Gestión de riesgo en el ciclo completo de TI: desde el inventario hasta la eliminación final auditable

Introducción a la gestión de riesgos en el ciclo de TI

La gestión de riesgos es fundamental para asegurar la integridad, seguridad y conformidad de los activos de tecnología de la información (TI) desde el inicio hasta el fin del ciclo de vida. Esto incluye el inventario detallado, mantenimiento continuo, monitoreo y la disposición auditable de los equipos, garantizando protección contra vulnerabilidades y mitigación de impactos ambientales y legales.

Inventario detallado y control de activos

El primer paso es mantener un inventario actualizado, catalogando todos los dispositivos de TI, como computadoras, servidores, dispositivos móviles y medios de almacenamiento. El inventario debe ser gestionado con rigor para asegurar que todos los activos estén registrados y puedan ser rastreados desde la adquisición hasta la disposición final, conforme a lo previsto en la Ley nº 14.150/2021, que dispone sobre responsabilidad ambiental en el manejo de residuos electrónicos.

Monitoreo y mantenimiento continuo

Después del inventario, es esencial implementar procesos de monitoreo para identificar fallas, riesgos operacionales o amenazas de seguridad cibernética, como la filtración de datos personales o corporativos. La norma del NIST SP 800-53 establece controles de seguridad para asegurar la confidencialidad, integridad y disponibilidad de los sistemas.

Clasificación y segregación de activos

Es vital clasificar los activos conforme a su nivel de sensibilidad y criticidad, adoptando segregación física y lógica para proteger datos confidenciales contra accesos no autorizados, correlacionando esta práctica con la Portaría nº 127/2018 de la Contraloría General de la Unión, que orienta sobre controles internos y gestión de riesgos.

Disposición final segura y auditable de activos

La disposición de dispositivos electrónicos debe respetar la legislación vigente y garantizar la destrucción segura de datos, especialmente en medios de almacenamiento. Para ello, la desinfección de datos en discos duros u otros soportes debe realizarse conforme a los estándares recomendados y auditados para comprobar conformidad. Servicios especializados en sanitización de HD garantizan la eliminación completa de la información.

Respecto a la remoción y encaminamiento de residuos electrónicos a destinos adecuados, se recomienda el uso de sistemas de recolección autorizados, lo cual puede ser agendado a través de plataformas como la de la recolección de residuos electrónicos. El seguimiento riguroso de la disposición permite auditorías eficaces, minimizando riesgos ambientales y legales, conforme a las directrices del Sistema Nacional de Información sobre la Gestión de Residuos Sólidos (SINIR).

Auditoría y conformidad regulatoria

Las operaciones de gestión de riesgos deben estar alineadas con la legislación vigente, como la Ley General de Protección de Datos (LGPD, Ley nº 13.709/2018), que establece normas para el tratamiento de datos personales. La auditoría en el ciclo completo de TI asegura la conformidad, integridad de los registros y la eficacia de los controles implementados.

Conclusión

La gestión integrada de riesgos en el ciclo completo de TI, desde el inventario hasta la disposición final auditable, es imprescindible para mitigar vulnerabilidades, asegurar conformidad regulatoria y proteger activos físicos y digitales. La actuación fundamentada en normas oficiales y leyes específicas permea todo el proceso, promoviendo excelencia operativa y sostenibilidad ambiental.