TI desmantelada: cómo evitar que los activos obsoletos se conviertan en pruebas contra la empresa

Entendiendo el riesgo de los activos de TI descomisionados

Los activos de tecnología de la información (TI) descomisionados, cuando no se gestionan correctamente, pueden convertirse en elementos críticos de riesgo, generando evidencias que comprometen la integridad organizacional. La información confidencial almacenada en dispositivos obsoletos puede ser recuperada por agentes externos, exponiendo datos estratégicos, contractuales o personales.

Legislación aplicable y obligaciones legales

Según la Ley General de Protección de Datos Personales (Ley nº 13.853/2019), es obligatorio adoptar medidas efectivas para la protección y destrucción segura de los datos almacenados en activos de TI que ya no serán utilizados. El incumplimiento puede resultar en sanciones administrativas y judiciales.

Procedimientos para la mitigación de riesgos

El proceso de sanitización segura de medios electrónicos debe ser parte integrante del descomisionamiento, garantizando que la información residual no pueda ser recuperada. Este procedimiento incluye técnicas homologadas como la desmagnetización, la sobrescritura múltiple de datos y la destrucción física controlada. Una referencia confiable para este proceso es la guía del NIST Special Publication 800-88, que establece estándares para la sanitización y disposición de medios.

Para procedimientos que involucren el descarte seguro de discos duros y medios electrónicos, se recomienda la utilización de servicios especializados registrados, conforme se detalla en la siguiente dirección: sanitización de HD - agendamiento.

Implementación de políticas internas y controles de TI

Se deben formalizar políticas internas para el control del ciclo de vida de los activos tecnológicos, incluyendo clasificaciones de seguridad, inventario riguroso y disposición definitiva. Documentar cada etapa del proceso ayuda en auditorías y demuestra el cumplimiento con los requisitos regulatorios.

Responsabilidad y capacitación técnica

Es imprescindible que los equipos de TI y de gobernanza reciban capacitación continua sobre las mejores prácticas en gestión de activos y seguridad de la información, enfocándose en garantizar la completa neutralización de datos antes de cualquier descarte o reutilización.

Disposición ambiental correcta de los equipos

Además de la seguridad de la información, se debe asegurar la disposición ambientalmente adecuada de los equipos electrónicos, mitigando pasivos ambientales y cumpliendo con las obligaciones de la Política Nacional de Residuos Sólidos (Ley nº 12.305/2010). Para la gestión de residuos electrónicos, se recomienda la contratación de servicios especializados a través del siguiente enlace: recolección de basura electrónica - agendamiento.