÓ .................................................. 9

4 ESBORRAMENT SEGUR I DESTRUCIÓ DE LA INFORMACIÓ . 11

4.1 MÈTODES DE DESTRUCCIÓ DE LA INFORMACIÓ ............................ 11
4.2 MÈTODES QUE NO DESTRUEIXEN LA INFORMACIÓ DE
MANERA SEGURA ........................................................................................ 14
4.3 POLÍTIQUES D’ESBORRAMENT SEGUR DE LA INFORMACIÓ......... 14

5 LEGISLACIÓ APLICABLE ............................................................ 15

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 3 de 16

Observatori de la Seguretat de la Informació
1. Introducció
1 INTRODUCCIÓ

En l’actual societat del coneixement, les empreses i entitats generen informació

constantment. Gràcies a la tecnologia, aquesta informació es pot generar, copiar, enviar i
rebre des de qualsevol lloc i en qualsevol moment, aspectes vitals per al funcionament de
les empreses.

• La dada fa referència a un atribut o una representació simbòlica (alfabètica,

gràfica, numèrica, etc.) subjecta a unes regles, útil per a la interpretació.

• La informació és un conjunt organitzat de dades amb algun significat sobre un

fet, esdeveniment o succés, que en ser processats o avaluats milloren el
coneixement sobre alguna cosa i, per tant, ajuden a la presa de decisions.

Segons es reflecteix en les definicions de la norma internacional ISO27001, Sistema de

Gestió de la Seguretat de la Informació (SGSI), la seguretat de la informació és la
preservació de la confidencialitat, la integritat i la disponibilitat de la informació.

La gestió del cicle de vida de la informació o Information Lifecycle Management

(ILM) fa referència als sistemes, procediments i polítiques que s’han de seguir per
gestionar les dades d’una empresa, tenint en consideració el valor i la disponibilitat de la
informació. Les fases del cicle de vida de la informació, com a part d’un procés continu,
són les següents (començant per la classificació):

Il·lustració 1: Diagrama del cicle de vida de la informació

El coneixement de l’ILM i l’establiment de plans, normes i polítiques d’emmagatzematge i

de seguretat, garanteix un control i gestió de la informació eficients.
Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 4 de 16
Observatori de la Seguretat de la Informació
2. Emmagatzematge de la informació
2 EMMAGATZEMATGE DE LA INFORMACIÓ

La dependència creixent de la majoria de les organitzacions dels seus sistemes

d’informació posa de manifest la necessitat de comptar amb els mitjans i tècniques
necessaris que permetin emmagatzemar la informació de la manera més adequada.

2.1 COM S’EMMAGATZEMA LA INFORMACIÓ

La informació, en funció de la seva criticitat, ús, antiguitat, valor estratègic, etc. ha de ser
emmagatzemada de manera diferent. Les infraestructures han de ser flexibles per
adaptar-se als canvis ràpids del negoci i les noves exigències del mercat, garantint-ne les
propietats.

• Emmagatzematge local. Aquells sistemes utilitzats pels empleats en els equips

locals.

• Servidors d’emmagatzematge en xarxa. Aquells sistemes disposats per

emmagatzemar a la xarxa empresarial el resultat dels treballs individuals i poder
compartir informació entre els diferents usuaris.

• Dispositius externs. Aquells que permeten emmagatzemar informació

temporalment per transportar-la o com a còpia de seguretat.

• Sistema de còpies de seguretat. S’estableix un procediment per sistematitzar la

realització de còpies de suport.

2.2 POLÍTIQUES QUE HAN DE REGIR L’ÚS DELS SISTEMES

D’EMMAGATZEMATGE

S’identifiquen quatre polítiques necessàries a l’empresa, que han de ser conegudes pels
propis usuaris i controlades pels responsables:

Il·lustració 2: Polítiques d’emmagatzematge als entorns empresarials

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 5 de 16

Observatori de la Seguretat de la Informació
 1) Polítiques d’emmagatzematge local als equips de treball. Aquesta política
inclou almenys els aspectes següents:

• Quin tipus d’informació es pot emmagatzemar als equips locals i per quant
temps.

• Permanència de la informació a la xarxa local una vegada transmesa als

servidors corporatius.

• Ubicació dins de l’arbre de directoris de l’equip.

• Utilització de sistemes de xifrat d’informació en els documents empresarials.

• Normativa per als empleats relativa a l’emmagatzematge de documents

personals, arxius de música, fotografies, etc, i en concret relativa a arxius
que estiguin sota algun tipus de regulació quant a drets d’autor
(descàrregues des dels equips de treball).

2) Polítiques d’emmagatzematge a la xarxa corporativa, tant de la informació

general de l’empresa com la del treball dels empleats. La política d’ús de
l’emmagatzematge en xarxa ha de cobrir almenys els aspectes següents:

• Tipus d’informació emmagatzemada, moment d’emmagatzematge i ubicació

dins dels directoris del sistema.

• Persones encarregades de l’actualització d’aquesta informació en cas de

modificació.

3) Polítiques sobre l’ús de dispositius externs, que ha d’incloure almenys els

aspectes següents:

• Si està permès o no l’ús d’aquests dispositius.

• En cas afirmatiu, quin tipus d’informació en cap cas està permès

emmagatzemar, com aquella que conté dades personals de clients, etc.

• Quines mesures d’esborrament s’han d’utilitzar quan aquesta informació

deixa de ser necessària.

4) Polítiques de còpies de seguretat. Una còpia de seguretat, o backup, és un

duplicat que es realitza sobre fitxers o aplicacions contingudes en un ordinador
amb la finalitat de recuperar les dades en cas d’incidents 1.

1
Font: http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica/Enciclopedia_Juridica/Articulos_1/backup

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 6 de 16

Observatori de la Seguretat de la Informació
Alguns dels requisits que ha de complir la planificació de còpies de seguretat són:

• Identificar les dades que requereixen ser preservades.

• Establir la freqüència amb què van a realitzar-se els processos de còpia.

• Disposar el magatzem físic per a les còpies.

• Cercar una probabilitat d’error mínima.

• Controlar els suports que contenen les còpies.

• Planificar la restauració de les còpies.

• Proves completes del sistema després de la seva implantació.

• Definir la vigència de les còpies.

• Controlar l’obsolescència dels dispositius d’emmagatzematge.

2.3 TIPUS DE DISPOSITIUS D’EMMAGATZEMATGE

La gamma és àmplia i les funcionalitats depenen del tipus de dispositiu, encara que com
a aproximació, s’indiquen els dispositius següents i les seves característiques principals:

Taula 1: Comparativa suports d’emmagatzematge (dades referenciades a gener de 2011)

Capacitat Màxima velocitat

Suport màxima de de transferència Tipus
dades 2 de dades 3

Discos durs 3 TB 400 Mb/s Magnètic

Discos Flexibles 240 MB 250 Kb/s Magnètic

Cintes de Backup 24 GB 2,77 Mb/s Magnètic

CD 900 MB 4800 Kb/s Òptic

DVD 8,5 GB 11,1 Mb/s Òptic

Blu-ray Disc 54 GB 54 Mb/s Òptic

Pendrive 256 GB 100 Mb/s Electrònic

Font: INTECO

2
Byte (B) equival a 8 bits (b) i és la unitat bàsica d’emmagatzematge d’informació en combinació amb els prefixos de
quantitat: Kilobyte (KB=1.000 bytes), Megabyte (MB=1.000 KB), Gigabyte (GB=1.000 MB), Terabyte (TB=1.000 GB), etc.
3
Unitats de velocitat de transferència de dades: Kilobit per segon (Kb/ s), Megabit per segon (Mb/s), Gigabit per segon
(Gb/s), etc.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 7 de 16

Observatori de la Seguretat de la Informació
3. Pèrdua i recuperació de la informació
3 PÈRDUA I RECUPERACIÓ DE INFORMACIÓ

La informació és un actiu de valor per a l’empresa i, com a tal, la possibilitat que aquesta
passi a mans no autoritzades, o que no estigui disponible, pot tenir repercussions en
molts aspectes importants per a les empreses. A continuació s’analitza tant la pèrdua de
la informació com la possibilitat de recuperació d’aquesta.

3.1 PÈRDUA D’INFORMACIÓ

Perquè un dispositiu d’emmagatzematge compleixi la seva missió, tots els seus
components físics han de funcionar correctament i el sistema operatiu ha de trobar la
informació que ha estat emmagatzemada d’una manera ordenada.

De forma esquemàtica, els sistemes operatius emmagatzemen la informació dins del disc
dur en arxius. En guardar cada arxiu, s’anota també la seva ubicació a una base de
dades o “llista d’arxius4”. Aquesta llista és l’índex que utilitza el sistema operatiu per
trobar el contingut dels arxius dins del disc.

Es diu que s’ha produït una pèrdua d’informació o dades quan s’altera algun dels seus
atributs d’integritat, disponibilitat i confidencialitat i, específicament al procés
d’emmagatzematge, la disponibilitat és l’atribut més crític. Una informació es perd
definitivament quan no s’aconsegueix l’accés a aquesta informació o ha desaparegut.

3.1.1 Causes de la pèrdua de dades

Les causes per les quals es produeixen les pèrdues d’accés a la informació són múltiples
i en molts casos imprevisibles. Entre aquestes, destaquen les següents:

• Fallades mecàniques als dispositius d’emmagatzematge.

• Errors humans.

• Fallades al programari utilitzat.

• Virus o programari maliciós.

• Desastres naturals o estructurals.

3.1.2 Conseqüències de la pèrdua de dades

En cas que es produeixi una pèrdua de dades temporal o definitiva, s’ocasionen múltiples
perjudicis al funcionament de les empreses. Entre d’altres trobem:

• El temps i diners perduts pels processos duts a terme per restaurar o tornar
a generar la informació perduda.

4
La “llista d’arxius” és un terme genèric que referencia al conjunt d’elements que cada sistema d’arxius utilitza per guardar
tant la informació que identifica els arxius (nom, tipus, data de creació, etc.) com un índex que recull la ubicació física del
seu contingut.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 8 de 16

Observatori de la Seguretat de la Informació
 • Les pèrdues ocasionades per la indisponibilitat d’aquesta informació.

• La mala imatge donada per la companyia.

• Demandes o penalitzacions administratives per possibles incompliments de

contractes.

3.1.3 Recomanacions davant una pèrdua de dades

El primer consell sempre és disposar i seguir una correcta política de còpies de
seguretat. A més, davant un incident de pèrdua de dades es recomana:

• Evitar actuar d’una forma precipitada.

• No reiniciar constantment el dispositiu.

• Dedicar un temps a analitzar quines són les dades perdudes, si es

disposa d’una còpia de seguretat i l’estat d’aquesta.

• Valorar la pèrdua, tant econòmica com de temps de restauració.

• És important decidir si és millor iniciar un procés de recuperació de dades

o restaurar el sistema i generar de nou les dades perdudes.

• Si s’intenta restaurar la còpia de seguretat no és aconsellable utilitzar els

discos “danyats” per recuperar les dades de la còpia.

• Quan la pèrdua de dades es produeix en sistemes compostos per

diversos discos, és recomanable que almenys dues persones realitzin el
seguiment de les decisions per poder contrastar que la decisió presa és
l’adequada i que s’anoten tots els passos realitzats.

• No és recomanable desmuntar els dispositius sense tenir un

coneixement professional.

3.2 RECUPERACIÓ DE LA INFORMACIÓ

Si s’ha perdut l’accés a una informació emmagatzemada, aquesta pèrdua pot no ser
definitiva si existeixen mitjans per restaurar la disponibilitat d’accés, en aquest cas es pot
plantejar la recuperació de la informació.

3.2.1 Mètodes de recuperació de la informació

Són els processos duts a terme amb l’objectiu de restablir l’accés a la informació que
segueix estant emmagatzemada als dispositius, però que no està disponible. Els mètodes
de recuperació de dades s’agrupen en 2 principals:

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 9 de 16

Observatori de la Seguretat de la Informació
 1. Mètodes de recuperació lògica. Utilitzats quan tots els components del
dispositiu funcionen correctament, però s’ha perdut l’accés a les dades. Això
ocorre perquè alguna part de l’estructura del sistema d’arxius està danyada o
algun arxiu ha estat esborrat amb els botons d'ordres dels sistema i per tant no
apareix a la “llista d’arxius”.

Si no es coneix en profunditat com funcionen les eines de reparació de sistemes

d’arxius es poden provocar danys majors al sistema i fer irrecuperable la
informació. Per això, és recomanable acudir a professionals en recuperació de
dades davant una situació d’aquest tipus.

2. Mètodes de recuperació física. S’utilitzen

quan algun component físic del dispositiu està
danyat, però el suport d’emmagatzematge
segueix inalterat. Es pot abordar una
recuperació física reparant o substituint el
component danyat i accedint novament a la
informació guardada.

Els mètodes de recuperació física requereixen un coneixement de cadascun dels

dispositius i es desaconsella totalment l’intent de recuperació per personal no
expert.

3.2.2 Eines de recuperació de dades

Existeixen múltiples eines programari que permeten la recuperació de dades lògica.
INTECO posa a disposició informació relativa a algunes d’elles a la seva pàgina web:

http://cert.inteco.es/software/Proteccion/utiles_gratuitos/

En qualsevol cas es recomana utilitzar cada eina amb les precaucions degudes evitant en
tot moment escriure sobre els discos dels quals es vol recuperar informació.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 10 de 16

Observatori de la Seguretat de la Informació
4.
4
Esborrament segur i destrucció de la
informació
ES BORRAMENT S EGUR I DES TRUCIÓ DE LA INFORMACIÓ

Les empreses poden trobar diversos motius per

eliminar la informació que guarden. A més, són
les encarregades de vetllar per la gestió
adequada de dades personals, estratègiques,
legals o comptables, entre d’altres, i estan
obligades a conservar aquestes dades durant un
període de temps després del qual se solen
eliminar.

4.1 MÈTODES DE DESTRUCCIÓ DE LA INFORMACIÓ

Els mitjans eficaços que eviten completament la recuperació de les dades contingudes
als dispositius d’emmagatzematge són: la desmagnetització, la destrucció i la
sobreescriptura a la totalitat de l’àrea d’emmagatzematge de la informació.

4.1.1 Desmagnetització
La desmagnetització consisteix a l’exposició dels suports d’emmagatzematge a un camp
magnètic potent, procés que elimina les dades emmagatzemades al dispositiu. Aquest
mètode és vàlid per a la destrucció de dades dels dispositius magnètics 5, com per
exemple, els discos durs, cintes magnètiques de backup, etc.

Cada dispositiu, segons la seva grandària, forma i tipus de suport magnètic que es tracti,
necessita d'una potència específica per garantir la polarització completa de totes les
partícules.

Els inconvenients que presenta aquest mètode són:

• Els dispositius han de traslladar-se al lloc on es trobi el desmagnetitzador, la qual

cosa implica uns costos de transport i l’assegurament de la cadena de custòdia.

• Després del procés, aquests deixen de funcionar correctament i per tant

requereixen d'un reciclat que sigui respectuós amb el medi ambient.

• La certificació del procés és difícil, atès que, després d’aquest no es pot accedir al
contingut dels dispositius.

• És recomanable adaptar el camp magnètic aplicat a cada dispositiu per no

malgastar energia de forma innecessària.

5
Els dispositius d’emmagatzematge magnètics són aquells el suport d'emmagatzematge dels quals el componen unes
partícules que poden polaritzar-se en un sentit o en un altre segons la direcció d’un camp magnètic aplicat sobre elles. La
direcció de polarització de les seves partícules indicarà si la dada emmagatzemada és un u o un zero.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 11 de 16

Observatori de la Seguretat de la Informació
4.1.2 Destrucció física
L’objectiu de la destrucció física és la inutilització del suport per evitar la recuperació
posterior de les dades que emmagatzema. Existeixen diferents tipus de tècniques i
procediments per a la destrucció de mitjans d’emmagatzematge:

• Desintegració, polvorització, fusió i incineració. Aquests mètodes solen

dur-se a terme en una destructora de metall o en una planta d’incineració
autoritzada, amb les capacitats específiques per realitzar aquestes activitats
de manera eficaç, segura i sense perill.

• Trituració: les trituradores de

paper es poden utilitzar per
destruir els mitjans
d’emmagatzematge flexibles. La
grandària del fragment resultant
ha de ser prou petit perquè les
dades no puguin ser
recuperades.

Els mètodes de destrucció física poden arribar a ser segurs totalment quant a la
destrucció real de les dades, però presenta alguns inconvenients com són:

• Impliquen la utilització de mètodes industrials de destrucció diferents per a

cada suport.

• Obliguen a un transport i custòdia dels dispositius a un centre de reciclatge

adequat.

• Els residus generats han de ser tractats adequadament.

• La certificació de l’operació és complexa i s’han de fer comprovacions

manuals, com ara fotografies i anotació de número de sèrie que certifiqui
que el dispositiu ha estat eliminat.

4.1.3 Sobreescriptura
La sobreescriptura consisteix a l’escriptura d’un patró de dades sobre les dades
contingudes als dispositius d’emmagatzematge. Per garantir la destrucció completa de les
dades s’ha d’escriure la totalitat de la superfície d'emmagatzematge.

Aquest mètode presenta un major número d’avantatges:

• Es pot utilitzar per a tots els dispositius regravables. Permet la reutilització

dels dispositius.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 12 de 16

Observatori de la Seguretat de la Informació
 • Després del procés d’esborrament és possible accedir de nou al dispositiu
per certificar que aquest procés s’ha realitzat correctament.

• És possible realitzar l’operació d’esborrament a les oficines de l’empresa.

L’únic inconvenient és que no és possible utilitzar-lo en aquells dispositius que no siguin

regravables o en aquells que tinguin alguna avaria física.

4.1.4 Quadre comparatiu

El següent quadre mostra una comparació entre els diferents mètodes d’esborrament
d’informació.

Taula 2: Comparativa dels mètodes d’esborrament segur

Destrucció física Desmagnetització Sobreescriptura

 Eliminació de forma  Eliminació de forma segura de  Eliminació de forma segura

segura de la informació la informació de la informació

 Un sistema de destrucció  Una configuració del sistema  Una única solució per a tots
per a cada suport per a cada suport els dispositius

 Dificultat de certificació  Dificultat de certificació del  Garantia documental de

del procés procés l’operació

 Necessitat de transportar  Necessitat de transportar els  Possibilitat d’eliminació a

els equips a una ubicació equips a una ubicació externa les pròpies oficines
externa

 Mesures extraordinàries  Mesures extraordinàries per  Garantia de la cadena de

per garantir la cadena de garantir la cadena de custòdia custòdia
custòdia

 Destrucció de dispositius,  Vàlid només per a dispositius  No vàlid per a dispositius

no regravables, òptics d’emmagatzematge magnètic no regravables ni òptics

 Destrucció definitiva i  Després del procés el  Reutilització dels

dificultat de reciclatge de dispositiu deixa de funcionar dispositius amb garanties
materials correctament de funcionament

Font: INTECO

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 13 de 16

Observatori de la Seguretat de la Informació
 Taula 3: Mètode d’esborrament adequat en funció del dispositiu

Destrucció
Suport Tipus Desmagnetització Sobreescriptura
física

Discos durs Magnètic   

Discos Flexibles Magnètic   

Cintes de Backup Magnètic   

CD Òptic   

DVD Òptic   

Blu-ray Disc Òptic   

Pen Drive Electrònic    6

Font: INTECO

Per a més informació, INTECO proporciona útils gratuïts d’esborrament segur a la seva
pàgina web:

http://cert.inteco.es/software/Proteccion/utiles_gratuitos/

4.2 MÈTODES QUE NO DESTRUEIXEN LA INFORMACIÓ DE MANERA SEGURA

Quan s’utilitzen mètodes d’esborrament disposats pel propi sistema operatiu com el botó
d’ordre “suprimir”, es realitza una modificació de la informació exclusivament en la “llista
d’arxius” sense que s’elimini realment el contingut de l’arxiu que roman a la zona
d'emmagatzematge fins que es reutilitzi aquest espai amb un arxiu nou.

Per tant els mètodes següents no són mètodes de destrucció segura d’informació:

• Els comandaments d’esborrament del sistema operatiu.

• La formatació del dispositiu

4.3 POLÍTIQUES D’ESBORRAMENT SEGUR DE LA INFORMACIÓ

Tota empresa ha de comptar amb una política d’esborrament segur de la informació dels
dispositius d’emmagatzematge amb els quals treballa, que contingui almenys els
elements següents:

• Gestió de suports adequada.

• Documentació de les operacions d’esborrament realitzades.

6
Malgrat que actualment la sobreescriptura és un mètode segur de destrucció de dades per dispositius basats en
memòries d’estat sòlid Nand-Flash, diversos treballs d’investigació forense apunten la possibilitat de recuperació posterior
amb tècniques de lectura directa dels xips de memòria. Un d’aquests estudis és el de la Universitat de Califòrnia
http://nvsl.ucsd.edu/sanitize/.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 14 de 16

Observatori de la Seguretat de la Informació
5. Legislació aplicable
5 LEGIS LACIÓ AP LICABLE

1 Normativa interna en relació amb la Seguretat de la Informació a l’empresa.

Existeixen diferents certificacions que permeten garantir que les organitzacions
compleixen amb determinades normatives, controls o estàndards en els seus
processos i operacions, entre les quals es poden destacar:

• La norma ISO 9001 permet garantir que l’organització compleix amb la

política i els objectius de qualitat.

• La norma per a la seguretat de la informació UNE-ISO/IEC 27001 detalla

els requisits necessaris per establir, implantar, operar, supervisar, revisar,
mantenir, auditar i millorar un SGSI.

2 Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica. El

Reial Decret 3/2010, de 8 de gener, regula l’Esquema Nacional de Seguretat en
l’àmbit de l’Administració Electrònica, en relació amb el tractament de dispositius
d’emmagatzematge i esborrament segur d’informació.

El Reial Decret 3/2010 exposa, al seu Annex II, les mesures de seguretat que ha de
contemplar una empresa per aconseguir el compliment dels principis bàsics i
requisits mínims establerts.

3 La Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de

Caràcter Personal (LOPD). Aquesta llei obliga a les empreses a custodiar la
informació de manera que no pugui ser accedida per tercers no autoritzats. Fa
referència a la legislació aplicable pel que fa a l’ús i difusió de dades personals d’un
tercer sense autorització prèvia.

El Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament

de Desenvolupament de la LOPD (RDLOPD), especifica a l’article 92.4: sempre
que vagi a rebutjar-se qualsevol document o suport que contingui dades de caràcter
personal haurà de procedir-se a la seva destrucció o esborrament, mitjançant
l'adopció de mesures dirigides a evitar l'accés a la informació continguda en el dit
document o suport o la seva recuperació posterior.

4 Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació i de

Comerç Electrònic (LSSICE). Regula el règim jurídic dels serveis de la societat de
la informació i de la contractació per via electrònica. Les empreses tenen obligacions
i responsabilitats referent al servei i ús de la Xarxa amb finalitats comercials, per
garantir l’ús correcte del tractament de la informació.

Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 15 de 16

Observatori de la Seguretat de la Informació
 Web http://observatorio.inteco.es

Perfil en Scribd de l’Observatori de la Seguretat de la Informació:

http://www.scribd.com/ObservaINTECO

Canal Twitter de l’Observatori de la Seguretat de la Informació:

http://twitter.com/ObservaINTECO

Bloc de l’Observatori de la Seguretat de la Informació:

http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/

observatorio@inteco.es

www.inteco.es
Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 16 de 16
Observatori de la Seguretat de la Informació