Carmen Chacón Hernández, Legal Advisor en el Área de Derecho Público de Broseta.

Introducción

Definir  la estrategia de ciberseguridad de las compañías es una preocupación creciente, que entre otros muchos aspectos abarca desde el establecimiento de medidas para proteger el acceso y custodia de la información, hasta mecanismos de destrucción segura, porque, a diferencia de la destrucción física, la información electrónica a menudo puede ser recuperada total o parcialmente, lo que plantea desafíos significativos, y una de las formas de garantizar la seguridad es a través de los procedimientos de borrado seguro previstos en las distintas normativas y estándares de seguridad, entre ellos:

a). El Esquema Nacional de Seguridad (ENS) y el Borrado Seguro

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), es fundamental para garantizar la seguridad en la Administración Digital.

• Objetivos del ENS: Crear condiciones de seguridad en el uso de medios electrónicos, promover la gestión continuada de la seguridad, la prevención y resiliencia ante ciberamenazas, y un tratamiento homogéneo de la seguridad.
• Ámbito de aplicación: Todo el Sector Público (según Ley 40/2015), sistemas con información clasificada (sin perjuicio de la Ley 9/1968 de Secretos Oficiales), y sistemas de información de entidades privadas que presten servicios o provean soluciones a entidades del sector público.
• Borrado y Destrucción según el ENS: «Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto del borrado seguro de su contenido que no permita su recuperación. Cuando la naturaleza del soporte no permita un borrado seguro, el soporte no podrá ser reutilizado en ningún otro sistema».
• Política de Borrado Seguro: Requiere controlar y documentar los dispositivos que contienen datos corporativos (discos duros, copias de seguridad, estaciones de trabajo, móviles, etc.), asegurar la cadena de custodia (el contenido no debe salir sin borrado seguro certificado y acreditado por el Centro Criptológico Nacional) y documentar todas las acciones de borrado. Para servicios en la nube, se debe asegurar que el proveedor garantice el borrado certificado y acreditado por el Centro Criptológico Nacional.

b). Borrado Certificado y el Papel del Centro Criptológico Nacional

Con carácter general podemos indicar que la adquisición de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación que acredite que los mecanismos de seguridad implementados en el producto son adecuados para proteger dicha información.  La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura.

El Centro Criptológico Nacional (CCN), fue creado en el año 2004, a través del Real Decreto 421/2004, adscrito al Centro Nacional de Inteligencia (CNI). De hecho, en la Ley 11/2002, de 6 de mayo, reguladora del CNI, se encomienda a dicho Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información y de protección de la información clasificada.

El CCN actúa como Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), según la Orden PRE/2740/2007.

El Organismo de Certificación (OC) certifica la seguridad de productos y sistemas de Tecnologías de la Información, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y Comunicaciones y, tras considerar, entre otras pruebas, los informes de evaluación emitidos por los laboratorios acreditados y realizados conforme a los criterios, métodos y normas de evaluación de la seguridad indicados en el propio Reglamento.

En síntesis, el proceso de Certificación de borrado seguro se articula de la siguiente forma:

• El solicitante contacta con un laboratorio acreditado por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información
• El laboratorio realiza la evaluación y emite un Informe Técnico de Evaluación al OC (CCN).
• El Director del OC elabora un Informe de Certificación.
• La resolución de certificación especifica el alcance, entrada en vigor y vigencia. Se certifica la funcionalidad de seguridad del producto hasta un nivel determinado.

Se certifica la funcionalidad de seguridad del producto hasta un nivel determinado, en concreto aquella funcionalidad especificada por la Declaración de Seguridad, un documento que debe acompañar el formulario de solicitud de certificación para poder iniciar el proceso.

Es importante tener en cuenta que el software de borrado que deba utilizarse por entidades sujetas al ENS debe estar acreditado por el CCN.

c).  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (conocida como NIS2)

En su Considerando 79 establece que, las medidas para la gestión de riesgos de ciberseguridad también deben abordar la seguridad física y del entorno de los sistemas de redes y de información, mediante la introducción de medidas para proteger dichos sistemas de redes y de información frente a fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales, de conformidad con las normas europeas o internacionales, como las que figuran en la serie ISO/IEC 27000.

d). Sistemas de Gestión y Estándares Adicionales

Para una gestión eficaz del borrado seguro, existen sistemas y estándares de referencia:

• Sistema de Gestión del Borrado Seguro de Datos (SGBSD): Proporciona ventajas operativas como la definición de alcances y políticas, inventario de datos, establecimiento de plazos de conservación, gestión de medios de almacenamiento, disposición de lugares físicos seguros, control de retirada y reutilización de activos, y documentación de procesos. En la gestión de proveedores de servicios de borrado, se deben establecer criterios de elección basados en el cumplimiento del ENS y la acreditación del CCN, exigiendo trazabilidad.
• ISO 27001 (Gestión de la Seguridad de la Información – SGSI): Establece un sistema para proteger la información en cualquier formato, buscando preservar la confidencialidad, integridad, disponibilidad y el cumplimiento legal. La evaluación de riesgos es un componente central de esta norma.
• Instituto Nacional de Estándares y Tecnología (NIST) – Directrices para el borrado de medios (NIST SP 800-88): Aconseja clasificar los medios según la confidencialidad de los datos, elegir directivas de destrucción según el ciclo de vida del medio, utilizar herramientas de destrucción adecuadas y generar reportes de borrado como evidencia.