Go to Top

Come scegliere un fornitore per la dismissione di hardware informatico

dismissione

Questo articolo è un articolo ospite, scritto da Laura Cooper di EOL IT Services

Indipendentemente che tu ti stia spostando di sede, che tu stia aggiornando l’infrastruttura IT o puntando al cloud sicuramente il risultato è lo stesso. Alla fine vi sarà dell’hardware IT in eccesso dove è necessario assicurarsi che i dati memorizzati siano stati adeguatamente cancellati.

Quando si sceglie un partner per la gestione degli asset IT e dei dati confidenziali, spesso ci si trova di fronte a un dilemma. Come puoi sapere se stai facendo la scelta giusta?  Quale criterio o linee guida di settore  stai seguendo per assicurarti che la decisione sia una buona decisione?

Dismettere un dispositivo in modo appropriato

Quando scegli un partner  ITAD (IT Asset Disposal) dovresti assicurarti che esso ti fornisca un percorso documentabile e completo per essere sicuro su dove si trovi il tuo hardware e la sua destinazione finale. É necessario ad esempio sapere se gli asset verranno rivenduti, riutilizzati oppure riciclati. Indipendentemente dalla direzione che prende l’hardware dovrai anche considerare alcune opzioni per essere certo che i dati in esso memorizzati siano stati cancellati in modo sicuro.

Si possono considerare 4 metodi di cancellazione e in alcuni casi, per raggiungere il risultato, è necessaria la combinazione di alcuni di loro. Dipende dalle tue policy interne come pure dal tipo di supporti che devi dismettere.  A seguire le opzioni per la rimozione sicura dei dati.

  • Wiping/Sovrascrittura dei dati – Questo è il sistema più conosciuto per la cancellazione dei dati. Questo metodo consente il riutilizzo/la rivendita dei dispositivi assicurando al contempo che le informazioni siano state rimosse in modo sicuro. Esistono molti software di cancellazione sicura sul mercato che permettono una completa rimozione dei dati e offrono un report per comprovare che l’asset sia stato cancellato in modo appropriato. Dovresti verificare che i processi di wiping/sovrascrittura siano completati in linea con lo standard NCSC (precedentemente CESG). Dovresti inoltre chiedere al tuo fornitore cosa succede ai quei drive che non possono essere cancellati usando il software – saranno distrutti fisicamente? Cosa succede agli SSD o ai drive ibridi? Come vengono gestite queste tecnologie dal tuo fornitore?
  • Degaussing – Questa modalità sfrutta un apparecchio che genera un intenso campo magnetico per distruggere i dati memorizzati in supporti magnetici, lasciando i domini magnetici su hard disk o floppy disk in un orientamento casuale e in questo modo rendendo i dati non recuperabili. Quando si sceglie un dovresti assicurarti che sia stato approvato dal NCSC poiché questo ti garantisce che l’apparecchio sia stato testato e verificato in modo indipendente.
  • Shredding – E’ una procedura standard attraverso la quale i supporti vengono sminuzzati in pezzi. La dimensione del materiale triturato è usualmente da 25mm a 6mm. Il materiale frammentato viene inviato a ulteriori società che proseguono con il processo di raffinazione. Che report riceverai sull’attività di triturazione? Che tipo di certificato di distruzione è incluso ai fini delle tue registrazioni interne?
  • Granulazione – Sistema per distruggere i dati da da drive e altri media tagliandoli o triturandoli a granuli di 6mm o più piccoli.

Altre considerazioni riguarderanno se hai bisogno che i dati siano distrutti presso la tua sede oppure presso la sede del fornitore. Che tipo di servizio può offrirti il tuo ITAD?

Implicazioni di una cancellazione impropria

Le implicazioni di business legate ad una fuga di dati possono essere molto serie. Non solo potrebbe danneggiare la reputazione della tua azienda se a fuoriuscire fossero i dati di un cliente ma se ad essere acceduti, rubati o condivisi con il pubblico fossero dati di proprietà intellettuale, l’azienda potrebbe anche perdere dei vantaggi competitivi.

Dal punto di vista legale, se dovessero diventare pubblici dati personali protetti dalla normativa privacy ci sarebbe una violazione delle norme a tutela delle informazioni personali con sanzioni di tipo civile e penale, inoltre a maggio 2018 diventerà esecutivo il nuovo Regolamento europeo privacy (GDPR) che stabilisce sanzioni amministrative pecuniarie dal 2% al 4% del fatturato mondiale annuo in base al tipo di violazione che dovesse riguardare dati personali.

Il valore dei dati negli ultimi tempi sta trasformando qualsiasi business e individuo in potenziale vittima di cyber-crimini. Le organizzazioni perciò devono intraprendere qualsiasi possibile accorgimento per limitare i rischi e per comprendere appieno i requisiti legali. Ad esempio, con il nuovo GDPR le organizzazioni dovranno avere il permesso dagli individui per raccogliere le loro informazioni, dovranno informarli su come le informazioni saranno utilizzate e assicurarsi che verranno cancellate in modo sicuro dopo un certo periodo.

Massimo Mazza, specialista di cancellazione sicura in Kroll Ontrack:

Le organizzazioni dovrebbero, quando dismettono i dati e i dispositivi IT, applicare lo stesso livello di attenzione e cura a quello che impiegano per la protezione dei dati e dei dispositivi IT quando si trovano in ambienti live. E’ fondamentale comprendere e avere una chiara visione dell’intero processo del ciclo di vita dei dati e degli asset IT affinché si possa indirizzare qualsiasi eventuale mancanza. Con il GDPR le organizzazioni devono rivedere le procedure di trattamento dei dati personali a livello di come vengono raccolti, trasferiti, conservati ma anche cancellati.”

Percorsi di audit e accreditamenti

Quando cerchi un fornitore che lavori con i tuoi dati dovresti assicurarti che possa fornirti un processo completamente documentabile in modo che tu possa conoscere dove si trovi il tuo hardware (e i dati) in ogni momento. Che tipi di prova è in grado di fornirti sulla cancellazione o la distruzione dei dati? Vale la pena accertarsi se utilizza software approvato da NCSC per la cancellazione sicura e se hai richiesto la distruzione fisica tramite shredding, ti invierà un certificato di distruzione?

Anche assicurarsi che il fornitore abbia una comprovata capacità nel settore è vitale. Trova quali accreditamenti detiene e a quali standard e regolamenti aderisce. Come regola generale, qualsiasi ITAD scegli dovrebbe essere compliant con l’UE Regulation on Waste for Electrical and Electronic Equipment (WEEE)  e dovrebbe essere in possesso di una licenza per il trasporto dei rifiuti. Inoltre dovrebbe anche avere un impianto approvato per il trattamento dei rifiuti.

Anche le politiche ambientali, dovrebbero essere considerate. Per esempio, aderisce a qualche standard ambientale, esempio ISO 14001. Quale percentuale di dispositivi raccolti viene riutilizzata, rivenduta o raffinata e quali sono le politiche di discarica dei rifiuti?

Un altro standard ISO che serve come un solido indicatore di un provider rispettabile è la ISO 27001 che dimostra, tra le altre aree, che sono in atto sistemi per lo smaltimento di asset IT e la distruzione sicura di tutti i dati confidenziali.

Aderire a specifici standard di settore come ad esempio essere membri di ADISA è importante.

ADISA (The Asset Disposal and Information Security Alliance) è un’organizzazione che raccomanda degli standard per la dismissione sicura degli asset IT al fine di minimizzare il rischio di esposizione e l’uso non corretto di qualsiasi dato confidenziale memorizzato sull’hardware.

É necessario sapere dove si  trovano i dati e chi li detiene

Che garanzie ti offre il fornitore che hai scelto quando l’hardware che contiene i dati è in transito? Se utilizza un qualsiasi terzo fornitore nella sua supply chain che assicurazioni hai riguardo un accurato controllo dell’hardware durante lo spostamento? Ad esempio, potresti chiedere se ogni veicolo abbia attivo un tracciamento GPS.

Potresti anche fare domande sullo staff, ad esempio se utilizzano terze parti o staff temporaneo. Chiedendo queste informazioni dovresti avere idee più chiare per scegliere un ITAD in grado di fornirti il più alto livello di sicurezza e di compliance. Se i tuoi dati finissero nelle mani sbagliate potrebbe essere un disastro per la tua organizzazione, perciò assicurati che qualunque sia il fornitore che sceglierai, esso sia stato accuratamente valutato in anticipo.

Come dismetti i tuoi asset IT? Come ti assicuri che i dati siano stati completamente distrutti?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *