El cementerio de datos: guía para el CISO sobre eliminación de datos conforme y auditable
María, CISO de una fintech en rápido crecimiento, sintió un nudo familiar en el estómago. La auditoría externa de GDPR tendría lugar en seis semanas y una comprobación rutinaria del inventario de activos acababa de sacar a la luz un fantasma del pasado de la empresa: una sala de almacenamiento cerrada en el antiguo edificio de oficinas, llena de servidores retirados, cintas de copia de seguridad cubiertas de polvo y pilas de portátiles antiguos de empleados. El “cementerio de datos”, como su equipo lo llamaba con preocupación, ya no era un problema olvidado. Era una bomba de cumplimiento a punto de estallar.
¿Qué datos sensibles de clientes, propiedad intelectual o información de identificación personal (PII) seguían ocultos en esas unidades? ¿Se había saneado correctamente alguno de esos soportes? ¿Existían siquiera registros para demostrarlo? La verdadera amenaza era la falta de respuestas. En seguridad de la información, lo que no se conoce puede perjudicarle y, con frecuencia, acaba haciéndolo.
Este escenario no es exclusivo de María. Para innumerables CISO, responsables de cumplimiento y propietarios de empresas, los datos heredados representan un riesgo enorme y no cuantificado. Son un pasivo silencioso que amplía la superficie de ataque, complica las solicitudes de los interesados y crea un campo minado para los auditores. La pregunta central es sencilla, pero profundamente compleja: ¿qué debe hacerse con los datos sensibles que ya no son necesarios? La respuesta no consiste simplemente en pulsar “eliminar”. Consiste en construir un proceso defendible, repetible y auditable para la gestión del ciclo de vida de la información, desde su creación hasta su destrucción segura.
Lo que está en juego al acumular datos
Conservar datos indefinidamente “por si acaso” es un vestigio de otra época. Hoy es una estrategia demostrablemente peligrosa. Los datos sensibles que permanecen más allá de su vida útil o exigida exponen a la organización a múltiples amenazas, desde sanciones por incumplimiento y brechas de privacidad hasta fugas accidentales e incluso extorsión mediante ransomware.
Conservar datos más allá de su plazo de conservación genera varios riesgos críticos:
- Incumplimiento normativo: Los reguladores están intensificando el control sobre la conservación innecesaria de datos. Un cementerio de datos constituye una infracción directa de los principios de privacidad y puede dar lugar a multas significativas.
- Mayor impacto de una brecha de seguridad: Si se produce una brecha de seguridad, cada fragmento de datos heredados que conserve se convierte en una responsabilidad. Que un atacante exfiltre cinco años de datos antiguos de clientes es exponencialmente más dañino que la exfiltración de un solo año.
- Ineficiencia operativa: Gestionar, proteger y buscar entre grandes volúmenes de datos irrelevantes consume recursos, ralentiza sistemas y hace casi imposible atender solicitudes de “derecho de supresión” conforme a GDPR.
Muchas organizaciones creen erróneamente que pulsar “eliminar” o borrar una entrada de base de datos hace desaparecer los datos. Rara vez ocurre así: quedan datos residuales en entornos físicos, virtuales y en la nube.
Mandatos regulatorios: el fin de “conservarlo todo para siempre”
Las reglas han cambiado. La convergencia de regulaciones globales exige expresamente que la información personal y sensible se conserve solo durante el tiempo necesario y se borre de forma segura cuando finalice ese período. No es una recomendación; es un mandato legal y operativo.
Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec resume el imperativo transversal de cumplimiento regulatorio para la eliminación segura de datos:
✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Exige que los datos personales no se conserven más tiempo del necesario, respalda el derecho de supresión (“derecho al olvido”) y obliga al borrado seguro cuando los datos ya no sean necesarios.
✓ NIS2 Article 21(2)(a, d): Exige medidas técnicas y organizativas basadas en el riesgo para asegurar que los datos se eliminen de forma segura cuando ya no sean necesarios.
✓ DORA Article 9(2)(a–c): Exige la protección de la información sensible durante todo su ciclo de vida, incluida su destrucción segura.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Aborda la eliminación segura de datos, la destrucción de soportes y la retirada de activos de información al final de su vida útil.
✓ ITAF 4th Edition – Domain 2.1.6: Exige evidencias de destrucción y eliminación segura de datos conforme a las obligaciones legales y regulatorias.
Esto significa que la organización debe contar con procesos documentados, implantados y auditables para la eliminación de datos. Esto no aplica únicamente a registros en papel o discos duros, sino a todos los ámbitos del parque digital, incluidos el almacenamiento en la nube, las copias de seguridad, los datos de aplicaciones y los proveedores terceros.
Del caos al control: construir un programa de eliminación basado en políticas
El primer paso para desactivar la bomba del cementerio de datos es establecer un marco claro y autorizado. Un programa de eliminación sólido no empieza con destructoras de documentos y desmagnetizadores, sino con una política bien definida. Este documento actúa como la fuente única de verdad para toda la organización y alinea a los equipos de negocio, legales y de TI sobre cómo se gestionan y destruyen los datos.
La Política de conservación y eliminación de datos de Clarysec proporciona una base para ello. Uno de sus objetivos principales se formula claramente en la cláusula 3.1 de la política:
“Asegurar que los datos se conserven únicamente durante el tiempo legal, contractual u operativamente necesario, y que se eliminen de forma segura cuando ya no sean necesarios.”
Esta declaración sencilla desplaza la mentalidad de la organización de “conservarlo todo” a “conservar lo necesario”. La política establece un proceso formal y asegura que las decisiones no sean arbitrarias, sino que estén vinculadas a obligaciones concretas. Como destaca la cláusula 1.2 de la Política de conservación y eliminación de datos, está diseñada para apoyar la implantación de ISO/IEC 27001:2022 mediante la aplicación de controles sobre la duración del almacenamiento de datos y la preparación para auditorías e inspecciones regulatorias.
Para organizaciones más pequeñas, una política corporativa extensa puede resultar excesiva. La Política de conservación y eliminación de datos - pyme ofrece una alternativa simplificada, centrada en lo esencial, tal como se indica en la cláusula 1.1 de la política:
“El propósito de esta política es definir reglas exigibles para la conservación y eliminación segura de la información en un entorno de pyme. Asegura que los registros se conserven únicamente durante el período requerido por ley, obligación contractual o necesidad de negocio, y que posteriormente se destruyan de forma segura.”
Tanto para una gran empresa como para una pyme, la política es la piedra angular. Proporciona la autoridad para actuar y el marco para asegurar que las acciones sean coherentes, defendibles y alineadas con las mejores prácticas de seguridad.
Ejecución del plan: controles de ISO/IEC 27001:2022 en la práctica
Con una política en vigor, María puede traducir sus principios en acciones concretas, guiada por los controles de ISO/IEC 27001:2022. Dos controles son fundamentales en este punto:
- Control 8.10 Eliminación de información: Este control exige que “la información almacenada en sistemas de información, dispositivos o cualquier otro soporte de almacenamiento se elimine cuando ya no sea necesaria”.
- Control 7.14 Eliminación segura o reutilización de equipos: Este control se centra en el hardware físico y asegura que los soportes de almacenamiento se saneen correctamente antes de eliminar, reasignar o vender el equipo.
Pero ¿qué significa realmente “eliminado de forma segura”? Aquí es donde los auditores distinguen los procesos maduros de las meras declaraciones. Según Zenith Blueprint, la eliminación real va mucho más allá de mover un archivo a la papelera de reciclaje. Implica métodos que hacen que los datos sean irrecuperables:
En sistemas digitales, la eliminación debe significar borrado seguro, no simplemente pulsar “eliminar” o vaciar la papelera de reciclaje. La eliminación real incluye:
✓ Sobrescribir los datos (por ejemplo, con métodos DoD 5220.22-M o NIST 800-88),
✓ Borrado criptográfico (por ejemplo, destruir las claves de cifrado utilizadas para proteger los datos),
✓ O aplicar utilidades de borrado seguro antes de retirar dispositivos.
Para registros físicos, Zenith Blueprint recomienda la trituración con destructora de corte cruzado, la incineración o el uso de servicios certificados de eliminación. Esta guía práctica ayuda a las organizaciones a pasar de la política al procedimiento, definiendo los pasos técnicos exactos necesarios para cumplir el objetivo del control.
Una visión integral: la red de seguridad interconectada de la eliminación
Abordar el cementerio de datos no es una tarea aislada. La eliminación eficaz de datos está profundamente interconectada con otros dominios de seguridad. Aquí es donde una visión integral, como la que ofrece Zenith Controls: la guía de cumplimiento transversal de Clarysec, se vuelve indispensable. Actúa como una brújula y muestra cómo un control depende de muchos otros para funcionar de forma efectiva.
Analicemos Control 7.14 (Eliminación segura o reutilización de equipos) desde esta perspectiva. La guía Zenith Controls muestra que no se trata de una actividad aislada. Su éxito depende de una red de controles relacionados:
- 5.9 Inventario de activos: No se puede eliminar de forma segura aquello que no se sabe que existe. El primer paso de María debe ser inventariar cada servidor, portátil y cinta de esa sala de almacenamiento. Un inventario de activos exacto es la base.
- 5.12 Clasificación de la información: El método de eliminación depende de la sensibilidad de los datos. Es necesario saber qué se está destruyendo para elegir el nivel de saneamiento adecuado.
- 5.34 Privacidad y protección de la PII: Los equipos suelen contener datos personales. El proceso de eliminación debe asegurar que toda la PII se destruya de forma irreversible, vinculándose directamente con las obligaciones de privacidad establecidas por regulaciones como GDPR.
- 8.10 Eliminación de información: Este control proporciona el “qué” (eliminar información cuando ya no sea necesaria), mientras que 7.14 proporciona el “cómo” para los soportes físicos subyacentes. Son dos caras de la misma moneda.
- 5.37 Procedimientos operativos documentados: La eliminación segura debe seguir un proceso definido y repetible para asegurar la coherencia y crear una pista de auditoría. Las eliminaciones ad hoc son una señal de alerta para cualquier auditor.
Esta interconexión demuestra que un programa de seguridad maduro trata la eliminación de datos no como una tarea de limpieza, sino como una parte integrada de su Sistema de Gestión de la Seguridad de la Información (SGSI).
Profundización técnica: saneamiento de soportes y normas de apoyo
Para implantar estos controles de forma eficaz, es fundamental comprender los distintos niveles de saneamiento de soportes, tal como se describen en marcos como NIST SP 800-88. Estos métodos ofrecen un enfoque por capas para asegurar que los datos sean irrecuperables, de forma proporcional a su sensibilidad.
| Método de saneamiento | Descripción | Ejemplo de caso de uso |
|---|---|---|
| Clear | Sobrescritura de datos con datos no sensibles mediante comandos estándar de lectura/escritura. Protege frente a técnicas simples de recuperación de datos. | Reasignación de un portátil a otro empleado dentro del mismo entorno seguro. |
| Purge | Técnicas avanzadas como la desmagnetización (para soportes magnéticos) o el borrado criptográfico. Resiste ataques de recuperación en laboratorio. | Retirada de un servidor que contenía datos financieros sensibles, aunque no de máximo secreto. |
| Destroy | Destrucción física del soporte (trituración, incineración, pulverización). Los datos son imposibles de recuperar. | Eliminación de discos duros que contienen propiedad intelectual altamente confidencial o PII. |
La elección del método adecuado depende de la clasificación de los datos. La orientación de normas especializadas es especialmente valiosa en este punto. Un programa sólido se apoya en un conjunto amplio de marcos complementarios más allá de ISO/IEC 27001:2022.
| Norma | Relevancia clave |
|---|---|
| ISO/IEC 27005:2022 | Integra la eliminación como opción de tratamiento de riesgos e identifica la eliminación insegura como un riesgo de alto impacto. |
| ISO/IEC 27701:2019 | Exige controles específicos para la eliminación de PII al reutilizar o eliminar equipos. |
| ISO/IEC 27018:2019 | Obliga al borrado seguro de PII en la nube antes de eliminar cualquier activo que la contenga. |
| ISO/IEC 27017:2015 | Proporciona orientación específica para la nube y asegura el saneamiento de activos al finalizar recursos virtuales o físicos. |
| NIST SP 800-88 | Ofrece directrices técnicas detalladas para el saneamiento de soportes y define las técnicas Clear, Purge y Destroy. |
El auditor se acerca: cómo demostrar que su proceso funciona
Superar una auditoría no consiste solo en hacer lo correcto; consiste en demostrar que se hizo lo correcto. Para María, esto significa documentar cada paso del proceso de eliminación de los activos de su cementerio de datos. Zenith Blueprint proporciona una lista de verificación clara de lo que los auditores exigirán para el Control 8.10 (Eliminación de información):
“Proporcione su Política de eliminación de información… Demuestre la aplicación técnica mediante ajustes de conservación configurados en sus sistemas de negocio… Pueden solicitar evidencias de métodos de eliminación segura: borrado de discos con herramientas aprobadas… o eliminación segura de documentos. Si elimina datos al vencimiento de un contrato… muestre la pista de auditoría o el ticket que lo confirma.”
Para satisfacer a los auditores, debe crear un paquete integral de evidencias para cada acción de eliminación. Un Registro de Eliminación de Datos es esencial.
Tabla de ejemplo de pista de auditoría
| ID de activo | Tipo de activo | Ubicación | Método de eliminación | Evidencia/registro | Aprobador |
|---|---|---|---|---|---|
| SRV-FIN-04 | HDD de servidor | CPD local | Desmagnetización + trituración física | Cert. de eliminación #DC44C8 | Propietario de la información |
| CUST-DB-BKP-112 | Cinta LTO-8 | Iron Mountain | Incineración certificada | Cert. de destrucción #IM7890 | Operaciones de TI |
| PROJ-X-DATA | Bucket AWS S3 | eu-west-1 | Política de ciclo de vida ‘DeleteObject’ | Registro de borrado de AWS #1192 | Operaciones de nube |
| HR-LAPTOP-213 | SSD de portátil | Almacén de TI | Borrado criptográfico | Registro de borrado #WL5543 | Soporte de TI |
Los auditores abordan este proceso desde distintas perspectivas. La guía Zenith Controls detalla cómo varios marcos de auditoría examinan el proceso:
| Marco de auditoría | Evidencia requerida | Enfoque |
|---|---|---|
| ISO/IEC 19011:2018 | Observación de prácticas, revisión de registros de conservación y certificados de eliminación. | Entrevistas, revisión documental, muestreo |
| ISACA ITAF | Triangulación suficiente y fiable de evidencias procedentes de políticas, registros y entrevistas. | Triangulación |
| NIST SP 800-53A | Registros que demuestren que se utilizaron métodos de saneamiento aprobados (según NIST SP 800-88). | Pruebas técnicas, inspección de registros |
| COBIT 2019 | Prueba de supervisión de gobernanza, integración con la gestión del riesgo e informes. | Revisión de gobernanza, recorrido del proceso |
Errores frecuentes y cómo evitarlos
Incluso con una política en vigor, muchas organizaciones fallan durante la ejecución. Estos son errores frecuentes y cómo un enfoque guiado por Clarysec ayuda a resolverlos:
| Error | Cómo ayuda un enfoque guiado por Clarysec |
|---|---|
| Datos en shadow IT: Los datos siguen existiendo en copias de seguridad, archivos o shadow IT olvidados. | Un Registro de Conservación aplicado y vinculado a un inventario de activos completo asegura que todas las copias se identifiquen y se supervisen hasta su eliminación. |
| Solo eliminación lógica: Los datos se marcan como eliminados, pero siguen siendo recuperables. | La política exige métodos de borrado seguro (sobrescritura, borrado criptográfico, destrucción física) basados en la clasificación de datos. |
| Ambigüedad del proveedor de nube: Procesos poco claros para la eliminación segura en SaaS/IaaS. | Los contratos con proveedores se actualizan para exigir certificación de borrado o confirmación verificable mediante registros al finalizar el servicio. |
| Procesos manuales y propensos a errores: Depender de que las personas recuerden eliminar datos. | Automatice siempre que sea posible mediante políticas de ciclo de vida del sistema (por ejemplo, en M365, AWS S3). Exija evidencias documentadas para todas las eliminaciones manuales. |
| Sin prueba de eliminación: Falta de registros auditables para satisfacer a los reguladores. | Un Registro de Eliminación de Datos centralizado y la conservación de todos los certificados de destrucción de terceros crean una pista de auditoría defendible. |
Conclusión: convierta su cementerio de datos en una ventaja estratégica
Seis semanas después, María guio al auditor de GDPR por el trabajo de su equipo. La sala de almacenamiento estaba vacía. En su lugar había un archivo digital con un registro meticuloso de cada activo retirado: registros de inventario, informes de clasificación de datos, procedimientos de saneamiento y certificados de destrucción firmados. Lo que antes era una fuente de ansiedad se había convertido en una muestra de gestión de riesgos madura.
El cementerio de datos es un síntoma de una cultura de seguridad reactiva. Transformarlo requiere un enfoque proactivo y basado en políticas. Exige ver la eliminación de datos no como una tarea de limpieza de TI, sino como una función estratégica de seguridad que reduce el riesgo, asegura el cumplimiento y demuestra el compromiso con la protección de la información sensible.
¿Está listo para abordar su propio cementerio de datos? Empiece construyendo la base de un enfoque resiliente y basado en evidencias para la gestión del ciclo de vida de la información.
Próximos pasos accionables:
- Establezca la base: Implemente una política clara y exigible utilizando las plantillas de Clarysec, como la Política de conservación y eliminación de datos o la Política de conservación y eliminación de datos - pyme.
- Mapee su universo: Cree y mantenga un inventario completo de todos los activos de información. No puede eliminar aquello que no sabe que existe.
- Defina y aplique la conservación: Establezca un calendario de conservación formal que vincule cada tipo de dato con un requisito legal, contractual o de negocio, y automatice después su aplicación.
- Operativice la eliminación segura: Integre procedimientos de eliminación segura y saneamiento en sus procedimientos operativos estándar para la retirada de activos de TI.
- Documéntelo todo: Cree y mantenga una pista de auditoría sólida para cada acción de eliminación, incluidos registros, tickets y certificados de terceros.
- Extiéndalo a su cadena de suministro: Asegúrese de que los contratos con proveedores de nube y otros proveedores incluyan requisitos estrictos de eliminación segura de datos y exijan prueba de cumplimiento.
Cada byte de datos innecesarios es un riesgo. Recupere el control, refuerce su cumplimiento, simplifique las auditorías y reduzca la exposición ante brechas de seguridad.
Contáctenos para una demostración o explore la biblioteca completa Zenith Blueprint y Zenith Controls para iniciar su recorrido.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
