O cemitério dos dados: guia do Diretor de Segurança da Informação para uma eliminação de dados conforme e auditável
Maria, Diretora de Segurança da Informação de uma fintech em rápido crescimento, sentiu um aperto familiar no estômago. A auditoria externa ao GDPR estava a seis semanas de distância, e uma verificação de rotina ao inventário de ativos acabara de revelar um fantasma do passado da empresa: uma sala de armazenamento trancada no antigo edifício de escritórios, cheia de servidores descomissionados, fitas de cópia de segurança cobertas de pó e pilhas de computadores portáteis antigos de colaboradores. O “cemitério dos dados”, como a sua equipa lhe chamava de forma sombria, já não era um problema esquecido. Era uma bomba-relógio de conformidade.
Que dados sensíveis de clientes, propriedade intelectual ou informação pessoal identificável (PII) estariam escondidos naquelas unidades? Teriam sido devidamente sanitizados? Existiam sequer registos para o comprovar? A ausência de respostas era a verdadeira ameaça. No domínio da segurança da informação, aquilo que não se sabe pode — e muitas vezes acaba por — causar danos.
Este cenário não é exclusivo de Maria. Para inúmeros Diretores de Segurança da Informação, responsáveis pela conformidade e donos de processos de negócio, os dados legados representam um risco enorme e não quantificado. São uma responsabilidade silenciosa que aumenta a superfície de ataque, complica os pedidos dos titulares dos dados (DSR) e cria um terreno minado para auditores. A pergunta central é simples, mas profundamente desafiante: o que deve fazer com dados sensíveis de que já não necessita? A resposta não é simplesmente carregar em “delete”. Trata-se de construir um processo defensável, repetível e auditável para a gestão do ciclo de vida da informação, desde a criação até à destruição segura.
O elevado risco da acumulação de dados
Guardar dados para sempre “por precaução” é um vestígio de outra era. Hoje, é uma estratégia comprovadamente perigosa. Dados sensíveis que permanecem para além da sua vida útil ou obrigatória expõem a organização a um conjunto alargado de ameaças, desde sanções por incumprimento e violações de privacidade até fugas acidentais e extorsão por ransomware.
Reter dados para além do respetivo período de retenção cria vários riscos críticos:
- Falha de conformidade: As autoridades reguladoras estão a atuar de forma mais rigorosa contra a retenção desnecessária de dados. Um cemitério de dados viola diretamente princípios de privacidade e pode originar coimas significativas.
- Aumento do impacto de uma violação: Se ocorrer uma violação, cada elemento de dados legados que mantém transforma-se numa responsabilidade. A exfiltração, por um atacante, de cinco anos de dados antigos de clientes é exponencialmente mais danosa do que a exfiltração de apenas um ano.
- Ineficiência operacional: Gerir, proteger e pesquisar montanhas de dados irrelevantes consome recursos, degrada o desempenho dos sistemas e torna quase impossível cumprir pedidos de “direito ao apagamento” ao abrigo do GDPR.
Muitas organizações acreditam, erradamente, que carregar em ‘delete’ ou remover uma entrada de base de dados faz desaparecer os dados. Raramente é assim, ficando dados residuais distribuídos por ambientes físicos, virtuais e cloud.
Mandatos regulamentares: o fim do “guardar para sempre”
As regras mudaram. A convergência de regulamentos globais exige expressamente que a informação pessoal e sensível seja retida apenas pelo tempo necessário e apagada de forma segura quando esse período termina. Isto não é uma recomendação; é um mandato legal e operacional.
O Zenith Blueprint: roteiro de 30 passos para auditores da Clarysec resume o imperativo transregulatório para a eliminação segura de dados:
✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Exige que os dados pessoais não sejam conservados por mais tempo do que o necessário, suporta o direito ao apagamento (“direito a ser esquecido”) e impõe o apagamento seguro quando já não forem necessários.
✓ NIS2 Article 21(2)(a, d): Exige medidas técnicas e organizativas baseadas no risco para assegurar que os dados são eliminados de forma segura quando já não são necessários.
✓ DORA Article 9(2)(a–c): Exige a proteção de informação sensível ao longo de todo o seu ciclo de vida, incluindo a destruição segura.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Aborda a eliminação segura de dados, a destruição de suportes e a remoção de ativos de informação no fim de vida.
✓ ITAF 4th Edition – Domain 2.1.6: Exige evidência de destruição e eliminação segura de dados em conformidade com obrigações legais e regulamentares.
Isto significa que a sua organização deve dispor de processos documentados, aplicados e auditáveis para a eliminação de dados. Aplica-se não apenas a registos em papel ou discos rígidos, mas a todos os pontos do seu património digital, incluindo armazenamento cloud, cópias de segurança, dados aplicacionais e fornecedores terceiros.
Do caos ao controlo: construir um programa de eliminação orientado por políticas
O primeiro passo para desativar a bomba do cemitério dos dados é estabelecer um referencial claro e vinculativo. Um programa robusto de eliminação não começa com trituradoras e desmagnetizadores, mas com uma política bem definida. Este documento funciona como a fonte única de verdade para toda a organização, alinhando equipas de negócio, jurídico e TI sobre a forma como os dados são geridos e destruídos.
A Política de Retenção e Eliminação de Dados da Clarysec fornece um modelo para esse efeito. Um dos seus objetivos centrais é definido de forma clara na cláusula 3.1 da política:
“Garantir que os dados são retidos apenas durante o tempo legal, contratual ou operacionalmente necessário, e eliminados de forma segura quando já não forem necessários.”
Esta declaração simples altera a mentalidade da organização de “guardar tudo” para “guardar o que é necessário”. A política estabelece um processo formal, assegurando que as decisões não são arbitrárias, mas associadas a obrigações concretas. Como destaca a cláusula 1.2 da Política de Retenção e Eliminação de Dados, esta foi concebida para apoiar a implementação da ISO/IEC 27001:2022 através da aplicação de controlo sobre a duração do armazenamento de dados e da garantia de preparação para auditorias e inspeções regulamentares.
Para organizações mais pequenas, uma política empresarial pesada pode ser excessiva. A Política de Retenção e Eliminação de Dados - PME oferece uma alternativa simplificada, centrada no essencial, conforme indicado na cláusula 1.1 da política:
“A finalidade desta política é definir regras aplicáveis para a retenção e eliminação segura da informação em contexto de PME. Garante que os registos são mantidos apenas durante o período exigido por lei, obrigação contratual ou necessidade de negócio, e destruídos de forma segura após esse período.”
Seja para uma grande organização ou para uma PME, a política é a pedra angular. Confere autoridade para atuar e estabelece o referencial necessário para assegurar que as ações são consistentes, defensáveis e alinhadas com boas práticas de segurança.
Executar o plano: controlos ISO/IEC 27001:2022 na prática
Com uma política em vigor, Maria pode agora traduzir os seus princípios em ações concretas, guiadas pelos controlos da ISO/IEC 27001:2022. Dois controlos são essenciais neste domínio:
- Controlo 8.10 Eliminação da informação: Exige que “a informação armazenada em sistemas de informação, dispositivos ou em quaisquer outros suportes de armazenamento seja eliminada quando já não for necessária”.
- Controlo 7.14 Eliminação ou reutilização segura de equipamentos: Incide sobre o hardware físico, garantindo que os suportes de armazenamento são devidamente sanitizados antes de o equipamento ser eliminado, reutilizado ou vendido.
Mas o que significa, na prática, “eliminado de forma segura”? É aqui que os auditores distinguem processos maduros de abordagens superficiais. Segundo o Zenith Blueprint, a verdadeira eliminação vai muito além de mover um ficheiro para a reciclagem. Envolve métodos que tornam os dados irrecuperáveis:
Para sistemas digitais, eliminação deve significar apagamento seguro, e não apenas carregar em ‘delete’ ou esvaziar a reciclagem. A eliminação efetiva inclui:
✓ Sobrescrever os dados (por exemplo, com métodos DoD 5220.22-M ou NIST 800-88),
✓ Apagamento criptográfico (por exemplo, destruindo as chaves de cifragem utilizadas para proteger os dados),
✓ Ou aplicar utilitários de apagamento seguro antes do descomissionamento de dispositivos.
Para registos físicos, o Zenith Blueprint recomenda trituração de corte cruzado, incineração ou utilização de serviços certificados de eliminação. Esta orientação prática ajuda as organizações a passar da política ao procedimento, definindo os passos técnicos exatos necessários para cumprir o objetivo do controlo.
Uma visão holística: a rede de segurança interligada da eliminação
Tratar o cemitério dos dados não é uma tarefa isolada. A eliminação eficaz de dados está profundamente interligada com outros domínios de segurança. É aqui que uma visão holística, como a fornecida pelo Zenith Controls: guia de conformidade cruzada da Clarysec, se torna indispensável. Funciona como uma bússola, revelando como um controlo depende de muitos outros para operar eficazmente.
Analisemos o Controlo 7.14 (Eliminação ou reutilização segura de equipamentos) sob esta perspetiva. O guia Zenith Controls mostra que esta não é uma atividade isolada. O seu sucesso depende de uma rede de controlos relacionados:
- 5.9 Inventário de ativos: Não é possível eliminar de forma segura aquilo que não se sabe que existe. O primeiro passo de Maria deve ser inventariar todos os servidores, computadores portáteis e fitas naquela sala de armazenamento. Um inventário de ativos rigoroso é a base.
- 5.12 Classificação da informação: O método de eliminação depende da sensibilidade dos dados. É necessário saber o que se está a destruir para escolher o nível adequado de sanitização.
- 5.34 Privacidade e proteção de informação pessoal identificável (PII): Os equipamentos contêm frequentemente dados pessoais. O processo de eliminação deve garantir que toda a PII é destruída de forma irreversível, ligando-se diretamente às obrigações de privacidade previstas em regulamentos como o GDPR.
- 8.10 Eliminação da informação: Este controlo define “o quê” (eliminar informação quando já não é necessária), enquanto o 7.14 define “como” proceder relativamente aos suportes físicos subjacentes. São duas faces da mesma moeda.
- 5.37 Procedimentos operacionais documentados: A eliminação segura deve seguir um processo definido e repetível para assegurar consistência e criar um rasto de auditoria. Eliminações ad hoc são um sinal de alerta para qualquer auditor.
Esta interligação demonstra que um programa de segurança maduro trata a eliminação de dados não como uma tarefa de limpeza, mas como parte integrante do seu Sistema de Gestão de Segurança da Informação (SGSI).
Análise técnica: sanitização de suportes e normas de suporte
Para implementar estes controlos de forma eficaz, é essencial compreender os diferentes níveis de sanitização de suportes, conforme descritos em referenciais como NIST SP 800-88. Estes métodos oferecem uma abordagem por camadas para assegurar que os dados são irrecuperáveis, adequada à sua sensibilidade.
| Método de sanitização | Descrição | Exemplo de caso de utilização |
|---|---|---|
| Clear | Sobrescrita de dados com dados não sensíveis através de comandos padrão de leitura/escrita. Protege contra técnicas simples de recuperação de dados. | Reatribuição de um computador portátil a outro colaborador dentro do mesmo ambiente seguro. |
| Purge | Técnicas avançadas como desmagnetização (para suportes magnéticos) ou apagamento criptográfico. Resiste a ataques de recuperação em laboratório. | Descomissionamento de um servidor que continha dados financeiros sensíveis, mas não ultrassecretos. |
| Destroy | Destruição física do suporte (trituração, incineração, pulverização). Os dados tornam-se impossíveis de recuperar. | Eliminação de discos rígidos que contêm propriedade intelectual altamente confidencial ou PII. |
A escolha do método correto depende da classificação dos dados. A orientação de normas especializadas é particularmente valiosa neste ponto. Um programa robusto recorre a um conjunto alargado de referenciais de suporte, para além da ISO/IEC 27001:2022.
| Norma | Relevância principal |
|---|---|
| ISO/IEC 27005:2022 | Integra a eliminação como opção de tratamento de riscos e identifica a eliminação insegura como um risco de impacto elevado. |
| ISO/IEC 27701:2019 | Exige controlos específicos para a eliminação de PII ao reutilizar ou eliminar equipamentos. |
| ISO/IEC 27018:2019 | Impõe o apagamento seguro de PII alojada na cloud antes da eliminação de qualquer ativo que a contenha. |
| ISO/IEC 27017:2015 | Fornece orientação específica para cloud, assegurando a sanitização de ativos ao terminar recursos virtuais ou físicos. |
| NIST SP 800-88 | Disponibiliza orientações técnicas detalhadas para a sanitização de suportes, definindo as técnicas Clear, Purge e Destroy. |
O auditor está a chegar: como provar que o processo funciona
Passar uma auditoria não consiste apenas em fazer a coisa certa; consiste em provar que a coisa certa foi feita. Para Maria, isto significa documentar cada passo do processo de eliminação relativo aos ativos no seu cemitério de dados. O Zenith Blueprint fornece uma lista de verificação clara do que os auditores exigirão para o Controlo 8.10 (Eliminação da informação):
“Disponibilize a sua Política de Eliminação da Informação… Demonstre a aplicação técnica através de definições de retenção configuradas nos seus sistemas de negócio… Poderão pedir evidência dos métodos de eliminação segura: apagamento de discos com ferramentas aprovadas… ou eliminação segura de documentos. Se eliminar dados aquando da expiração do contrato… apresente o rasto de auditoria ou o ticket que o confirma.”
Para satisfazer os auditores, deve criar um pacote abrangente de evidência para cada evento de eliminação. Um Registo de Eliminação de Dados é essencial.
Exemplo de tabela de rasto de auditoria
| ID do ativo | Tipo de ativo | Localização | Método de eliminação | Evidência/log | Aprovador |
|---|---|---|---|---|---|
| SRV-FIN-04 | HDD de servidor | Centro de dados local | Desmagnetização + trituração física | Certificado de eliminação #DC44C8 | Proprietário dos dados |
| CUST-DB-BKP-112 | Fita LTO-8 | Iron Mountain | Incineração certificada | Certificado de destruição #IM7890 | Operações de TI |
| PROJ-X-DATA | Bucket AWS S3 | eu-west-1 | Política de ciclo de vida ‘DeleteObject’ | Log de apagamento AWS #1192 | Operações de cloud |
| HR-LAPTOP-213 | SSD de computador portátil | Armazenamento de TI | Apagamento criptográfico | Log de apagamento #WL5543 | Suporte de TI |
Os auditores abordam este processo a partir de diferentes perspetivas. O guia Zenith Controls detalha como vários referenciais de auditoria escrutinam o processo:
| Referencial de auditoria | Evidência exigida | Abordagem |
|---|---|---|
| ISO/IEC 19011:2018 | Observação de práticas, revisão de logs de retenção e certificados de eliminação. | Entrevistas, revisão documental, amostragem |
| ISACA ITAF | Triangulação de evidência suficiente e fiável a partir de políticas, logs e entrevistas. | Triangulação |
| NIST SP 800-53A | Registos que comprovem a utilização de métodos de sanitização aprovados (segundo NIST SP 800-88). | Testes técnicos, inspeção de registos |
| COBIT 2019 | Prova de supervisão de governação, integração com a gestão de riscos e reporte. | Revisão de governação, walkthrough do processo |
Armadilhas comuns e como evitá-las
Mesmo com uma política em vigor, muitas organizações falham na execução. Seguem-se armadilhas comuns e a forma como uma abordagem estruturada ajuda a resolvê-las:
| Armadilha | Como uma abordagem orientada pela Clarysec ajuda |
|---|---|
| Dados sombra: Os dados permanecem em cópias de segurança esquecidas, arquivos ou Shadow IT. | Um Registo de Retenção aplicado e ligado a um inventário de ativos completo assegura que todas as cópias são identificadas e acompanhadas para eliminação. |
| Apenas eliminação lógica: Os dados são marcados como eliminados, mas permanecem recuperáveis. | A política impõe métodos de apagamento seguro (sobrescrita, apagamento criptográfico, destruição física) com base na classificação dos dados. |
| Ambiguidade do prestador de serviços cloud: Processos pouco claros para eliminação segura em SaaS/IaaS. | Os contratos com fornecedores são atualizados para exigir certificação de apagamento ou confirmação verificável em log aquando da cessação do serviço. |
| Processos manuais e propensos a erro: Depender de pessoas para se lembrarem de eliminar dados. | Automatizar sempre que possível através de políticas de ciclo de vida dos sistemas (por exemplo, em M365, AWS S3). Exigir evidência documentada para todas as eliminações manuais. |
| Ausência de prova de eliminação: Falta de registos auditáveis para satisfazer autoridades reguladoras. | Um Registo de Eliminação de Dados centralizado e a retenção de todos os certificados de destruição emitidos por terceiros criam um rasto de auditoria defensável. |
Conclusão: transforme o seu cemitério de dados numa vantagem estratégica
Seis semanas depois, Maria apresentou ao auditor do GDPR o trabalho da sua equipa. A sala de armazenamento estava vazia. No seu lugar existia um arquivo digital com um registo meticuloso de cada ativo descomissionado: logs de inventário, relatórios de classificação dos dados, procedimentos de sanitização e certificados de destruição assinados. Aquilo que antes era uma fonte de ansiedade tornara-se uma demonstração de gestão de riscos madura.
O cemitério dos dados é um sintoma de uma cultura de segurança reativa. Transformá-lo exige uma abordagem proativa, orientada por políticas. Exige que a eliminação de dados seja vista não como uma tarefa de limpeza de TI, mas como uma função estratégica de segurança que reduz o risco, assegura conformidade e demonstra compromisso com a proteção de informação sensível.
Pronto para enfrentar o seu próprio cemitério de dados? Comece por construir a base para uma abordagem resiliente, assente em evidência, à gestão do ciclo de vida da informação.
Próximos passos acionáveis:
- Estabelecer a base: Implemente uma política clara e aplicável utilizando os modelos da Clarysec, como a Política de Retenção e Eliminação de Dados ou a Política de Retenção e Eliminação de Dados - PME.
- Mapear o seu universo: Crie e mantenha um inventário abrangente de todos os ativos de informação. Não é possível eliminar aquilo que não se sabe que existe.
- Definir e aplicar a retenção: Estabeleça um calendário de retenção formal que associe cada tipo de dados a um requisito legal, contratual ou de negócio, e automatize a sua aplicação.
- Operacionalizar a eliminação segura: Integre procedimentos de eliminação segura e sanitização nos seus procedimentos operacionais padrão para o descomissionamento de ativos de TI.
- Documentar tudo: Crie e mantenha um rasto de auditoria robusto para cada ação de eliminação, incluindo logs, tickets e certificados de terceiros.
- Estender à cadeia de fornecimento: Assegure que os contratos com prestadores de serviços cloud e outros fornecedores incluem requisitos rigorosos de eliminação segura de dados e exija prova de conformidade.
Cada byte de dados desnecessários é um risco. Recupere o controlo, reforce a conformidade, simplifique auditorias e reduza a exposição a violações.
Contacte-nos para uma demonstração ou explore a biblioteca completa Zenith Blueprint e Zenith Controls para iniciar o seu percurso.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
