Oletko uudistamassa yrityksen IT-kalustoa, muuttamassa toimipistettä tai siirtämässä yrityksen datoja pilvipalveluun; kuka huolehtii ylijäämälaitteista ja tiedostojen asianmukaisesta poistamisesta?

Valitessasi palveluntarjoajaa käsittelemään yrityksen IT-kalustoa sekä luottamuksellisia tietoja, voit joutua vaikean valinnan eteen. Millä kriteerillä, ohjeilla ja toimenpiteillä voi varmistaa oikean palveluntarjoajan valinnan?

Laitteiden hävittäminen oikealla tavalla

Tarkista, että valitsemasi palveluntarjoaja huolehtii laitteiden hävittämisestä kokonaisvaltaisesti sekä mahdollistaa prosessin seurannan siten, että asiakas on koko ajan tietoinen missä laitteisto sijaitsee ja minne se tullaan lopulta sijoittamaan. Myydäänkö laitteisto eteenpäin, käytetäänkö sitä uudelleen vai kierrätetäänkö se? Riippumatta siitä minne laitteisto päätyy, tärkeintä on varmistaa, että laitteistolle tallennetut tiedot poistetaan asianmukaisesti.

Tehokkaaseen tietojen tuhoamiseen löytyy pääasiassa kolme menetelmää, valintaa tehdessä kannattaa huomioida yrityksen sisäiset säännökset ja minkälaisista tiedoista on kyse. Joskus voi olla aiheellista yhdistellä eri menettelytapoja parhaan lopputuloksen saavuttamiseksi.

Vaihtoehdot turvalliselle tietojen poistamiselle:

Tietojen ylikirjoittaminen

Yleisesti käytetyin menetelmä, luotettava ja mahdollistaa laitteen uudelleenkäytön ja myymisen. Markkinoilla on useita tietojenhävitysohjelmistoja, jotka poistavat tiedot ja luovat raportin tapahtumasta. Tarkista, että ohjelmisto täyttää NCSC-standardit. Palveluntarjoajan tulisi myös pystyä kertomaan, mitä tapahtuu, jos tallennusvälinettä ei ole mahdollista tyhjentää ko. ohjelmistolla. Tuhotaanko tiedostot jollakin toisella tavalla? Entä miten toimitaan SSD- ja hybridilevyjen kanssa?

Magnetointi

Sopii kiintolevyille ja magneettinauhoille. Magnetointilaite tuottaa voimakkaan magneettikentän tallennusvälineen tallennuspinnoille, jolloin kaikki niihin tallennettu tieto tuhoutuu. Valitessasi magnetointimenetelmän tietojen poistamiseen, varmista, että menetelmä täyttää voimassa olevat tietojen poistamiseen liittyvät standardit.

Fyysinen tuhoaminen

Fyysinen tuhoaminen eli ”Shredding” on mekaaninen prosessi, joka hajottaa laitteen standardoidusti pienempiin osiin. Rikottavan materiaalin koko on usein 25 millimetristä 6 millimetriin. Pirstoutuneet osat lähetetään rikkomisen jälkeen eteenpäin taholle, joka vastaa materiaalin loppukäsittelystä.  Miten palveluntarjoaja todistaa hävittäneensä laitteet? Pystyykö palveluntarjoaja tuottamaan riittävät kirjalliset todisteet tiedostojen tuhoamisesta yrityksenne sisäistä auditointia varten? Haluatko, että tuhoaminen suoritetaan yrityksenne tiloissa vai onko turvallista lähettää tallennusvälineet muualle tuhottavaksi?

Seuraukset epäpätevästä tiedostojen hävittämisestä voivat olla kohtalokkaat

Tietojen asianmukaisella poistamisella on suuri merkitys yrityksen toiminnan kannalta. Jos tiedostoja ei poisteta asianmukaisesti tai jos palveluntarjoaja ei pysty toimimaan luottamuksen arvoisesti, yrityksen maine ja kilpailukyky voivat kärsiä arkaluontoisten tietojen levitessä vääriin käsiin.

Juridisesta näkökulmasta katsottuna, mikäli yrityksen laitteistoa, joka sisältää esimerkiksi tietoja asiakkaista tai yrityksen työntekijöistä, joutuu vääriin käsiin, voi yritys joutua tästä oikeudelliseen vastuuseen. Keväällä 2018 voimaan tuleva EU:n tietosuoja-asetus (GDPR) velvoittaa yritykset ilmoittamaan tietovuodosta 72 tunnin sisällä vuodon havaitsemisesta. Sanktio tietovuodosta saattaa pahimmassa tapauksessa olla jopa 20 miljoonaa tai 4% vuotuisesta liikevaihdosta.

Tietojen arvokkuus altistaa jokaisen yrityksen ja yksityishenkilön potentiaaliseksi kohteeksi kyberrikollisuudelle. Yritysten tulisi huomioida kaikki toimenpiteet, joilla rikoksen uhriksi joutumisen riskiä voidaan minimoida, ja ymmärtää voimassa olevat tietojen poistamiseen liittyvät lailliset vaatimukset. Yleisesti ottaen yritysten tulisi suhtautua tietojen poistamiseen samalla vakavuudella, kuin ne suhtautuvat tietojen suojaamiseen IT-ympäristössään. On tärkeää ymmärtää laitteen ja tiedon koko elinkaari.

Auditointi ja akkreditointi

Etsiessäsi palveluntarjoajaa tietojen hävittämiseen varmista, että palveluntarjoaja pystyy todentamaan koko prosessin ajan, missä yrityksen laitteet ja tiedot kulloinkin sijaitsevat.  Minkä todisteen palveluntarjoaja pystyy antamaan poistetuista tiedoista? Käyttääkö palveluntarjoaja standardit täyttävää ohjelmistoa tietojen poistamiseen? Mikäli olet pyytänyt tarjouksen fyysistä laitteiden tuhoamista, pystyykö palveluntarjoaja toimittamaan todistuksen suoritetusta työstä?

On myös tärkeää varmistaa, että palveluntarjoajalla on alalta vaadittavat sertifikaatit. Selvitä mitä akkreditointeja yrityksellä on, ja mihin standardeihin ja sääntöihin yritys on sitoutunut. Yleisenä sääntönä voidaan pitää, että valitun palveluntarjoajan tulee noudattaa EU:n WEEE-säännöstä (Regulation on Waste for Electrical and Electronic Equipment), ja palveluntarjoajalla tulee olla asianmukainen dokumentti/lisenssi tämänkaltaisen jätteen hävittämisestä.

On hyvä selvittää, miten palveluntarjoaja suhtautuu yleisesti ympäristöpolitiikkaan ja jatkojalostukseen. Onko palveluntarjoajalla yhtään ympäristösertifikaattia - esimerkiksi ISO 14001? Miten suuri osuus kerätyistä laitteistosta käytetään uudelleen, myydään tai hajotetaan? Miten palveluntarjoaja suhtautuu maankäyttöpolitiikkaan?

Iso 14001- standardin lisäksi toinen ISO standardi, joka tarjoaa erinomaisen indikaattorin palveluntarjoajan yhteyskuntavastuusta, on ISO 27001. Standardi varmistaa (muiden osa-alueiden ohella), että palveluntarjoajalla on turvallinen järjestelmä laitteiston varmaan hävittämiseen, sekä arkaluontoisten tietojen poistamiseen.

Palveluntarjoajan kuuluminen alan eri organisaatioihin ja järjestöihin, on myös merkki asianmukaisesta palveluntarjoajasta. Esim. ADISA (The Asset Disposal and Information Security Alliance) on järjestö, joka antaa turvalliseen IT-laitteiston hävittämiseen suositusstandardit. ADISA auditointiprosessi on monikerroksinen ja se sisältää kokonaisvaltaisen auditoinnin, toiminnan auditoinnin pistokokeena sekä juridisen auditoinnin. Näillä toimenpiteillä varmistetaan, että ADISA- sertifioituja yrityksiä tarkistetaan jatkuvasti ja että ne täyttävät alalla voimassa olevat standardit.

Missä ja kenellä tietosi ovat?

Mitä vakuuksia palveluntarjoajalla on antaa, kun laitteistoa ollaan siirtämässä palvelutarjoajan tiloihin? Käyttääkö palveluntarjoaja kolmatta osapuolta laitteiston kuljetuksessa? Tarjoaako palveluntarjoajan käyttämä kuljetuspalvelu mahdollisuuden seurata lähetystä, esimerkiksi GPS:n avulla?

Yrityksen henkilökunnasta on myös hyvä tiedustella. Käyttääkö palveluntarjoaja kolmansia osapuolia tai tilapäistä henkilökuntaa? Onko henkilökunnalle tehty taustaselvitystä ja kuinka usein näitä selvityksiä on tehty?

Esittämällä nämä kysymykset löydät palveluntarjoajan, joka tarjoaa turvallisen, sääntöihin ja standardeihin nojaavan palvelun. Mikäli tiedot joutuvat vääriin käsiin, tämä voi johtaa katastrofaalisiin seurauksiin yrityksessä, joten valitse palveluntarjoaja viisaasti!

Ibas Kroll Ontrackin ratkaisut löydät täältä, soita meille (09) 2727 210, autamme mielellämme!