Cómo gestionar el retiro de equipos informáticos en las empresas

A medida que la tecnología evoluciona a un ritmo implacable, las organizaciones renuevan continuamente su infraestructura de TI para mantenerse competitivas, seguras y eficientes. Pero con la emoción de incorporar nuevos sistemas, viene una tarea menos atractiva, pero igualmente crucial: retirar los equipos de TI obsoletos.

Esta fase suele pasarse por alto o se realiza de forma precipitada, lo que conlleva importantes riesgos de seguridad, y cumplimientos normativos y ambientales. Retirar activos de TI no se trata solo de desconectarlos y desecharlos; requiere un proceso meticuloso, documentado y seguro. A continuación, se presentan cinco errores comunes que las empresas cometen al retirar equipos de TI y cómo evitarlos.

1) Suponer que los datos desaparezcan después de la eliminación

Quizás la idea errónea más extendida y peligrosa es que los datos se borran permanentemente con solo borrar archivos o formatear discos duros. En realidad, la eliminación simplemente elimina los datos, no los datos en sí. Sin protocolos adecuados de desinfección de datos, se puede recuperar información confidencial de empresas o clientes mediante herramientas forenses, incluso de dispositivos aparentemente «limpios».

Para evitar esto, las organizaciones deben implementar procesos de destrucción de datos certificados que cumplan o superen estándares como NIST 800-88 o NSA, según la industria y la clasificación de los datos que se destruyen.

Esto puede implicar destrucción física, como trituración, aplastamiento o desintegración, y desmagnetización.

Sin embargo, si la unidad contiene información clasificada, debe desmagnetizarse y luego destruirse físicamente, según la NSA. Este método de destrucción bidireccional garantiza una destrucción completa y total.

Una documentación adecuada debe incluir tanto la cadena de custodia de los datos como el proceso de destrucción. También es importante conservar los certificados de destrucción para fines de auditoría. Confiar en la eliminación básica es una apuesta arriesgada que ninguna organización debería asumir, especialmente con el endurecimiento de las regulaciones de privacidad de datos a nivel mundial.

2) Pasar por alto fuentes de datos no tradicionales

Al considerar los equipos que almacenan datos, las organizaciones suelen centrarse en elementos obvios como servidores, computadoras de escritorio o portátiles. Sin embargo, las fuentes de datos no tradicionales suelen quedar desatendidas. Dispositivos como impresoras, fotocopiadoras, teléfonos VoIP, conmutadores de red, discos duros externos e incluso dispositivos inteligentes pueden almacenar datos confidenciales de configuración, credenciales o comunicaciones internas.

La causa principal de este descuido suele ser la falta de un inventario completo de activos de TI. Sin saber exactamente qué equipos existen ni qué datos podrían contener, las empresas corren el riesgo de perder información durante el desmantelamiento.

Es fundamental crear y mantener un inventario detallado de activos, actualizado continuamente durante todo el ciclo de vida del hardware. Esto permite un seguimiento exhaustivo y garantiza que cada dispositivo se contabilice, se evalúe la confidencialidad de los datos y se gestione adecuadamente durante su retirada.

3) No verificar a los recicladores de residuos electrónicos

La responsabilidad ambiental es un componente cada vez más importante de la gobernanza social corporativa, y la mayoría de las empresas se esfuerzan por deshacerse de sus activos de TI retirados a través de socios de reciclaje. Sin embargo, no todos los recicladores de residuos electrónicos operan de forma ética o segura.

Algunos afirman que desechan los productos electrónicos de forma responsable, pero en realidad exportan residuos peligrosos a países en desarrollo o desechan de forma inadecuada dispositivos que contienen datos, lo que genera importantes riesgos legales y de marca.

La debida diligencia es fundamental al seleccionar un socio de reciclaje. Busque certificaciones como R2 (reciclaje responsable) o e-Stewards, que garantizan el cumplimiento de altos estándares ambientales y de seguridad de datos. Auditar las prácticas del reciclador, solicitar referencias y visitar sus instalaciones cuando sea posible también puede ayudar a verificar su legitimidad. Asociarse con un reciclador de confianza protege tanto la reputación de su empresa como el planeta.

4) Retrasar el desmantelamiento

Los activos de TI obsoletos o sin uso suelen permanecer inactivos en almacenes, salas de servidores o incluso en las casas de los empleados durante largos periodos. Este retraso en el desmantelamiento puede generar numerosos problemas. Los dispositivos sin protección y sin uso son blancos fáciles de filtraciones de datos, robos o pérdidas accidentales.

Además, sin un proceso de retiro oportuno y consistente, las organizaciones pierden visibilidad del estado de los activos, lo que puede crear confusión, incumplimiento o costos innecesarios (como licencias de software continuas o mantenimiento).

La mejor manera de abordar esto es implementar soluciones de destrucción internas como parte integral del ciclo de vida de TI. En lugar de depender de proveedores externos o esperar a que se acumulen grandes volúmenes de dispositivos, las organizaciones pueden equiparse con maquinaria de destrucción de datos de alta seguridad, como trituradoras de discos duros, desmagnetizadores, trituradoras o desintegradores, diseñada para hacer que los datos sean irrecuperables cuando se necesite.

Esto permite la desinfección y destrucción física inmediatas in situ en cuanto se dan de baja los dispositivos. Esto no solo mejora el control de datos y reduce la exposición al riesgo, sino que también simplifica el seguimiento de la cadena de custodia al eliminar transferencias innecesarias. Con capacidades de destrucción internas, las organizaciones pueden retirar equipos de forma segura al ritmo que exigen sus operaciones, sin esperas, sin externalización y sin concesiones.

5) No establecer una cadena de custodia ni involucrar a los equipos de cumplimiento

Retirar equipos de TI no es solo una tarea logística o técnica, sino también una cuestión de gobernanza y rendición de cuentas. Muchas organizaciones no establecen una cadena de custodia documentada cuando los activos de TI se trasladan, almacenan o transfieren a proveedores externos. Esta falta de visibilidad y trazabilidad aumenta el riesgo de pérdida, robo o mal manejo de datos.

Además, no involucrar a los equipos de cumplimiento, legal y seguridad en el proceso de desmantelamiento puede dar lugar a que se pasen por alto obligaciones regulatorias o se cometan errores. En industrias regidas por HIPAA, RGPD, PCI-DSS o regulaciones similares, la eliminación inadecuada de datos puede resultar en multas cuantiosas y daños a la reputación. En el sector público, la eliminación inadecuada puede dar lugar a escenarios mucho peores, como la filtración de secretos nacionales clasificados.

Para evitar este problema, las organizaciones deben formalizar sus políticas y flujos de trabajo de desmantelamiento. Esto incluye etiquetar cada activo, rastrear su movimiento en cada etapa del desmantelamiento e involucrar a todas las partes interesadas.

Una cadena de custodia documentada garantiza la rendición de cuentas y facilita las auditorías o investigaciones, si surgen. Incluir a los equipos de cumplimiento y seguridad en las etapas de planificación ayuda a identificar las normativas aplicables y garantiza el cumplimiento adecuado de principio a fin.

Por qué la destrucción de datos interna y de alta seguridad es más importante que nunca

Todos los errores mencionados comparten un denominador común: la falta de control. Cuanto más manos pasan los datos, mayor es el riesgo de exposición. Por eso, la destrucción de datos interna de alta seguridad no solo es una buena práctica, sino que se está convirtiendo en una necesidad.

Al invertir en soluciones de destrucción de datos de alta seguridad diseñadas específicamente para la destrucción de datos interna, las empresas mantienen la custodia total de sus datos de principio a fin.

Las soluciones de destrucción física, como los desintegradores, desmagnetizadores y trituradoras de discos duros listados por NSA/CSS, permiten a las empresas hacer que los datos sean irrecuperables antes de que cualquier activo salga de las instalaciones.

Esto elimina la dependencia de proveedores externos, reduce el riesgo de fallas en la cadena de custodia y refuerza el cumplimiento de las regulaciones de protección de datos más estrictas.

Además, las soluciones internas ofrecen flexibilidad operativa y tranquilidad. Los activos pueden ser destruidos inmediatamente, en un entorno controlado, por personal capacitado, lo que garantiza que los datos confidenciales nunca escapen de la supervisión corporativa. Para sectores como defensa, salud, finanzas e infraestructuras críticas, este nivel de control no solo es útil, sino esencial.

Las organizaciones que se toman en serio la destrucción de datos reconocen que la conveniencia de externalizar la seguridad no siempre es sinónimo de seguridad. A medida que las amenazas a la seguridad de la información se vuelven más sofisticadas, las medidas de protección deben adaptarse. Los equipos de destrucción de datos de Security Engineered Machinery (SEM) son una inversión proactiva en cumplimiento normativo, reputación e integridad operativa.

En definitiva, la forma en que una organización gestiona sus activos de TI dice tanto de sus valores como de cómo los implementa. Cuando el objetivo es proteger los datos en cada etapa de su ciclo de vida, la opción más segura es la que nunca los pierde de vista.

(datacenterdynamics.com)

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones y productos de infraestructura para edificios y ciudades inteligentes (Sistemas BIM y BMS), POL (Passive Optical LAN). Seguridad integrada, video vigilancia y control de acceso. Casos de uso y aplicabilidad de cada solución y producto, incluyendo la colaboración digital (relacionado a realidad virtual sistema BIM) (Gemelos digitales). Buenas prácticas ambientales.», que estamos preparando para nuestra edición 216 y publicaremos en el mes de julio.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.