Het beheren van Data Erasure: GEAUTOMATISEERDE PROCESSEN VOOR OPTIMALE EFFICIËNTIE

Transcriptie

1 Het beheren van Data Erasure: GEAUTOMATISEERDE PROCESSEN VOOR OPTIMALE EFFICIËNTIE Blancco White Paper Gepubliceerd op 16 oktober 2012

2 Introductie Chief Information Officers (CIO s), Corporate Security Officers (CSO s), en Information Technology (IT) Asset Managers ondervinden een aantal problemen waardoor hun veeleisende baan nog complexer wordt. Deze leidinggevenden en beheerders zijn belast met de IT en automatisering binnen een onderneming. Daarmee ondersteunen ze enkele van de belangrijkste hoekstenen van een bedrijf of overheidsorganisatie. Inkrimping van het personeel en krappere budgetten vormen enkele van de belangrijke uitdagingen waarvoor IT-managers zich gesteld zien. Het behalen van bestaande doelstellingen en criteria, en tegelijkertijd efficiënt en kosteneffectief opereren met minder middelen en minder geld, heeft een situatie gecreëerd waarin CIO s en hun IT-afdelingen zich gesteld zien voor meer uitdagingen dan ooit. Een belangrijk onderdeel van het IT-beleid voor deze groepen is de mogelijkheid om een solide en bewezen beveiligingsbeleid toe te passen en te beheren vooral in het licht van de wereldwijde, voortdurende toename van inbreuk op de gegevensbeveiliging en identiteitsdiefstal. Een belangrijk aspect van een dergelijk beleid is het definiëren en implementeren van dataverwijderingsprocedures voor IT-middelen die gepland staan voor hergebruik, donatie of verwijdering. Hieronder valt een oplossing die hardware opspoort, variërend van Smartphones tot professionele servers, en dagelijks zorg draagt voor dataverwijdering en de verwijderingsbehoeften gedurende de gehele levenscyclus van IT-middelen. Bij een dergelijke benadering hoort ook een volg- en rapportagesysteem dat in kaart brengt wat er verwijderd is en door wie. Hoewel optimale dataverwijdering uiterst belangrijk is als het gaat om algemene gegevensbeveiliging, hebben IT-managers dagelijks te kampen met krappere budgetten en inkrimping van personeel. Om het implementeren van dataverwijdering efficiënt en effectief te laten verlopen, bieden geavanceerde dataverwijderingsoplossingen een snelle, geautomatiseerde en veilige manier om gegevens te beschermen. Tegelijkertijd worden de bijbehorende kosten en middelen gereduceerd. Door geautomatiseerde functies verloopt de verwijdering sneller en is er de mogelijkheid om verwijderings- en rapportagemogelijkheden af te stemmen op de meest dringende behoeften van een organisatie. 2

3 Inhoudsopgave Introductie...2 Risico s als gevolg van het op onjuiste wijze van de hand doen van it-middelen...4 Voor- en nadelen van technologieën voor gegevensbescherming...5 Steeds weer nieuwe uitdagingen in het beheer van databeveiliging...6 Steeds meer regelgeving voor ondernemingen...6 Initiatieven in de verenigde staten...6 Eu-richtlijn gegevensbescherming...7 Volledig controleerbaar verwijderingsproces...7 Het gebruik van privé-apparatuur op het werk een blijver...8 Het belang van verwijderingsbeheer gedurende de gehele levenscyclus van uw it-middelen...9 Het beschermen van gegevens na afloop van de gebruiksduur...9 Gerichte dataverwijdering op actieve systemen Het belang van verwijdering op locatie De voordelen van een gecertificeerde, procesgeoriënteerde verwijderingsoplossing...11 Procesbeheer Conclusie...13 Referenties

4 Menselijke fout of systeemfout Blootstelling via web/netwerk Malware 3% Onbekend 6% 11% 5% 10% Het op onjuiste wijze van de hand doen 6% 10% Diefstal/verlies van gedrukte materialen 1% Diefstal/verlies van draagbare media Verlies van pc Op basis van oorzaken: Het aantal incidenten in % van het totale aantal voor 2010 (januari-juni) Een onbetrouwbare insider 21% 12% 16% Diefstal van pc Bron: KPMG International, October 2010 Hacking Risico s als gevolg van het op onjuiste wijze van de hand doen van IT-middelen Bedrijven associëren het verlies van gegevens vaak met gestolen laptops of andere draagbare media. Veel bedrijven zijn zich niet bewust van een veel subtielere valkuil: het op onjuiste wijze van de hand doen van IT-middelen. Volgens een rapport1 uit 2010 van KPMG International wordt het uitlekken van gegevens in 10% van de gevallen veroorzaakt door het op onjuiste wijze van de hand doen van ITmiddelen. Dit heeft ernstige gevolgen voor de reputatie van bedrijven. Doordat er steeds strengere richtlijnen zijn voor beveiliging van bedrijfsgegevens zijn er ook hoge boetes mee gemoeid. Sommige rapporten, waaronder een onderzoek door Kessler International2 uit 2009, tonen aan dat zo n 40 procent van de harde schijven die tweedehands worden aangeboden nog gevoelige informatie bevatten. Dataverwijdering biedt een op software gebaseerde benadering voor het overschrijven en volledig verwijderen van alle elektronische informatie in veel gevallen vertrouwelijk of gevoelig die zich op een harde schijf of andere digitale media bevindt en die gepland staat voor hergebruik of verwijdering. Het opschonen of verwijderen van data gaat veel verder dan de standaard verwijderingsopdrachten. Met de standaard verwijderingsopdrachten worden namelijk alleen de verwijzingen naar data op de harde schijf verwijderd; de informatie kan eenvoudig worden teruggehaald met reguliere softwareprogramma s. Bij dataverwijdering wordt alle informatie verwijderd. Tijdens dit proces kan de harde schijf gewoon worden gebruikt. Er worden als bewijs van de dataverwijdering verwijderingsrapporten gegenereerd met gedetailleerde hardware-specificaties. 4

5 VOOR- EN NADELEN VAN TECHNOLOGIEËN VOOR GEGEVENSBESCHERMING Er zijn veel technologieën voor gegevensbescherming en -vernietiging, waaronder de fysieke vernietiging van apparaten, degaussen (een vorm van demagnetiseren), encryptie, herformatteren, en minder uitgebreide manieren voor het overschrijven van software. Elk van deze technologieën heeft echter nadelen. Bij fysieke vernietiging van apparaten en degaussen is een harde schijf bijvoorbeeld niet langer bruikbaar en dus niet meer geschikt voor hergebruik of verkoop. De mogelijkheid duurzaam en milieuvriendelijk te opereren wordt hiermee dus beperkt. Bij fysieke vernietiging is het herstellen van gegevens op gefragmenteerde digitale media bovendien nog steeds mogelijk. Omdat dure apparatuur nodig is voor het vernietigen van harde schijven wordt deze activiteit over het algemeen uitbesteed. De harde schijven moeten dus worden vervoerd naar een derde partij. De kans op gegevensverlies neemt hiermee toe. Andere strategieën voor gegevensbeveiliging hebben ook nadelen. Op software gebaseerde encryptie van gegevens is bijvoorbeeld in bepaalde situaties effectief, maar het is een tijdrovende, processor-intensieve activiteit die geen volledig veilige of controleerbare methode biedt voor het beveiligen van gegevens, zeker niet als het gaat om ongebruikte apparatuur. Cryptografische opschoning aan het eind van de levenscycles van IT-middelen biedt geen verificatiemechanisme. Er is geen zichtbare audittrail en het risico bestaat dat de opschoning niet goed wordt uitgevoerd. Zowel actieve als inactieve systemen waarbij encryptie wordt toegepast kunnen worden aangevallen als ze niet voortdurend worden bijgewerkt. Data zijn dan toegankelijk voor hen die de sleutel ontdekken, de beveiliging weten te omzeilen of gebruikmaken van een mogelijk slecht uitgevoerde implementatie. Ook bij het herformatteren van een harde schijf blijven gegevens intact. Bij minder geavanceerde overschrijvingstechnologie kan het aantal overschrijvingen bovendien te beperkt zijn. De vraag is ook of er verwijderingsrapporten worden gegenereerd die voldoen aan de in de wet gestelde voorwaarden. Freeware voor overschrijving biedt bijvoorbeeld geen gedetailleerd, controleerbaar rapport en de effectiviteit van de software is niet onafhankelijk geverifieerd. Dataverwijderingsbeheer met geavanceerde verwijderingstechnologie is dé ultieme methode om apparaten te ontdoen van gevoelige informatie. Dataverwijderingsbeheer met geavanceerde verwijderingstechnologie is daarom dé ultieme methode om apparaten te ontdoen van gevoelige informatie. Door de volledige verwijdering van data te automatiseren met technologie die bewijs levert in een gedetailleerd rapport zijn organisaties ervan verzekerd dat gegevens beschermd zijn, zonder dat dit invloed heeft op de productiviteit van bedrijfsmiddelen en de algemene werkprocessen. 5

6 Steeds weer nieuwe uitdagingen in het beheer van databeveiliging Het lijkt erop dat IT-organisaties elke dag te maken hebben met een toenemend aantal uitdagingen. Gezien hun krappere budgetten en de daaruit voortvloeiende inkrimping van het personeel moeten ze nu meer doen met minder mensen. Hun netwerken worden echter steeds zwaarder belast door gebruikers die steeds beter ontwikkeld zijn. Volgens een onderzoek3 van 2011 EMC/IDC Digital Universe was er tussen 2005 en 2010 sprake van een vertienvoudiging van het digitale dataverkeer binnen allerlei soorten netwerken. De verwachting is dat dit in de toekomst niet zal veranderen. Tussen 2010 en 2012 was er spake van een verdubbeling en verwacht wordt dat er in 2015 weer meer dan twee keer zoveel dataverkeer zal zijn. STEEDS MEER REGELGEVING VOOR ONDERNEMINGEN Wereldwijd is er een toename te zien van strenge branchevoorschriften en -regelgeving, die als doel hebben het risico op het uitlekken van vertrouwelijke gegevens te beperken. Ook zijn er steeds meer regels met betrekking tot gezondheid, financiën en kredietinformatie. Voorbeelden van bestaande regelgevingen, die specifiek vereisen dat data wordt verwijderd, zijn de Health Insurance Portability and Accountability Act (HIPAA), The Fair and Accurate Credit Transactions Act of 2003 (FACTA), de Payment Card Industry Data Security Standard (PCI DSS) en de UK Data Protection Act Ook is op dit moment in de Verenigde Staten uitgebreide regelgeving in behandeling omtrent vereisten voor dataverwijdering via de Consumer Privacy Bill of Rights, en in Europa via de wet- en regelgeving van de EU over verbeteringen in gegevensbescherming. Door toenemende regelgeving en wettelijke voorschriften met betrekking tot gegevensbescherming moeten ondernemingen voldoen aan veel extra vereisten. INITIATIEVEN IN DE VERENIGDE STATEN Door toenemende regelgeving en wettelijke voorschriften met betrekking tot gegevensbescherming moeten ondernemingen voldoen aan veel extra vereisten. In februari 2012 presenteerde president Obama in de Verenigde Staten een voorstel ter bescherming van persoonsgegevens en ter promotie van innovatie in de wereldwijde digitale economie. Het rapport behandelt privacy-aangelegenheden van consumenten en het benadrukt de trends en de problematiek met betrekking tot digitale data op grotere schaal. In het rapport staat dat er in een eerder voorstel een gebrek is aan een duidelijke uiteenzetting van basisprincipes met betrekking tot privacy-aangelegenheden die van toepassing zijn op de commerciële wereld. Ook zijn er geen duidelijke lange-termijntoezeggingen van alle belanghebbenden om problematiek aangaande bescherming van gegevens van de consument, voortkomend uit ontwikkelingen in technologie en bedrijfsmodellen, aan te pakken. Om de problematiek aan te kunnen pakken introduceerde de regering van Obama de Consumer Privacy Bill of Rights4, een wetsvoorstel waarin een dynamisch model wordt gepresenteerd dat voortdurende innova- 6

7 tie in nieuwe informatietechnologieën mogelijk maakt en tegelijkertijd bescherming van de privacy inclusief de verplichting gegevens te verwijderen hoog in het vaandel heeft staan. Dit nieuwe kader is dusdanig ontworpen dat er een duidelijke uiteenzetting van basisprincipes met betrekking tot privacy-aangelegenheden voor de commerciële wereld moet worden opgenomen, alsmede duidelijke lange-termijntoezeggingen van alle belanghebbenden om problematiek aangaande de bescherming van consumentengegevens, voortkomend uit ontwikkelingen in technologie en bedrijfsmodellen, aan te pakken. EU-RICHTLIJN GEGEVENSBESCHERMING Intussen zijn er in Europa voorstellen gedaan ter verbetering van de gegevensbescherming, niet alleen om oude regels uit 1995 te herzien, maar ook ter bevordering van de eenduidigheid in de implementatie van regelgeving.technologische vooruitgang, waaronder de opkomst van sociale netwerksites, cloud computing, op locatie gebaseerde services en smartcards, heeft binnen de EU de noodzaak aan het licht gebracht de wet- en regelgeving ter verbetering van gegevensbescherming5 te updaten. Een bestaand concept van deze updates is op dit moment in behandeling bij alle lidstaten van de EU. Er worden eisen gesteld aan de verwijdering van online gegevens en aan het gebruik van controleerbare procedures voor bedrijven die persoonlijke gegevens verwerken. Het wordt aanbevolen om gecertificeerde systemen en processen te gebruiken. Verwacht wordt dat sancties bij overtreding van de nieuwe Europese regelgeving zullen variëren van euro tot 0,5% van de wereldwijde jaarlijkse omzet voor kleinere overtredingen, en 1 miljoen euro tot 2% van de omzet voor serieuze overtredingen. Bedrijven met cloudservice moeten voldoen aan deze regelgeving wanneer ze gegevens verwerken van ingezetenen van de EU, ongeacht de locatie van hun servers (binnen of buiten de EU). Bedrijven met cloudservice moeten voldoen aan deze regelgeving wanneer ze gegevens verwerken van ingezetenen van de EU, ongeacht de locatie van hun servers (binnen of buiten de EU). Naast de razendsnelle toename van regelgeving en branchevoorschriften voor gegevensbeveiliging, zorgt de verspreiding van het steeds toenemende aantal apparaten en platforms dat in gebruik is om gegevens op te slaan ervoor dat IT-afdelingen het beheer van de beveiliging met meer verschillende soorten apparatuur moeten uitvoeren. Werkstations en laptops, servers en opslagapparatuur, mobiele apparatuur zoals Smartphones, virtuele machines en complexe datacenter-apparatuur zijn slechts enkele voorbeelden van de vele soorten IT-middelen die gevoelige informatie kunnen bevatten. Vanuit een wettelijk, moreel en fiduciair perspectief moeten organisaties, gezien de hoeveelheid vertrouwelijke gegevens, voorbereid zijn op het verwijderen van data op een groot aantal soorten apparaten. VOLLEDIG CONTROLEERBAAR VERWIJDERINGSPROCES Succesvolle verwijdering alleen is niet genoeg; voor auditingdoeleinden is er ook bewijs nodig van de verwijdering. Gedetailleerd, controleerbaar bewijs van de verwijdering is verplicht om te kunnen voldoen aan richtlijnen en wetgeving. Een uitgebreide audit verschaft ook belangrijke documentatie met betrekking tot de levenscyclus van IT-middelen. Controleerbare rapporten die bestand zijn tegen onrechtmatige wijzigingen zijn van essentieel belang om te kunnen voldoen aan richtlijnen en wettelijke voorwaarden voor auditing. Een dataverwijderingsoplossing dient uitgebreide verwijderingsrapporten te genereren. Deze rapporten bieden belangrijke informatie omtrent het auditingproces, zoals bijvoorbeeld de staat waarin 7

8 de hardware verkeert, relevante serienummers en inventaris-tags, softwaregegevens voor het verzamelen van licenties, de toegepaste verwijderingsmethode en informatie over wie de verwijdering heeft uitgevoerd. HET GEBRUIK VAN PRIVÉ-APPARATUUR OP HET WERK EEN BLIJVER Organisaties zien zich ook gesteld voor uitdagingen die te maken hebben met het gebruik van privé-apparatuur op het werk ( Bring Your Own Device - BYOD). Een recent rapport van Juniper Research toont aan dat er meer dan 150 miljoen privé-apparaten worden gebruikt op het werk6. BYOD is gemeengoed is geworden verwacht wordt dat er in miljoen Smartphones worden gebruikt op de werkvloer.7 Mobiele apparaten bevatten een schat aan informatie, ondanks hun geringe afmetingen. Smartphones en tablets hebben een intern geheugen van tot wel 64 GB. De mobiele apparaten hebben een enorm geheugen en worden steeds slimmer, waardoor mensen steeds productiever worden, zowel op hun werk als in hun privéleven. De apparaten bevatten steeds vaker s, klantgegevens, wachtwoorden en andere gevoelige informatie. Wanneer ze van de hand worden gedaan zonder dat de informatie wordt verwijderd, bestaat de kans op inbreuk op de gegevensbeveiliging. Een onderzoek uit 2009 toont aan dat 99% van de mensen hun telefoon gebruikt voor het werk. 77% van de ondervraagden gebruikte hun telefoon voor het opslaan van bedrijfsnamen en adressen, 23% sloeg ook klantgegevens op en 17% had bedrijfsinformatie gedownload zoals documenten en spreadsheets.8 Hoewel er bij schending van de beveiliging van data op mobiele apparaten zoals Smartphones en tablets vaak vooral wordt gedacht aan schadelijke software, phishing en aanvallen door spyware, vormt het op onjuiste wijze van de hand doen van gebruikte apparaten een nog veel grotere bedreiging. Volgens overheidsinstellingen zoals bijvoorbeeld European Network and Information Security Agency (ENISA), vormt het op onjuiste wijze van de hand doen van Smartphones, zonder de gegevens erop te verwijderen, een van de grootste risico s voor de beveiliging van informatie. Toch worden deze apparaten vaak niet onderworpen aan de verwijderingsprocessen die worden toegepast op harde schijven.9 Dit is verontrustend als je bedenkt dat er volgens analytici jaarlijks meer dan 100 miljoen mobiele telefoons worden gerecycled.10 Het herstellen van de fabrieksinstellingen volstaat niet om gegevens te beveiligen, omdat de informatie eenvoudig kan worden teruggehaald met reguliere softwareprogramma s. Om een solide beveiligingsbeleid voor mobiele apparaten te ondersteunen, aan wette- 8

9 lijke vereisten te voldoen en inbreuk op de gegevensbeveiliging te voorkomen, moeten bedrijven een dataverwijderingsbeleid implementeren waarbij gebruik wordt gemaakt van geavanceerde verwijderingstechnologie die een controleerbaar bewijs van de dataverwijdering levert, of ze moeten een vooraanstaand IT-verwijderingsexpert inschakelen als partner die een dergelijk proces kan waarborgen. Met de juiste kennis en technologie, of met behulp van een aanbieder van deze technologie, kunnen IT-managers het beleid toespitsen op zowel zakelijke apparatuur als op mobiele privé-apparatuur van werknemers. Om een solide beveiligingsbeleid voor mobiele apparaten te ondersteunen en inbreuk op de gegevensbeveiliging te voorkomen, moeten bedrijven een dataverwijderingsbeleid implementeren waarbij gebruik wordt gemaakt van geavanceerde verwijderingstechnologie die een controleerbaar bewijs van de dataverwijdering levert. Het belang van verwijderingsbeheer gedurende de gehele levenscyclus van uw IT-middelen Klanten en werknemers zijn afhankelijk van de beveiliging van hun persoonlijke en zakelijke informatie. Wanneer data, bij het van de hand doen van IT-middelen, niet op een veilige manier worden verwijderd, kan dit niet alleen resulteren in beschadiging van het bedrijfsimago, maar ook leiden tot lagere aandelenprijzen, het verlies van klanten en zakenrelaties en negatieve publiciteit. Een onzorgvuldig weggegooide, niet opgeschoonde harde schijf met vertrouwelijke gegevens kan heel eenvoudig identiteitsdiefstal tot gevolg hebben en een organisatie blootstellen aan negatieve publiciteit en kostbare rechtszaken. Het kan ook gevolgen hebben voor het personeelsverloop, de dagelijkse bedrijfsactiviteiten en de interne informatiebeveiliging. Ook om andere redenen is dataverwijdering van groot belang. Applicatie- of systeemsoftware die achterblijft op een harde schijf wanneer IT-middelen van eigenaar verwisselen kan schending van de site-licentievoorwaarden van de software-ontwikkelaar tot gevolg hebben. Het opnieuw toewijzen van een server aan een andere afdeling of divisie kan tot gevolg hebben dat software-licenties niet worden nageleeft. Dit kan resulteren in hoge boetes van de leverancier. Het beschermen van deze vertrouwelijke gegevens na afloop van de gebruiksduur van IT-middelen of bij het opnieuw toewijzen van een computer binnen het bedrijf is minstens zo belangrijk, maar wordt vaak over het hoofd gezien. Omdat er grote hoeveelheden vertrouwelijke informatie op deze IT-middelen zijn opgeslagen, moeten data volledig worden vernietigd voordat IT-middelen van de hand worden gedaan of worden gerecycled, hergebruikt of weggegeven. HET BESCHERMEN VAN GEGEVENS NA AFLOOP VAN DE GEBRUIKSDUUR Het is vanzelfsprekend dat organisaties hun data beveiligen en er alles aan doen om informatie gedurende de gehele levenscyclus van een bedrijf te beschermen. Het gebruik van een dataverwijderingsstrategie creëert donatie- of verkoopmogelijkheden. U hoeft zich geen zorgen te maken over gevoelige informatie die op de apparaten is opgeslagen. Fysieke vernietiging wordt ook beter uitvoerbaar wanneer het wordt gecombineerd 9

10 met dataverwijdering, omdat er een hoger niveau van vertrouwen en veiligheid wordt bereikt. De beveiliging van gegevens wordt op deze manier gewaarborgd, ook wanneer de fysieke vernietiging niet succesvol verloopt of wanneer technologische ontwikkelingen op de een of andere manier het ophalen van gegevens van onderdelen van de apparaten mogelijk maken. Dataverwijdering is niet alleen een activiteit die aan het einde van de levenscyclus van IT-middelen wordt uitgevoerd. Het kan ook nodig zijn in de beginfasen van het gebruik, wanneer bepaalde vertrouwelijke informatie niet langer hoeft te worden geraadpleegd. GERICHTE DATAVERWIJDERING OP ACTIEVE SYSTEMEN Dataverwijdering is echter niet alleen een activiteit die aan het einde van de levenscyclus van ITmiddelen wordt uitgevoerd. Het kan ook nodig zijn in de beginfasen van het gebruik, wanneer bepaalde vertrouwelijke informatie niet langer hoeft te worden geraadpleegd. Geavanceerde dataverwijderingstools maken verwijdering of opschoning van individuele bestanden of mappen op actieve systemen mogelijk. Dit gerichte verwijderingsproces is een ideale manier om tijdelijke, vertrouwelijke informatie zoals creditcard-informatie, klantinformatie en bedrijfsdocumenten te verwijderen. Door datavernietiging te automatiseren op basis van tijd of gebeurtenissen, zorgt geavanceerde verwijdering voor beveiliging van informatie op plaatselijke of externe servers en computers. Ieder geselecteerd bestand dat zich op het systeem bevindt kan worden verwijderd. Het is een geruststellende gedachte dat het dagelijks verwijderen van informatie zo eenvoudig kan zijn. Veel ondernemingen maken gebruik van dure en ingewikkelde configuraties voor hun datacentra zoals logische stations (LUN s) en opslagarrays. Deze configuraties en apparatuur worden op verschillende manieren ingezet en beheerd vanaf pc s en laptops. Verwijdering kan dus gevolgen hebben voor de belangrijkste bedrijfsactiviteiten. Servers of opslagarrays die draaien op bedrijfskritische toepassingen kunnen niet zomaar worden uitgeschakeld of gestopt zonder kostbare en tijdrovende procedures om ze weer online te brengen. Een geavanceerde verwijderingstool die gericht specifieke data, LUN s of opslagarrays aanpakt op actieve systemen is daarom onmisbaar. HET BELANG VAN VERWIJDERING OP LOCATIE Wanneer verwijdering van IT-middelen wordt uitbesteed aan derden is het belangrijk voor een organisatie om een partij te kiezen die gebruikmaakt van beveiligde dataverwijderingsprocessen, waarbij inzicht wordt gegeven in de activiteiten en rapporten worden gegenereerd. Dataverwijdering op locatie is echter de meest veilige optie, omdat zo kan worden gewaarborgd dat gevoelige informatie de onderneming of zelfs een bepaald kantoor niet verlaat. De International Association of IT Asset Managers 10

11 (IAITAM)11 raadt een gecombineerde benadering aan als de beste werkmethode, waarbij gebruik wordt gemaakt van verwijdering ter plaatse voorafgaand aan het vervoer naar de derde partij die de verwijderingsprocessen verzorgt. Strenge branchevoorschriften, boetes, potentiële reputatieschade voor een bedrijf als gevolg van inbreuk op de gegevensbeveiliging en het risico op uitlekken van informatie onderstrepen de noodzaak voor het nemen van de juiste maatregelen om te garanderen dat gevoelige informatie volledig en op veilige wijze wordt verwijderd. Als deze maatregelen niet worden genomen kan dit voor een organisatie resulteren in boetes variërend van tienduizenden dollars tot wel $1 miljoen dollar per overtreding,12 en bestaat het risico dat werknemers in bepaalde situaties mogelijk zelfs gevangenisstraffen krijgen. De voordelen van een gecertificeerde, procesgeoriënteerde verwijderingsoplossing Hoewel dataverwijdering organisaties op weg helpt bij het van de hand doen van digitale systemen, verdient het aanbeveling te werken met oplossingen die nationale en internationale goedkeuringen, certificeringen en aanbevelingen van derden hebben. Gecertificeerde software biedt constante, betrouwbare resultaten en een heldere audittrail via rapportage. Ondernemingen, regeringen en andere eenheden ervaren hierdoor gemoedsrust en vertrouwen. De internationaal erkende Common Criteria-certificering toont bijvoorbeeld aan dat dataverwijderingssoftware een zorgvuldig en onafhankelijk testproces heeft doorstaan, waaruit is gebleken dat het in staat is om data voorgoed te verwijderen van harde schijven en andere opslagapparaten. Het toont ook aan dat de software voldoet aan de richtlijnen van de International Standards Organization (ISO-IEC 15408). Door gebruik te maken van een procesgeoriënteerde, centraal beheerde en geautomatiseerde dataverwijderingsoplossing kan de productiviteit en de efficiëntie worden verbeterd. Door gebruik te maken van een procesgeoriënteerde, centraal beheerde en geautomatiseerde dataverwijderingsoplossing kan de productiviteit en de efficiëntie worden verbeterd. Een dergelijk proces beperkt de kans op menselijke fouten door gecentraliseerd toezicht en auditing, minimale handmatige invoer van gegevens, automatische invulling van hardware- en verwijderingsrapportgegevens en een netwerkgebaseerde levering van rapporten waardoor auditingprocessen kunnen worden verbeterd en organisaties kunnen voldoen aan wettelijke bepalingen. Naast dataverwijdering en rapportage kan dit proces een uitgebreide serie hardware-testen uitvoeren, automatisch of handmatig, en zo informatie verstrekken die van belang is bij hergebruik en doorverkoop van IT-middelen. In vergelijking met reguliere verwijderingsmethoden of minder geavanceerde en solide verwijderingstools is het met een dergelijke dataverwijderingsoplossing ook mogelijk meer apparaten in minder tijd op te schonen. De oplossing kan worden aangepast aan de specifieke behoeften en de hardware- of netwerkomgeving van een organisatie. 11

12 HARDWARE BESTURINGS- SYSTEEM VIRUS EN FIREWALL BEHEER Kosten dataverwijdering PROCESBEHEER Uitgebreid en gecentraliseerd online beheer van geautomatiseerde dataverwijdering is van toepassing op elke fase van het proces, vanaf het opstarten van de computer tot het verzenden van het rapport naar de database, en ten slotte de afronding met een certificaat van voltooiing en het afsluiten van de computer. Een intuïtieve beheerconsole biedt ook verwijderingsbeheer op afstand, inclusief controle op de voortgangsstatus, volledige automatisering (en dus minimale gebruikersinspanning) en uitgebreide verwijderingsrapporten en statistieken. Door deze functies is er sprake van een verhoging van de productiviteit van 25 tot 30 procent in vergelijking met andere methoden. Met een geavanceerd verwijderingsproces kan IT-personeel bijvoorbeeld gelijktijdig data verwijderen op meer dan 200 harde schijven per server. Ook kan men op afstand de verwijdering beheren van verschillende soorten IT-middelen tegelijkertijd. De efficiëntie die wordt bewerkstelligd door het dataverwijderingsproces te centraliseren en te automatiseren zorgt ervoor dat de uiteindelijke investeringskosten voor dergelijke software laag uitvallen. Als u de risico s en de potentiële boetes als gevolg van inbreuk op de gegevensbeveiliging in overweging neemt zijn de kosten van een beheerd dataverwijderingsproces minimaal in vergelijking met de totale kosten van ITmiddelen, waaronder de kosten voor hardware, software, firewall en antivirussoftware. Een naadloze integratie van een dataverwijderingsoplossing met de bestaande IT-infrastructuur is ook van cruciaal belang vanuit een operationeel en economisch standpunt. Dit impliceert de mogelijkheid om samen te werken met andere software voor het beheer van IT-middelen en ERP-pakketten, het op eenvoudige wijze importeren en exporteren van data en gebruikmaking van webservice-interfaces. 12

13 Conclusie De explosieve toename van databeveiligings- en privacyvoorschiften, het voortdurende risico op het uitlekken van gegevens en de hoge kosten die gemoeid zijn met inbreuk op de gegevensbeveiliging, laten er geen twijfel over bestaan dat er diverse maatregelen moeten worden genomen om er zeker van te kunnen zijn dat gevoelige informatie volledig en op veilige wijze wordt verwijderd. In veel gevallen is inbreuk op de gegevensbeveiliging niet het resultaat van hackers of andere illegale activiteiten. Onderzoeken tonen aan dat dit in 10% van de gevallen veroorzaakt wordt door het op onjuiste wijze van de hand doen van IT-middelen12. Omdat de IT-middelen van een organisatie in de toekomst steeds grotere hoeveelheden vertrouwelijke gegevens bevatten is het beschermen van gegevens door uitgebreide verwijdering een noodzaak. Data moeten volledig worden vernietigd voordat IT-middelen van de hand worden gedaan of worden gerecycled, hergebruikt of weggegeven. Daarnaast worden ondernemingen in veel gevallen verplicht, door het toenemende aantal wettelijke voorschriften, richtlijnen en branchevoorschriften, ervoor te zorgen dat gevoelige informatie op veilige wijze wordt verwijderd. Het niet naleven van deze voorschriften en richtlijnen kan resulteren in strafrechterlijke vervolging. Een geavanceerde en gecentraliseerde dataverwijderingsoplossing biedt gebruikers een snelle, geautomatiseerde en veilige manier om zowel tijd als geld te besparen en garandeert tegelijkertijd de beveiliging van gevoelige informatie. Dataverwijdering biedt een op software gebaseerde benadering voor het overschrijven en vernietigen van alle elektronische informatie op harde schijven of andere vormen van digitale media. Tijdens dit proces kan de harde schijf gewoon worden gebruikt. Geavanceerde verwijderingstools kunnen zelfs gericht specifieke vertrouwelijke gegevens aanpakken terwijl systemen operationeel zijn. Dataverwijderingssoftware is daarom niet zomaar een aankoopbeslissing aan het einde van de levenscyclus, maar een beslissing die moet worden genomen bij aanvang van het gebruik van het apparaat. Uiteindelijk biedt een geavanceerde en gecentraliseerde dataverwijderingsoplossing gebrui-kers een snelle, geautomatiseerde en veilige manier om zowel tijd als geld te besparen en garandeert zij tegelijkertijd de beveiliging van gevoelige informatie. Met geautomatiseerde dataverwijderingsfuncties hebben IT-afdelingen de allersnelste en meest optimaal aanpasbare benadering, met een verbeterd verwijderings-, rapportage- en auditingproces. 13

14 Referenties 1 KPMG International, Data Loss Barometer Insights into Lost and Stolen Information in 2010, Issue 3, Kessler International, Is Your Confidential Information Being Sold on ebay?, February 2009, 3 IDC, sponsored by EMC Corporation, Extracting Value from Chaos, June 2011, 4 Obama Administration, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, February 2012, default/files/privacy-final.pdf 5 European Commission, January 2012, 6 MaaSters Blog, Enterprise Mobility Update: 350 Million BYOD Smartphones by 2014, August 2012, enterprise-mobility-350-million-byodsmartphones-2014/ 7 Juniper Research, August 2012, 8 Government Technology, 4.2 Million Cell Phone Users Leave Sensitive Data Unprotected, March 2009, 9 ENISA, Smartphones: Information Security Risks, Opportunities and Recommendations for Users, December 2010, top-ten-risks/top-ten-smartphone-risks 10 ABI Research, Recycled Handset Shipments to Exceed 100 Million Units in 2012, December 2007, Units+in Dark Reading, $1.5M Fine Marks A New Era In HITECH Enforcement, March 2012, 1-5m-fine-marks-a-new-era-in-hitech-enforcement.html Copyright 2012 Blancco Oy Ltd. Alle rechten voorbehouden.de informatie die in dit document is opgenomen vertegenwoordigt de huidige zienswijze van Blancco Oy Ltd met betrekking tot de besproken onderwerpen op het moment van publicatie. Vanwege veranderende marktomstandigheden kan Blancco de juistheid van informatie die na de publicatiedatum wordt gepresenteerd niet garanderen. Dit witboek dient uitsluitend ter informatie. Blancco geeft geen expliciete of impliciete garanties in dit document. De gebruiker is zelf verantwoordelijk voor naleving van alle van toepassing zijnde wetten op auteursrecht. Zonder dat hierbij de inhoud van de wetten op auteursrecht wordt beperkt, mag geen enkel onderdeel van dit document worden gereproduceerd, opgeslagen of worden geïntroduceerd in een archiveringssysteem, en in geen enkele vorm en op geen enkele wijze worden overgedragen (elektronisch, mechanisch, via kopieën, opnamen of anderszins), voor welke doelstelling dan ook, zonder expliciete schriftelijke toestemming van Blancco. 14

15 ,