Eliminación de residuos electrónicos: es responsabilidad de todos

Las Naciones Unidas han publicado recientemente algunas estadísticas impactantes sobre los residuos electrónicos:

• En 2022, se produjo un récord de 62 millones de toneladas de residuos electrónicos, un 82 % más que en 2010.
• Esta cifra está en camino de aumentar otro 32 %, hasta alcanzar los 82 millones de toneladas para el año 2030.
• Miles de millones de dólares en recursos de valor estratégico desperdiciados, desechados.
• Solo el 1 % de la demanda de elementos de tierras raras se satisface mediante el reciclaje de desechos electrónicos.

Quizás la estadística más notable y alarmante sea la siguiente: en 2022, se documentó que menos de una cuarta parte (el 22,3 %) de los residuos electrónicos del año se habían recogido y reciclado correctamente.

Esta falta de eliminación adecuada de los equipos es terrible no solo para el medio ambiente, sino también para la ciberseguridad. 

Por qué los MSP deben gestionar adecuadamente los residuos electrónicos

Como proveedor de servicios gestionados (MSP), a menudo es responsable del equipo de sus clientes desde el inicio hasta el final. Lo que una vez fue una envidiable colección de tabletas puede volverse rápidamente tan obsoleta como el pan de ayer. Sin embargo, cuando su tableta o colección de IoT quede obsoleta, no puede simplemente tirarla a la basura. Si bien técnicamente puede hacerlo, los expertos advierten que no es recomendable. La eliminación de residuos electrónicos de esta manera es perjudicial para el medio ambiente y refleja una mala higiene cibernética.

Se sorprendería de la frecuencia con la que las empresas pasan por alto uno de los mayores riesgos de seguridad: los equipos de TI antiguos que están almacenados o, lo que es peor, tirados a la basura», afirma Russell Lawson, experto en la eliminación adecuada de residuos electrónicos y fundador de Compliance Companion. Lawson trabaja con empresas en el cumplimiento normativo ISO 27001 y en la seguridad. «He visto de primera mano con qué facilidad los ordenadores, los discos duros e incluso las impresoras en red obsoletos pueden convertirse en serias amenazas si no se gestionan adecuadamente», afirma Él añade que muchas personas asumen que borrar un dispositivo o realizar un restablecimiento de fábrica es suficiente, pero no lo es.

Esas son palabras que los MSP deben recordar cuando ayudan a un cliente a deshacerse de dispositivos obsoletos.

Remanentes de datos y riesgos de hardware

Los datos permanecen. Incluso si cree que se ha ido, todavía existen restos. "Un ciberdelincuente determinado puede recuperar una cantidad sorprendente de información de un disco duro desechado», explica Lawson Él comparte que ha encontrado casos en los que las empresas creían que habían borrado todo, solo para descubrir que los registros de clientes, los documentos internos e incluso las credenciales de inicio de sesión seguían siendo accesibles. «Eso es un desastre a punto de suceder»

Lawson también destaca el problema de la reactivación del hardware. «Un portátil desechado puede parecer inútil, pero si no se ha desmantelado correctamente, podría seguir conteniendo credenciales en caché o configuraciones de red almacenadas. Si la persona equivocada se apodera de él, ese viejo dispositivo podría convertirse en un punto de entrada a sus sistemas. No es solo un riesgo hipotético: sucede. «Lo he visto suceder», añade Lawson

Cómo las empresas pueden deshacerse de forma segura de los equipos de TI obsoletos

Ahora que ya está suficientemente asustado, ¿qué deberían hacer las empresas en su lugar?

“En primer lugar, el borrado seguro debe ser innegociable. "Existen herramientas adecuadas para esto: Blancco, DBAN y otras que cumplen con los estándares de seguridad», afirma Lawson Señala que para los discos duros, sobrescribir los datos varias veces es la best practice. ¿Y para los datos altamente sensibles? “Siempre recomiendo la destrucción física Triturar, desmagnetizar o simplemente una perforadora de pilar resistente, lo que sea que garantice que no haya ninguna posibilidad de recuperación.

Por lo tanto, se puede aconsejar a los MSP que mantengan un conjunto de herramientas físicas en su caja de herramientas. “Trabajar con proveedores certificados de eliminación de activos de TI es otra necesidad Siempre aconsejo a las organizaciones que utilicen proveedores que ofrezcan certificados de destrucción para demostrar el cumplimiento normativo de seguridad y medioambientales», sugiere Lawson, señalando que los proveedores con certificación ISO 27001 o las empresas de eliminación con certificación NAID AAA son buenas opciones porque siguen estrictos procedimientos de manipulación y eliminación.

Los MSP deben liderar el camino en la eliminación responsable de activos de TI

El aspecto medioambiental también es crucial. «No debería simplemente tirar ordenadores viejos a un vertedero; no solo es perjudicial para el planeta, sino que, dependiendo de dónde opere, incluso podría ser ilegal», explica Lawson Los programas de reacondicionamiento seguros son una excelente opción, siempre que los dispositivos se sometan primero a una correcta sanitización de datos. Lawson enfatiza que es aquí donde los MSPs deben involucrarse de manera especial.

«Los MSP deberían ofrecer activamente la gestión del ciclo de vida de los activos de TI como parte de sus servicios, ayudando a las empresas a rastrear, desinfectar y desechar sus equipos de forma segura», afirma Lawson. Insta a los Directores de Seguridad de la Información (CISOs) a aplicar las políticas de eliminación de activos de TI en lugar de limitarse a documentarlas.

“Las auditorías también son útiles. Lo que parece seguro en el papel no siempre refleja lo que ocurre en la práctica», señala Lawson, añadiendo que ha perdido la cuenta del número de empresas que no se tomaban en serio la eliminación de TI, hasta que descubrieron datos confidenciales de clientes en un disco duro que acabaron en manos de un tercero. ¿Y para entonces? Es demasiado tarde. Una estrategia de eliminación de TI sólida y centrada en la seguridad no se trata solo del cumplimiento normativo; se trata de evitar un incidente de seguridad completamente prevenible.

La correcta eliminación de equipos informáticos obsoletos es una responsabilidad fundamental para los MSP. No se trata solo de cumplir con las normativas; también es importante proteger los datos de sus clientes y el medio ambiente. Al adoptar un enfoque proactivo con el borrado seguro de datos, asociarse con proveedores de eliminación certificados y gestionar todo el ciclo de vida de los activos, los MSP pueden prevenir problemas de seguridad y reducir el impacto ambiental.

Nota: Esta publicación fue publicada originalmente en SmarterMSP.com.