Mihin toimiin pitäisi ryhtyä kierrätettäessä käytettyjä kannettavia tietokoneita ja muita IT-laitteita?
Usein yrityksissä on fiksumpi kierrättää IT-laitteita kuin heittää ne pois. Esimerkiksi jos joku lopettaa yrityksessä muutama kuukausi uuden tietokoneen hankkimisen jälkeen tai toimitusjohtaja päivittää älypuhelimensa, ei ole kovin taloudellista heittää pois vanhoja toimivia laitteita, joilla on edelleen käyttöarvoa muille työntekijöille.
Ennen kuin alat siivota toimistotiloja ja jakaa johtajien käyttämiä kannettavia tietokoneita oppisopimuskoulutuksessa oleville, on tärkeä tietää, että käytettyjen IT-laitteiden uudelleen sijoittaminen vaatii erityistä varovaisuutta ja huolellisuutta. Jos tietoturvariskejä ei oteta vakavasti, on olemassa suuri mahdollisuus, että organisaation arkaluonteiset tiedot päätyvät vääriin käsiin.
Väitettä tukevista luvuista ei ole pulaa. Verizonin toteuttamassa 2018 Data Breach Investigations Report tutkimusraportissa todetaan, että yhä suurempi osa immateriaalioikeuksien varkauksista johtuu paremminkin sisäpiiriläisistä kuin hakkereista. 28 %:ssa kaikista sisäpiiri- ja etuoikeuksien väärinkäytöksistä hyödynnetään fyysistä pääsyä tallennusvälineeseen. Verizonin raportti osoittaa myös, että 17 % rikkomuksista johtui organisaation sisäisistä virheistä.
Miten yritysten laitteita voidaan kierrättää tietoturvaa riskeeraamatta?
Aloita pohtimalla seuraavia:
Miten laitteiden muistit tyhjennetään luotettavasti
On sanomattakin selvää, että ennen kuin annat työntekijän käyttää toisen työntekijän vanhaa laitetta, laitteen kaikki sisäiset levyasemat ja muistit, jotka saattavat sisältää edellisen käyttäjän tietoja, tulee tyhjentää. Et halua, että uudella työntekijällä on pääsy talousjohtajanne salaamattomiin laskentataulukoihin. Etkä halua etätyöntekijän käyttävän kiintolevyä, jota turvallisuussyistä saisi käyttää vain lukkojen takana.
Silti monissa yrityksissä mokataan tässä jo ensiaskeleilla. Levyasemat formatoidaan, sen jälkeen asennetaan levykuva (image) ja luodaan uusi käyttäjäprofiili. Mutta kuten olemme aiemmassa blogissamme kirjoittaneet, tiedostojen poistaminen tai levyaseman formatointi eivät riitä tekemään levyn sisältöä lukukelvottomaksi edes ilmaisille tiedonpalautusohjelmille.
Paras tapa valmistella käytetty tietokone tai mobiililaite uutta käyttäjää varten on tyhjentää levyasema korkeimpia tietoturvastandardeja noudattavalla sertifioidulla tiedonhävitysohjelmalla, joka ei vaikuta levyaseman toimivuuteen.
Minkälaisia tietoturvakäytäntöjä yrityksessämme tulee noudattaa
Ihannetapauksessa organisaatiollanne on jonkinlainen tietoturvapolitiikka tai -käytäntö, joka sisältää ohjeistuksen tietokoneiden, älypuhelimien ja muiden laitteiden käyttöön heti ensimmäisestä päivästä alkaen. Näin ei kuitenkaan aina ole, etenkään pienissä ja kasvuyrityksissä. Olisi erittäin tärkeä päivittää yrityksen nykyiset käytännöt aina olosuhteiden muuttuessa - esimerkiksi käytettyjen IT-laitteiden kierrätyksen osalta.
Oletetaan, että aiotte kierrättää erän tietokoneita, joita aiemmin käytettiin ainoastaan toimistossa, uudelle liikkuvalle tiimille. Jos organisaationne tietoturvakäytäntö ei vaadi, että liikkuvan tiimin jäsenten tulee käyttää vahvaa todennusta ja salausta, on suuri riski, että näiden laitteiden katoaminen tai varkaus voi johtaa vakaviin tietoturvaloukkauksiin.
Yleisesti ottaen on aina varmistettava, että tietotekniikkaa käyttävät työntekijät tuntevat yrityksen tietoturvakäytännöt ja osaavat toimia niiden mukaan.
Onko muistien tyhjentäminen tarpeellista myös laitteen elinkaaren lopussa
Viimeinen tärkeä muistettava asia on, että turvallinen tietojen hävittäminen voi laitteen käytöstä riippuen olla tarpeen säännöllisemmin kuin vain laitetta kierrätettäessä talon sisällä. Useimmat säännöt ja määräykset koskevat sitä, kauanko organisaatio saa pitää asiakas- tai henkilötietoja hallussaan ennen kuin ne pitää hävittää.
Määräajan täytyttyä tiedot tulee hävittää luotettavasti. Yrityksillä on onneksi useita erilaisia vaihtoehtoja toimenpiteen toteuttamiseen. Esimerkiksi Erasure Management Consolen avulla voidaan hävittää etätietokoneiden tiedostoja keskitetysti hallintakonsolista käsin, jolloin työntekijöiden ei tarvitse suorittaa toimenpidettä paikallisesti ja manuaalisesti.
Käyttäessänne tällaista ratkaisua olette paremmassa asemassa sanomaan, että yrityksenne arkaluonteiset tiedot on suojattu - riippumatta siitä, kuka käyttää ja miten yrityksenne vanhoja tietokoneita.
Lue myös ”Tietojen poistaminen vs. hävittäminen”
Lisätietoa tiedonhävitysratkaisuistamme