A Destruição incorreta de dados Pode custar milhões à sua empresa

Com o fim do suporte regular ao Windows 10 se aproximando e cinco anos após a onda de substituição de hardware impulsionada pela pandemia de COVID-19 para o trabalho remoto, muitos departamentos de TI estão renovando seus equipamentos. Contudo, o que as empresas fazem com os sistemas desativados é tão crucial quanto a aquisição de novos dispositivos. Descartar notebooks corporativos antigos sem a certeza de que os dados foram completamente apagados pode levar a milhões de dólares em multas e processos judiciais, caso informações confidenciais caiam em mãos erradas.

Um caso notório ocorreu em 2022, quando o Morgan Stanley Smith Barney (MSSB) foi multado em US$ 35 milhões pela Comissão de Valores Mobiliários dos EUA (SEC) por não descartar adequadamente dispositivos contendo informações de identificação pessoal (PII). A empresa financeira contratou uma companhia de mudança não qualificada para limpar alguns data centers, que, em vez de destruir os dados, vendeu 4.900 ativos, incluindo discos rígidos não apagados, para uma terceira parte.

A falta de supervisão adequada custou ao Morgan Stanley um total de US$ 155 milhões em multas e acordos judiciais, evidenciando que a terceirização do problema não isenta a empresa da responsabilidade.

Ainda que o caso do Morgan Stanley envolva data centers, a mesma lógica se aplica a laptops corporativos. É essencial não apenas higienizar todos os dados, mas também confiar plenamente no parceiro escolhido para a tarefa. Lou Ramondetta, presidente da Surplus Service, uma empresa de higienização de computadores, alerta que a maioria dos dados descartados não é apagada corretamente.

"É impressionante o abuso que acontece no setor, porque as pessoas só querem obter os computadores e, se os obtêm, tentam revendê-los, e muitas vezes as coisas não são feitas da maneira que deveriam", disse ele.

A higienização profissional de dados é um processo complexo. A Surplus Service, por exemplo, utiliza hardware e software específicos e pode levar horas para apagar um único disco rígido. Dependendo do nível de segurança exigido pelo cliente, os dados podem ser sobrescritos até sete vezes. Para garantir a máxima segurança, os discos podem ser destruídos fisicamente, e o processo é monitorado por câmeras e auditado por equipes especializadas.

Diretrizes e Riscos da Destruição de Dados

Qualquer serviço de destruição de dados de confiança segue as diretrizes NIST 800-88 Rev. 1, introduzidas pelo governo dos EUA. A norma aconselha que a higienização seja baseada na categorização da segurança dos dados. O NIST estabelece três métodos principais para a higienização:

• Limpeza (Clear): Sobrescrever os dados com informações inúteis ou restaurar as configurações de fábrica. A desvantagem é que nem todas as seções do disco são apagadas, tornando a recuperação de dados possível em um ambiente de laboratório.

• Expurgo (Purge): Uso de técnicas avançadas, como o apagamento seguro, que limpa todas as seções do dispositivo, dificultando a recuperação dos dados mesmo em laboratórios. Os discos, no entanto, podem ser reutilizados.

• Destruição (Destroy): Danificar fisicamente os discos rígidos de forma irreparável, seja por meio de trituração, incineração ou outros métodos. É o método mais seguro, mas também o mais custoso e o menos sustentável.

A escolha do método deve ponderar os riscos e os custos. Empresas de setores sensíveis como saúde ou finanças podem optar pela destruição física, enquanto outras podem se contentar com métodos mais simples. Silvino Diaz, advogado da EPGD Business Law, ressalta que a boa-fé na limpeza não isenta a empresa de responsabilidade caso os dados sejam recuperados. Ele enfatiza a necessidade de ter procedimentos documentados, registros e monitoramento de fornecedores.

Gigantes da tecnologia como Dell e HP oferecem programas de reciclagem de ativos que permitem às empresas higienizar seus dados e, em alguns casos, até recuperar parte do valor do equipamento. Essas empresas seguem os padrões do NIST e fornecem certificados de higienização, garantindo um descarte seguro e ecologicamente responsável. Além disso, existem softwares, como o BitRaser, que permitem que as empresas realizem a higienização internamente, gerando relatórios detalhados para comprovar a conformidade em auditorias.

Winston Wellington, CEO da WellTec Defense, sugere que a melhor prática é a destruição interna do hardware antes de entregá-lo a uma empresa de descarte. "Mesmo quando você trabalha com um fornecedor terceirizado, é melhor destruir o hardware antes de entregá-lo", afirmou. Esta abordagem transfere a responsabilidade principal para o departamento de TI da empresa, que deve garantir que nenhuma informação sensível saia de suas instalações, minimizando os riscos de vazamentos e prejuízos milionários.

Via - TR