Professional Documents
Culture Documents
sobre emmagatzematge i
esborrament segur d’informació
La missió d’INTECO és aportar valor i innovació als ciutadans, a les pimes, a les
Administracions Públiques i al sector de les tecnologies de la informació, a través del
desenvolupament de projectes que contribueixin a reforçar la confiança en els serveis de la
Societat de la Informació al nostre país, promovent a més una línia de participació internacional.
Per això, INTECO desenvoluparà actuacions en les següents línies: Seguretat Tecnològica,
Accessibilitat, Qualitat TIC i Formació.
Aquesta publicació pertany a l’Institut Nacional de Tecnologies de la Comunicació (INTECO) i està sota una llicència
Reconeixement-No comercial 2.5 Espanya de Creative Commons, per tant està permès copiar, distribuir i comunicar
públicament aquesta obra sota les condicions següents:
• Reconeixement: El contingut d’aquest informe es pot reproduir totalment o parcialment per tercers, citant-ne la
procedència i fent referència expressa tant a INTECO com al seu lloc web: www.inteco.es. El dit reconeixement
no podrà en cap cas suggerir que INTECO ofereix suport a dit tercer o dóna suport a l’ús que fa de la seva obra.
• Ús no comercial: El material original i els treballs derivats poden ser distribuïts, copiats i exhibits mentre no sigui
amb fins comercials. Edició: Febrer 2011
En reutilitzar o distribuir l’obra, han de quedar ben clar els termes de la llicència d'aquesta obra. Alguna d’aquestes
condicions pot no aplicar-se si s’obté el permís d'INTECO com a titular dels drets d'autor. Cap terme en aquesta llicència
menyscaba o restringeix els drets morals d'INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
Aquest document compleix les condicions d’accessibilitat del format PDF (Portable Document Format). Es tracta d’un
document estructurat i etiquetat, proveït d’alternatives a tot element no textual, marcat d’idioma i ordre de lectura adequat.
Per ampliar informació sobre la construcció de documents PDF accessibles podeu consultar la guia disponible a la secció
Accessibilitat > Formació > Manuals i Guies de la pàgina http://www.inteco.es
1 INTRODUCCIÓ .............................................................................. 4
2 EMMAGATZEMATGE DE LA INFORMACIÓ ............................... 5
2.1 COM S’EMMAGATZEMA LA INFORMACIÓ ......................................... 5
2.2 POLÍTIQUES QUE HAN DE REGIR L’ÚS DELS SISTEMES
D’EMMAGATZEMATGE ................................................................................ 5
2.3 TIPUS DE DISPOSITIUS D’EMMAGATZEMATGE................................ 7
La informació, en funció de la seva criticitat, ús, antiguitat, valor estratègic, etc. ha de ser
emmagatzemada de manera diferent. Les infraestructures han de ser flexibles per
adaptar-se als canvis ràpids del negoci i les noves exigències del mercat, garantint-ne les
propietats.
S’identifiquen quatre polítiques necessàries a l’empresa, que han de ser conegudes pels
propis usuaris i controlades pels responsables:
• Quin tipus d’informació es pot emmagatzemar als equips locals i per quant
temps.
1
Font: http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica/Enciclopedia_Juridica/Articulos_1/backup
La gamma és àmplia i les funcionalitats depenen del tipus de dispositiu, encara que com
a aproximació, s’indiquen els dispositius següents i les seves característiques principals:
Font: INTECO
2
Byte (B) equival a 8 bits (b) i és la unitat bàsica d’emmagatzematge d’informació en combinació amb els prefixos de
quantitat: Kilobyte (KB=1.000 bytes), Megabyte (MB=1.000 KB), Gigabyte (GB=1.000 MB), Terabyte (TB=1.000 GB), etc.
3
Unitats de velocitat de transferència de dades: Kilobit per segon (Kb/ s), Megabit per segon (Mb/s), Gigabit per segon
(Gb/s), etc.
La informació és un actiu de valor per a l’empresa i, com a tal, la possibilitat que aquesta
passi a mans no autoritzades, o que no estigui disponible, pot tenir repercussions en
molts aspectes importants per a les empreses. A continuació s’analitza tant la pèrdua de
la informació com la possibilitat de recuperació d’aquesta.
De forma esquemàtica, els sistemes operatius emmagatzemen la informació dins del disc
dur en arxius. En guardar cada arxiu, s’anota també la seva ubicació a una base de
dades o “llista d’arxius4”. Aquesta llista és l’índex que utilitza el sistema operatiu per
trobar el contingut dels arxius dins del disc.
Es diu que s’ha produït una pèrdua d’informació o dades quan s’altera algun dels seus
atributs d’integritat, disponibilitat i confidencialitat i, específicament al procés
d’emmagatzematge, la disponibilitat és l’atribut més crític. Una informació es perd
definitivament quan no s’aconsegueix l’accés a aquesta informació o ha desaparegut.
• Errors humans.
• El temps i diners perduts pels processos duts a terme per restaurar o tornar
a generar la informació perduda.
4
La “llista d’arxius” és un terme genèric que referencia al conjunt d’elements que cada sistema d’arxius utilitza per guardar
tant la informació que identifica els arxius (nom, tipus, data de creació, etc.) com un índex que recull la ubicació física del
seu contingut.
Si s’ha perdut l’accés a una informació emmagatzemada, aquesta pèrdua pot no ser
definitiva si existeixen mitjans per restaurar la disponibilitat d’accés, en aquest cas es pot
plantejar la recuperació de la informació.
http://cert.inteco.es/software/Proteccion/utiles_gratuitos/
En qualsevol cas es recomana utilitzar cada eina amb les precaucions degudes evitant en
tot moment escriure sobre els discos dels quals es vol recuperar informació.
Els mitjans eficaços que eviten completament la recuperació de les dades contingudes
als dispositius d’emmagatzematge són: la desmagnetització, la destrucció i la
sobreescriptura a la totalitat de l’àrea d’emmagatzematge de la informació.
4.1.1 Desmagnetització
La desmagnetització consisteix a l’exposició dels suports d’emmagatzematge a un camp
magnètic potent, procés que elimina les dades emmagatzemades al dispositiu. Aquest
mètode és vàlid per a la destrucció de dades dels dispositius magnètics 5, com per
exemple, els discos durs, cintes magnètiques de backup, etc.
Cada dispositiu, segons la seva grandària, forma i tipus de suport magnètic que es tracti,
necessita d'una potència específica per garantir la polarització completa de totes les
partícules.
• La certificació del procés és difícil, atès que, després d’aquest no es pot accedir al
contingut dels dispositius.
5
Els dispositius d’emmagatzematge magnètics són aquells el suport d'emmagatzematge dels quals el componen unes
partícules que poden polaritzar-se en un sentit o en un altre segons la direcció d’un camp magnètic aplicat sobre elles. La
direcció de polarització de les seves partícules indicarà si la dada emmagatzemada és un u o un zero.
Els mètodes de destrucció física poden arribar a ser segurs totalment quant a la
destrucció real de les dades, però presenta alguns inconvenients com són:
4.1.3 Sobreescriptura
La sobreescriptura consisteix a l’escriptura d’un patró de dades sobre les dades
contingudes als dispositius d’emmagatzematge. Per garantir la destrucció completa de les
dades s’ha d’escriure la totalitat de la superfície d'emmagatzematge.
Un sistema de destrucció Una configuració del sistema Una única solució per a tots
per a cada suport per a cada suport els dispositius
Font: INTECO
Destrucció
Suport Tipus Desmagnetització Sobreescriptura
física
CD Òptic
DVD Òptic
Font: INTECO
Per a més informació, INTECO proporciona útils gratuïts d’esborrament segur a la seva
pàgina web:
http://cert.inteco.es/software/Proteccion/utiles_gratuitos/
Quan s’utilitzen mètodes d’esborrament disposats pel propi sistema operatiu com el botó
d’ordre “suprimir”, es realitza una modificació de la informació exclusivament en la “llista
d’arxius” sense que s’elimini realment el contingut de l’arxiu que roman a la zona
d'emmagatzematge fins que es reutilitzi aquest espai amb un arxiu nou.
Per tant els mètodes següents no són mètodes de destrucció segura d’informació:
Tota empresa ha de comptar amb una política d’esborrament segur de la informació dels
dispositius d’emmagatzematge amb els quals treballa, que contingui almenys els
elements següents:
6
Malgrat que actualment la sobreescriptura és un mètode segur de destrucció de dades per dispositius basats en
memòries d’estat sòlid Nand-Flash, diversos treballs d’investigació forense apunten la possibilitat de recuperació posterior
amb tècniques de lectura directa dels xips de memòria. Un d’aquests estudis és el de la Universitat de Califòrnia
http://nvsl.ucsd.edu/sanitize/.
El Reial Decret 3/2010 exposa, al seu Annex II, les mesures de seguretat que ha de
contemplar una empresa per aconseguir el compliment dels principis bàsics i
requisits mínims establerts.
http://www.scribd.com/ObservaINTECO
http://twitter.com/ObservaINTECO
http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/
observatorio@inteco.es
www.inteco.es
Resum de la Guia sobre emmagatzematge i esborrament segur d’informació Pàgina 16 de 16
Observatori de la Seguretat de la Informació