Procedimientos 5 minutos de lectura

GESTIÓN DE MEDIOS: LO QUE GUARDAS EN UN PENDRIVE TAMBIÉN TE PUEDE HUNDIR

Introducción

Discos externos, pendrives, copias en DVD, móviles corporativos, tarjetas SD, cintas de backup, impresiones en papel…
Los medios parecen inofensivos hasta que desaparecen.
Y cuando desaparecen, lo que se pierde no es el dispositivo: es la información.

La gestión de medios define cómo se almacenan, transportan, protegen y desechan esos soportes. Si no existe un control real, cualquier fuga será cuestión de tiempo.

Por qué importa

  • Riesgo de fuga física: pérdida o robo de dispositivos con datos sensibles.
  • Cadena de custodia: sin trazabilidad, no hay forma de saber quién tuvo qué y cuándo.
  • Obligaciones legales: RGPD, contratos, confidencialidades y auditorías.
  • Reputación: una memoria USB extraviada puede costar más que un servidor caído.

Controles ISO/IEC 27002 relacionados

La ISO/IEC 27002:2022 aborda este ámbito, entre otros, en:

  • A.8.12 – Gestión de medios: control sobre creación, almacenamiento, transporte y eliminación.
  • A.8.25 – Protección de la información en reposo: cifrado de datos almacenados.
  • A.8.27 – Gestión de claves criptográficas: custodia y rotación de claves usadas para cifrar medios.

Qué consideramos “medios”

  • Removibles: USB, HDD/SSD externos, tarjetas SD, DVDs, cintas LTO.
  • Portátiles: laptops, móviles, tabletas con almacenamiento local.
  • Medios temporales: dispositivos de préstamo, entornos de staging con datos reales.
  • Papel: impresiones de informes, contratos, listados de contraseñas (sí, aún existen).

Errores frecuentes

  • Permitir USB sin control ni cifrado en equipos corporativos.
  • Transportar copias sin cifrar entre sedes o a casa.
  • Reutilizar o desechar medios sin borrado seguro.
  • Usar datos reales en entornos de pruebas y grabarlos en medios no controlados.
  • Desconocer quién es el custodio de cada medio y dónde está físicamente.

Buenas prácticas esenciales

  • Política de medios clara: qué se puede usar, cómo, quién y con qué cifrado.
  • Cifrado obligatorio de todo medio con datos sensibles (disco completo o contenedor cifrado).
  • Inventario y etiquetado con identificador único, propietario y ubicación.
  • Cadena de custodia para préstamos y traslados (registro de salida/entrada).
  • Borrado seguro certificado antes de reutilizar o desechar (wipe/degauß/destrucción física).
  • Bloqueo de puertos y control de dispositivos por software (DLP/MDM/Group Policy).
  • Datos ficticios o anonimizados en pruebas (nunca productivos en medios temporales).

Checklist rápida

  1. ¿Todos los medios con datos sensibles están cifrados?
  2. ¿Cada medio tiene etiqueta, propietario y ubicación registrados?
  3. ¿Se documenta la cadena de custodia en traslados y préstamos?
  4. ¿Existe procedimiento de borrado seguro y destrucción certificada?
  5. ¿Están bloqueados/monitorizados los puertos y el uso de USB no autorizados?
  6. ¿Los entornos de prueba usan datos anonimizados?

Herramientas recomendadas

  • Cifrado: BitLocker, FileVault, LUKS, VeraCrypt (contenedores cifrados).
  • Control de dispositivos/DLP: Microsoft DLP/Endpoint, Symantec DLP, ManageEngine DLP, políticas GPO/Intune.
  • Borrado seguro: Blancco, DBAN, shred/nwipe, servicios de destrucción con certificado.
  • Gestión móvil (MDM): Intune, Jamf, VMware Workspace ONE (cifrado, bloqueo, borrado remoto).

Relación con otras áreas

  • Protección en reposo: el cifrado de medios es parte del control de datos en reposo.
  • Backups: las copias deben viajar y almacenarse cifradas, con inventario y pruebas de restauración.
  • Gestión de accesos: medios cifrados son inútiles si la clave la tiene cualquiera.
  • Continuidad/DRP: los medios de recuperación deben existir, estar localizables y probados.

Reflexión final

Una organización madura no pierde información por un descuido físico. Si un medio se extravía y no pasa nada, es porque hiciste las cosas bien antes: cifrado, custodia y borrado seguro.

Conclusión

La seguridad no se rompe solo por un exploit. A veces, se rompe por un bolsillo. Gestionar medios es cerrar esa puerta sencilla que demasiadas empresas dejan abierta.

En Gondor queremos remarcar la importancia de la creación de políticas y procedimientos de gestión de medios alineados con ISO/IEC 27002 y el ENS, integrados con cifrado, accesos y continuidad.