Införandet av GDPR 2018 tvingade organisationer att ta en ordentlig titt på sina raderingspolicys. GDPR är mer än bara “rätten att glömmas bort”. Den berör också förhindrandet av dataläckor hos alla företag som antingen gör affärer inom den Europeiska unionen eller utifrån med ett EU-företag. Det verkar dock fortfarande råda stor förvirring vad gäller korrekta dataraderingsförfaranden, vilket lämnar företag sårbara för dataintrång. I denna blogg utforskar vi hur du kan säkerställa att ditt företag efterlever reglerna när data raderas från aktiva miljöer.
Artikel 32
I Artikel 32 i GDPR står att företag måste ha “ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet”. Att säkerställa att du har en korrekt procedur gäller inte bara för behandling av data, utan också för val- och anskaffningsprocesserna som gäller IT-lösningar (både mjukvara och hårdvara) som används.
Vad bör ha gjorts?
Varje företags IT-ansvarige bör ha vidtagit alla nödvändiga åtgärder för att säkerställa att inga personliga data kan läcka utanför företaget. En del av de steg som bör tagits enligt GDPR är:
- Pseudonymisering och kryptering av personliga data;
- förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänsterna relaterade till processen permanent;
- förmågan att snabbt återställa tillgängligheten av och tillgången till personliga data i händelse av en fysisk eller teknisk incident;
- en process för att regelbundet utvärdera effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säker behandling.
En annan viktig punkt som implementerades av Artikel 32 var:
”Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”
Sammantaget kräver Artikel 32 att organisationer kalkylerar med alla risker när de använder teknik som innehåller personliga data. Innan någon organisation använder media för att lagra känsliga data, ska en ansvarig anställd genomföra en utvärdering av dataskyddspåverkan för att identifiera alla risker för (data)rättigheterna hos individer.
Alla dataläckor som inträffar i ett företag måste rapporteras inom 72 timmar efter det att läckan inträffat. Om detta inte sker kan det bli dryga böter och detsamma som vid olaglig användning av personliga data: antingen böter upp till 20 miljoner euro eller 4 % av den globala årliga omsättningen (beroende på vad som är högst).
Säker radering är fortfarande ett problem
Två år efter införandet fortsätter vissa företag att förbise eller glömma att radera existerande filer från stationära datorer, laptops, externa hårddiskar och tjänster. Detta beror ofta på ett missförstånd kring korrekta metoder för dataradering och en brist på tillgång till effektiva verktyg som låter dem radera data i sina aktiva IT-miljöer. Många organisationers känsliga data lämnas därför i riskfyllda situationer och är sårbara för intrång.
För många organisationer är dataradering fortfarande inte den viktigaste av IT-avdelningarnas säkerhetsprioriteringar. Detta eftersom cyberattacker betraktas som en olycklig verklighet i dagens digitalt="" sammankopplade värld. GDPR gör dock, som diskuterats ovan, det till ett juridiskt krav för organisationer att ha en korrekt och säker process för datadestruktion.
Många IT-avdelningar saknar trots detta kunskap kring skillnaden mellan “borttagning” och ”radering”. I en studie utförd av Blancco - 'Delete vs Erase': How to wipe files in Active Environments finner man att över hälften (51 %) av dess 400 respondenter trott att tömma papperskorgen var tillräckligt för att radera data från datorn/laptopen permanent. Lika oroande är att 51 % betraktar en snabbformatering av datorns drive som tillräckligt för att förstöra data för gott.
Utan riktig expertis och kunskap om dataradering riskerar organisationer potentiella dataintrång. För att hjälpa till att stärka din organisations datahygien och för att förbättra dess övergripande datahantering och dataraderingsprocesser, har vi sammanställt nedanstående tips för att hjälpa dig vad gäller datasanering från en aktiv miljö.
-
Automatisera en aktiv, säker radering
Varje användare bör utföra detta i sin papperskorg när de loggar ut från systemet. Genom att automatisera denna process vidtar din organisation de nödvändiga åtgärderna för att bekräfta permanent och säker radering av data och filer. Att göra detta minskar riskerna vad gäller radering av data på ett säkert sätt från användares laptops eller stationära datorer.
-
Schemalägg en ”shed free disk space”-operation
Varje laptop och stationär dator som ägs och används av din organisation bör inkludera detta moment när servicefönster eller patchar är schemalagda. Genom att utföra detta kommer du fortlöpande att rikta in dig på kvarlämnade applikationsdata (såväl som annan data) som på ett felaktigt eller inkomplett sätt tagits bort av en systemanvändare.
-
Radera temporära filer automatiskt
Att automatisera raderingsprocessen säkerställer att den utförs regelbundet och garanterar optimal säkerhet. På detta sätt kan du inrikta dig på användardata som kan ha byggts upp och funnits kvar i systemet, såsom browserns cacheminne, där känslig information kan lagras.
-
Ta bort lokalt="" skapade och sparade användarfiler
Att regelbundet ta bort lokalt="" producerade filer och uppmuntra dina anställda att arkivera sina data i ett centralt="" lager kan förhindra potentiella dataintrång. Detta är en ständig kamp vad gäller datahantering, som länge har förargat IT-team inom många organisationer.
-
Ge “power users” tillstånd att utföra aktiva raderingar
En ofta förbisedd tillgång för din IT-policy är att välja ut och tilldela en grupp av "power users" inom organisationen, som är auktoriserade att utföra aktiv radering av filer i systemet. De kan bidra till säkerheten I ditt företag, särskilt om individer lagrar känsliga data på fel ställen. ”Power users” bör rikta in sig på felaktigt lagrade data och radera den omedelbart och permanent.
-
Skaffa ett certifikat som verifierar filradering för att säkerställa regelefterlevnad
Att säkerställa att du har ett certifikat och en verifieringskedja som intygar säker och permanent radering av data betyder att din organisation kan visa att den följer policyns datalagring och regelkrav. Verifieringstjänster för radering kan hjälpa din organisation att verifiera sin dataraderingsstrategi.
För mer information om dataradering på ett säkert sätt, kontakta en av våra experter på datadestruktion