Conformità: punti deboli nella cancellazione dei dati

Le vulnerabilità di cancellazione dei dati sono onnipresenti. Per esempio, quando Donald Trump non ha più bisogno di un documento, lo strappa e lo getta nella spazzatura. In seguito, un intero dipartimento è impegnato a incollare di nuovo insieme i fogli strappati. Perché Trump è soggetto al Presidential Records Act del 1978, che stabilisce che tutti i documenti con cui ha avuto a che fare devono essere conservati. Altrimenti è perseguibile. Almeno questo è quanto riportato dal giornale nordamericano Politico.

Tuttavia, altrettanto importante dei requisiti di archiviazione dei dati è la loro corretta cancellazione. Uno studio pubblicato da Blancco Technology Group rivela le idee sbagliate più comuni che i decisori hanno sulla cancellazione dei dati. I risultati sono procedure di cancellazione dei dati inadeguate e rischi di sicurezza inutili. Lo studio, A False Sense of Security, condotto da Blancco in collaborazione con Coleman Parkes, mette in evidenza come l'eccesso di fiducia aziendale sta mettendo in pericolo la sicurezza dei dati in un momento in cui una sana gestione dei dati dovrebbe essere una priorità assoluta.

Più di tre quarti (77%) degli intervistati concordano sul fatto che il gran numero di diversi dispositivi a fine vita rappresenta un rischio per la sicurezza dei dati per la loro organizzazione, e il 74% ha detto di essere preoccupato per il rischio di violazioni dei dati relativi ai dispositivi legacy.

Lo studio, che ha intervistato 1.850 decision maker delle più grandi aziende del mondo in Nord America, APAC ed Europa - compresi 259 decision maker in Germania - mostra che i processi di cancellazione dei dati a fine vita utilizzati per i dispositivi IT pongono rischi significativi per la sicurezza in un'azienda su tre in Germania. Le cause di questi rischi includono:

• Uso di procedure inadeguate di rimozione dei dati - il 32% delle organizzazioni ha riferito di aver usato metodi come la formattazione, la sovrascrittura usando strumenti software gratuiti o a pagamento senza un'adeguata certificazione, o la distruzione fisica (sia smagnetizzazione che triturazione) senza un audit trail. Questi metodi non forniscono una sicurezza completa. Questo significa che le organizzazioni affrontano un potenziale rischio residuo di violazioni della sicurezza e della conformità.
• L'accumulo di dispositivi di archiviazione scartati in grandi quantità e la mancanza di un concetto chiaro per trattare questi dispositivi in modo appropriato entro una finestra temporale fissa - il 78% delle aziende in Germania ha ammesso di immagazzinare in massa i dispositivi scartati. Questa è la percentuale più alta di tutti i paesi in cui è stato condotto il sondaggio. Solo l'11% delle aziende intervistate ha detto di cancellare i supporti di dati immediatamente dopo la disattivazione. Al contrario, il 74% ha detto di impiegare più di due settimane per farlo, il che aumenta il rischio di violazioni e perdite di dati nell'azienda.
• La mancanza di una chiara catena di custodia con un corrispondente audit trail per i dispositivi IT che hanno raggiunto la fine della loro vita, compresa la documentazione probatoria del trasporto in una struttura off-site dove i dispositivi vengono distrutti - un quinto (20%) delle aziende in Germania ha riferito di non avere un audit trail per la distruzione fisica, e il 32% ha ammesso di non registrare i numeri di serie dei dischi rigidi. Queste carenze nella catena di custodia mettono le aziende in questione ad alto rischio di violazioni di dati e di conformità.

Inoltre, lo studio mostra che il 20% delle aziende in Germania si affidano alla distruzione fisica quando smaltiscono le loro vecchie apparecchiature smagnetizzandole o facendole triturare in un trituratore. Tuttavia, la triturazione in particolare non fornisce sempre un audit trail certificato per l'intera catena di custodia.

Altri risultati chiave sulle aziende:

• Un quinto (20%) delle aziende in Germania non fa differenza tra SSD e HDD quando cancella i dischi rigidi, ma usa un solo e unico processo per questo scopo. Questo comporta il rischio che i supporti di dati non siano completamente ripuliti da tutti i dati e che non siano rispettati tutti gli standard industriali per la cancellazione dei dati.
• Inoltre, le aziende intervistate hanno dichiarato che il 20% dei loro dispositivi IT sono semplicemente tenuti in azienda senza cancellare i dati su di essi. Questo rivela una grave lacuna di sicurezza che dovrebbe essere chiusa immediatamente.

Risultati chiave a livello internazionale:

• Molte delle aziende intervistate in tutto il mondo usano una varietà di metodi diversi per rimuovere i dati. Un totale del 17% usa la distruzione fisica (sia la smagnetizzazione che la triturazione), il 13% usa la cancellazione/cancellazione crittografica, il 12% usa la formattazione, l'8% usa un software di sovrascrittura gratuito e il 7% usa un software di sovrascrittura a pagamento ma non ha un'adeguata certificazione di cancellazione dei dati. Particolarmente preoccupante, tuttavia, è che il 4 per cento non utilizza alcun processo di cancellazione dei dati.
• Un inquietantemente alto 80 per cento delle aziende intervistate in tutto il mondo ha ammesso di accumulare masse di dispositivi scartati in azienda. Inoltre, molte aziende stanno lasciando questi dispositivi inutilizzati per un po'. Solo il 13% delle aziende ha detto di cancellare i dischi immediatamente dopo la loro disattivazione, mentre il 57% ha detto di impiegare più di due settimane per farlo. Questo aumenta il rischio di violazioni e perdite di dati nelle aziende.
• Quasi tre quarti (73%) degli intervistati concordano sul fatto che l'abbondanza di dispositivi disparati li rende vulnerabili alle violazioni dei dati quando viene chiesto loro di esprimere le maggiori preoccupazioni in materia di sicurezza relative ai dispositivi a fine vita. Inoltre, il 68% ha detto di essere molto preoccupato per il rischio di una potenziale violazione dei dati a causa dei dati sui dispositivi legacy.

Il rapporto completo, "A False Sense of Security", e un'analisi approfondita possono essere trovati qui: http://www.blancco.com/false-security