Piedra, papel, tijeras

Hace 2 semanas fui al cine a ver una película que me recomendaron encarecidamente. La película en cuestión se llama ARGO, dirigida y protagonizada por Ben Affleck. Tengo que reconocer que no tenía puestas muchas esperanzas en ella (Daredevil hizo mucho mal a Ben Affleck… bueno, esa y muchas otras), pero luego resulto que más que buena era una película notable (solo tenéis que ver que en filmaffinity le dan un 7,4).

Sin ánimo de destripar la película, decir que está basada en una historia real y que la acción se sitúa en Irán en 1979 en plena revuelta social. Por contarles lo mínimo posible, les diré que hay un ataque a la embajada de Estados Unidos, y en ese momento se ve como la primera acción que se toma en la embajada es destruir toda la información existente (de hecho si se fijan lo primero que dicen es quemar la documentación y luego emplear las destructoras). La embajada es asaltada pero un grupo de personas de la embajada huye y se refugia en el “algún lugar” de Irán. Debido a que no les ha dado tiempo a quemar toda la documentación, los asaltantes recuperan la documentación pasada por destructoras, que luego es «gestionada» por niños iraníes tratando de recuperar información que les permita identificar a los fugitivos. Y no les cuento más.

Lo que quiero decir es que muchas veces no le damos importancia a la información que tenemos en formato papel, que como se suele decir es la gran olvidada de la seguridad de la información; no todo son contraseñas y cifrado. Del mismo modo cuando destruimos esta documentación, a menudo pensamos que cualquier destructora es suficiente para esta tarea.

Pero ahora yo pregunto: ¿es lo mismo cifrar una Wi-Fi mediante WEP que mediante WPA2? ¿Es lo mismo un format c: que utilizar una herramienta de borrador especializada y realizar varias pasadas de borrado? Pues en la destrucción de la documentación pasa exactamente lo mismo: si no utilizamos métodos de destrucción adecuados nuestra documentación puede ser recuperada (y si no que se lo digan a los forenses que se dedican a este tipo de delitos). Está claro que quemar la documentación nos garantiza que nadie va tener acceso a ella, pero me temó que hacer una fumata blanca en cualquier sitio no es una solución disponible ni adecuada.

En este caso me gustaría introducir el estándar DIN 32757-1 referente a destrucción de documentación. Esta norma proviene del Instituto Alemán para la Estandarización y data de… 1985 (como veis una norma «de cosecha»).

Esta norma establece 5 niveles para la destrucción de documentación, en función del tamaño final de las tiras o partículas trituradas:

  • Nivel de seguridad 1, para documentación general, podríamos decir pública, corte en tiras (10,5 mm) o fragmentos (10,5 x 40-80mm) y tamaño menor a 2.000 mm cuadrados.
  • Nivel de seguridad 2, para documentación pública pero de carácter interna, corte en tiras (3.9 -5.8 mm) o fragmentos (28×28 mm) y tamaño menor de 800 mm cuadrados.
  • Nivel de seguridad 3, para documentación confidencial, corte en tiras (1.9 mm) o fragmentos (0.9x 30-50 mm) y tamaño menor de 320mm cuadrados.
  • Nivel de seguridad 4, para documentación confidencial restringida, corte en fragmentos (1.9×15 mm) y tamaño menor de 30 mm cuadrados.
  • Nivel de seguridad 5, para documentación sin clasificar, corte en fragmentos (0,78 x 11 mm) y tamaño menor de 10 mm cuadrados.

Existe un sexto nivel, no considerado por la norma que establece el tamaño de fragmento menor que 5 mm.

He querido explicar estos niveles referentes a esta norma para que sean conscientes de que esta clasificación ya estaba definida allá por los 90, pero como suele pasar con las normas ya existe una norma que actualiza a esta, la norma DIN 66399 de 2011. Veamos unas pinceladas de las novedades de esta norma.

En primer lugar esta nueva norma introduce el concepto categoría de información, que es lo que equipararíamos a la clasificación de información en la norma ISO 27001. En este sentido define tres categorías (1, 2 y 3). La primera referente a información interna pero de carácter público dentro de la organización, la segunda para información confidencial a la que únicamente tienen que tener acceso determinados perfiles y la tercera categoría para información confidencial restringida de alto nivel.

Por otra parte define 7 niveles de seguridad, de modo que el anterior nivel 4 se modifica por uno nuevo cuyo tamaño máximo de partícula es de 160 mm cuadrados, el nivel 4 anterior pasa a ser el nivel 5, el nivel 5 pasa a ser el 6 y el nivel no oficial 6 pasa a ser el 7.

A modo de recomendación los niveles de seguridad mínimos para aplicación en la destrucción de documentación en función de la categoría serían:

  • Para la primera categoría, información interna de carácter público, cualquier nivel de seguridad.
  • Para la segunda categoría, información confidencial con acceso limitado, a partir del tercer nivel de seguridad.
  • Para la tercera categoría, información confidencial restringida de alto nivel, a partir del cuarto nivel de seguridad.

Como en todo, ya saben cuánto más azúcar más dulce. A partir de ahora cuando vayan a adquirir una destructora de papel, no solo tengan en cuenta cuantas hojas podemos introducir del tirón en la máquina, sino también el nivel de seguridad que proporciona la misma, que la mayoría de veces suele venir indicado. Y si tienen proveedor de destrucción documental además de solicitar el acuerdo de confidencialidad previo deberán exigir un nivel de seguridad en la destrucción de su documentación adecuado sin olvidarse del certificado de destrucción posterior.

En resumen, tener destructora de papel no garantiza que la documentación destruida sea irrecuperable. Así que ahora cuando vean ya sea en la tele o en la vida real una destructora que destruye en tiras de papel… piense que en algún lado puede haber alguien reconstruyendo esa documentación.

Comments

  1. Muy buenas tardes a todos,

    Yo ya estaba pensando en sacar fotos de todos los fragmentos y emplear algoritmos basados en redes neuronales para reconstruir toda esa información buscando patrones comunes.

    Pero claro, es lo que tiene trabajar en investigación, que todo parece fácil … y perdiendo 5 minutos en Google ya he encontrado un par de enlaces muy interesantes al respecto:

    La entrada de la Santa Wikipedia sobre shredding (con su apartado de «Unshredding»:

    http://en.wikipedia.org/wiki/Paper_shredder

    Un concurso de DARPA en 2011 en el que ofrecían 50K$ al que recuperara algunos papeles destruídos:

    http://archive.darpa.mil/shredderchallenge/

    (las soluciones encontradas por los ganadores son alucinantes, por cierto).

    Un muy interesante artículo, que me va a hacer revisar mi destructora de documentos a primerísima hora de la mañana … :)

    Un saludo,

    Antonio Sanz
    I3A/Universidad de Zaragoza

  2. Antonio, ¡eres un pozo de sabiduría!

  3. De eso nada, es Google quien lo sabe todo. Vosotros sois los que tenéis la culpa encendiendo la chispa de la curiosidad … :)

  4. Buenos días.

    Lo primero de todo iré a ver esa pelicula porque tiene bastante buena pinta.

    Estoy bastante de acuerdo con el articulo, borrar la documentación procediendo de manera la cual no dejemos rastro es importante si la información es importante y las empresas no están tomando ningun tipo de contramedida en esto.

    Muy interesante el artículo, grazie mille!

  5. Me alegro que os haya parecido interesante. Por cierto os recomiendo la película, Mr. Affleck se merece una oportunidad.