Dine kunder og ansatte stoler på at du passer ordentligt på deres data, men gør du nok for at beskytte det? Tænk på hvor dataene ender op, når du har indsamlet det, behandlet det og ikke længere skal bruge det. Tanken om at revurdere din nuværende datasletningspraksis kan virke som en overvældende opgave. I denne blog fortæller jeg om vigtigheden af sikker datasletning, de tilgængelige metoder til at slette data, plus jeg giver dig en trin-for-trin-guide til hvordan man opretter en ordentlig datasletningspolitik til din organisation.
Hvad er datasletning?
Datasletning er processen, som indebærer, at man sletter data på bærbare, telefoner, harddiske og andre elektroniske enheder. Formålet med sikker datasletning er at data, efter sletningen, er fuldstændig ulæseligt og ikke kan tilgås af en uautoriseret person. Definitionen gør det klart at når vi taler om datasletning, taler vi ikke kun om fysisk sletning af data, hvilket er processen der indebærer at fodre enheder til en stor mekanisk makulator, men også elektronisk data, som ligger på enhederne.
Hvorfor har datasletning betydning?
At slette gammelt data er ikke kun belejligt for organisationer, men også et juridisk krav. Efter en bestemt mængde tid skal det meste data slettes permanent fra både computere og systemer, for at overholde GDPR-reglerne. Vi er meget afhængige af data på grund af dens effektivitet i forretning, men, som med alle ting, er der ulemper ved dette. Forøgede mængder af digitaliseret data skaber risiko for datalækage, eftersom følsomme data er under konstant trussel fra cyberkriminelle.
Datasletningspolitik og databrud
At have en datasletningspolitik kan nedsætte risikoen for datalækager. Datasletningspolitikker hjælper med at sikre at data slettes i henhold til GDPR, og dette nedsætter sandsynligheden for datalækage, og redder dig fra mange problemer senere.
GDPR og datasletning
Lad os tale om GDPR og lovgivningen omkring datasletning. GDPR fortæller os ikke noget om præcis hvilken metode til datasletning, virksomheder bør bruge, men vigtigheden af sikker datasletning er nævnt i GDPR. GDPR klassificerer datasletning som en slags databehandling, og derfor skal virksomhederne efterleve de samme regler, både ved datasletning og ved databehandling.
Regler fremsat af GDPR ved datasletning:
-
Virksomheder skal implementere korrekt kontrol; at give dataejere de fulde rettigheder over deres data, inklusive rettigheden til at få data slettet.
-
Gamle data skal slettes sikkert uden muligheden for at fremskaffe det igen.
-
Virksomheder skal kassere enhver fysisk hardware, som data kan være opbevaret på, på en passende måde, ikke kun digitalt data.
Datasletningsmetoder
Der er flere forskellige metoder du kan bruge til at slette data, men ingen af dem er perfekte og lover ikke komplet sletning. At kende forskellen på dem hjælper dig med at vælge den korrekte til dig.
Makulering – at destruere elektronik fysisk
Makulering er processen, der indebærer at fysisk destruere elektroniske enheder. Processen er definitiv og sikker, når en enhed er makuleret, kan den ikke genbruges. Makulering er ideel til at destruere meget sensitive data. Det er hurtigt, omkostningseffektivt og sikkert. Dette er en ideel metode til destruktion af enheder, som er forældede, skadede og ikke længere brugbare.
Sletning – overskrive harddiske
Overskrivning af harddiske er en effektiv metode til at slette data. Det er ideelt når du ikke vil ødelægge enheder. Det fungerer ved at overskrive harddiske, så personen der bruger enheden næste gang, ikke kan tilgå tidligere lagret data. Overskrivning af harddiske er en ideel metode til sletning af data på bærbare, telefoner og USB-stik. Det er omkostningseffektivt og sikkert.
Afmagnetisering – at ødelægge enheders magnetiske felt
Afmagnetisering sker ved at ødelægge en lagringsenheds magnetiske felt. Når det magnetiske felt er ødelagt, så bliver data også ødelagt. Denne metode er ideel til at slette følsomt data, eftersom det gør data fuldstændigt umuligt at genoprette. Ulempen er at enheden ikke længere er brugbar, når det magnetiske felt er ødelagt.
Overskrivning – at bruge software til at kryptere data
Overskrivning er en hyppig brugt metode i organisationer, som vil afskaffe data, men stadig kunne genbruge enheder. Til denne metode bruges softwareværktøjer til at kryptere data på enheder, og på den måde gøre det svært at afkode eller genoprette. Dette gøres ved at placere ulæselige tegn ovenpå dataene. Til avancerede opbevaringsenheder, tilbyder overskrivning muligvis ikke god nok sikkerhed. Denne datasletningsmetode er billig og nem at bruge, men den kan være tidskrævende og upålidelig i nogle tilfælde.
Outsourcing af datasletning
Før jeg kommer ind på hvordan du kan lave en datasletningspolitik til din virksomhed. Vil jeg gerne kort diskutere mulighederne for at outsource din organisations datasletning. Som en stor organisation, kan du vælge at arbejde med en datasletningsvirksomhed, som gør alt arbejdet for dig.
Ting at holde øje med ved outsourcing af datasletning:
-
Vær sikker på at virksomheden du vælger at arbejde med, fremlægger certifikat for sanering, som bevis for at dataene er destrueret. Certifikatet bør dække typen af data destrueret, datakilden og den brugte metode.
-
Find ud af om virksomheden overholder GDPR. Dette kan du gøre ved at spørge ind til deres processer og hvordan deres medarbejdere er blevet trænet til at nå GDPR-standarder.
-
Vær sikker på at virksomheden er forsikret. Hvis ikke, kan det være en indikator på at, i tilfælde af en datalækage, så er de måske ikke klar til at tage ansvar.
-
Hvis du, efter at have undersøgt virksomheden, stadig er bekymret over at følsomt data falder i de forkerte hænder, så ville det være bedst at udføre datasletningen i din egen organisation, eftersom dette har den laveste risiko for datalækage.
Hvad er formålet med en datasletningspolitik?
Virksomheder samler, behandler og opbevarer data i stadigt stigende mængder, og ser ikke den store pointe i at komme af med gamle data, eftersom ny opbevaringsplads nemt kan købes. De fleste virksomheder har ikke brug for, og i mange tilfælde må ikke, fastholde gammelt data. Derfor er det vigtigt at have processer der guider dine medarbejdere i datasletning, og en datasletningspolitik tillader dig at gøre dette effektivt.
Sikker datasletning til mindre organisationer
Mindre virksomheder tror måske at de ikke er store nok til at tiltrække cyberkriminelle. Uanset størrelse, samler og opbevarer alle virksomheder data, hvilket er alt det kræver for at cyberkriminelle kan udføre identitetstyveri og anden kriminalitet. En mindre organisation kan vælge ikke at lave en datasletningspolitik, men de kan stadig skabe en kultur der opfordrer til bevidsthed og god praksis. GDPR opfordrer virksomheder til at have datasletningspolitikker, men du får ikke en bøde for ikke at have en.
Nogle centrale ting at holde for øje når du laver en datasletningspolitik
-
Vær sikker på at din virksomhed efterlever alle industri-, stats- og føderalreglementer.
-
Vær bevidst om dine kontrakter med andre virksomheder og deres dataspecifikationer vedrørende datasletning.
-
Vær sikker på at efterleve GDPR-regler for hvor længe du må beholde data og hvordan denne data skal destrueres.
Hvordan laver man en datasletningspolitik?
Nu hvor vi har talt om vigtigheden af sikker datasletning, metoderne og de potentielle risici relateret til datalækage, så spekulerer du sikkert på hvordan du kan lave en datasletningspolitik til din virksomhed. Som lovet, har jeg lavet en trin-for-trin-guide du kan følge, hvilket gør processen langt nemmere.
Hvor opbevarer du din virksomheds data?
Først og fremmest. Lav en liste over alle steder og enheder på dit kontor, hvor data opbevares. Potentielle dataopbevaringsmetoder din virksomhed kan bruge er:
Hvem har adgang til din data?
Det næste du bør gøre at lave en liste over data eller enheder, som dine forretningspartnere har adgang til. Dette kunne være dine leverandører, forhandlere eller aktionærer.
En politik der er tilpasset din virksomheds behov
Nu er det tid til at besvare hvem, hvad, hvornår, hvor og hvorfor-spørgsmålene. Til denne sektion skal du bruge de to lister fra tidligere trin. Med disse lister, skal du besvare spørgsmålene forneden:
-
Hvilken slags enhed er det? (USB, flashdrev eller andet)
-
Hvor følsomme er dataene, der er opbevaret på den? Er følsomhedsniveauet højt, moderat eller lavt?
-
Hvilken type data opbevares på den? Er det medarbejderdata, finansiel eller kundedata?
-
Hvordan er det krævet at vi sletter dataene eller enheden?
-
Hvem er ansvarlig for at slette den?
-
Hvor ofte skal vi afskaffe denne type data?
-
Hvordan verificerer vi at dataene er slettet og ikke genoprettelig?
At skrive den endelige datasletningspolitik
Det sidste trin i produktionen af en datasletningspolitik er at skrive det formelt ned, og dette kan virke som det sværeste trin af dem alle. For at gøre det lidt nemmere har jeg lavet en liste med spørgsmål, som forhåbentligt kan hjælpe med at lave en politik, som er kohærent og dækker alle vigtige elementer af sikker datasletning.
-
Hvordan udføres makuleringsprocessen i vores virksomhed? Har vi en fysisk makulator tilgængelig på kontoret, eller bruger vi en service, og hvis sidstnævnte, hvilken?
-
Hvordan er processen for at slette data fra hver type elektronisk enhed?
-
Hvilke softwareværktøjer benytter vi?
-
Hvordan er enhederne slette så de ikke kan benyttes i fremtiden?
-
Hvem er ansvarlig for at slette data og destruere enheder, og hvor ofte gøres dette?
-
Hvordan verificerer vi at data er blevet sikkert slettet? For hvilken type data og hvornår skal vi have verifikation? Hvem er ansvarlig for verifikation?
-
Hvem er ansvarlig for implementeringen af datasletningspolitikken samt sikring af at medarbejdere forstår den?
-
Hvem skal efterleve datasletningspolitikken og hvad er de mulige konsekvenser hvis der sker lækage?
At lave en datasletningspolitik kræver tid og indsats. Men, når det er på plads, kan du sove trygt, velvidende at du markant har reduceret risikoen for at din virksomhed holdes juridisk ansvarlig for data- og sikkerhedslækager.
Sandheden er, at du ikke nødvendigvis nyder idéen om at skulle konstruere en længere datasletningspolitik, eller at gentænke dine vaner angående datasletning, men det ændrer ikke på at datalækager er en virkelig bekymring, og at du bør tage de nødvendige foranstaltninger for at undgå dem.