Datakirkegården: CISO'ens guide til compliant og revisionsbar databortskaffelse

Maria, CISO i en hurtigt voksende fintech-virksomhed, mærkede den velkendte knude i maven stramme sig. Den eksterne GDPR-revision lå seks uger fremme, og en rutinemæssig kontrol af aktivfortegnelsen havde netop afdækket et spøgelse fra virksomhedens fortid: et aflåst depotrum i den tidligere kontorbygning, fyldt med udfasede servere, støvede backupbånd og stakke af gamle medarbejderlaptops. “Datakirkegården”, som hendes team dystert kaldte den, var ikke længere et glemt problem. Den var en tikkende efterlevelsesbombe.

Hvilke følsomme kundedata, hvilken immateriel ejendom eller hvilke personhenførbare oplysninger (PII) lå gemt på de drev? Var noget af det blevet saneret korrekt? Fandtes der overhovedet registreringer, der kunne dokumentere det? Manglen på svar var den reelle trussel. I informationssikkerhed kan det, du ikke ved, skade dig — og det gør det ofte.

Dette scenarie er ikke unikt for Maria. For utallige CISO’er, complianceansvarlige og virksomhedsejere udgør ældre data en massiv og ikke-kvantificeret risiko. Det er en tavs forpligtelse, der øger angrebsfladen, komplicerer anmodninger fra registrerede og skaber et minefelt for revisorer. Kernespørgsmålet er enkelt, men vanskeligt i praksis: Hvad skal I gøre med følsomme data, I ikke længere har brug for? Svaret er ikke blot at trykke på “slet”. Det handler om at etablere en forsvarlig, gentagelig og revisionsbar proces for styring af informationens livscyklus — fra oprettelse til sikker destruktion.

De høje risici ved at hamstre data

At opbevare data for evigt “for en sikkerheds skyld” hører en svunden tid til. I dag er det en dokumenterbart farlig strategi. Følsomme data, der bliver liggende ud over deres nyttige eller krævede levetid, udsætter organisationen for en række trusler — fra bøder for manglende efterlevelse og brud på privatlivsregler til utilsigtede datalæk og endda ransomware-afpresning.

At beholde data efter udløbet af deres opbevaringsperiode skaber flere kritiske risici:

• Manglende efterlevelse: Tilsynsmyndigheder skærper håndhævelsen over for unødvendig dataopbevaring. En datakirkegård er en direkte overtrædelse af databeskyttelsesprincipper og kan føre til betydelige bøder.
• Øget konsekvens ved brud: Hvis der sker et brud, bliver hvert stykke ældre data, I opbevarer, en risiko. En angriber, der eksfiltrerer fem år gamle kundedata, gør eksponentielt større skade end ved eksfiltrering af ét års data.
• Driftsmæssig ineffektivitet: Håndtering, sikring og søgning i store mængder irrelevante data dræner ressourcer, gør systemer langsommere og gør det næsten umuligt at håndtere anmodninger om “retten til sletning” efter GDPR.

Mange organisationer tror fejlagtigt, at data forsvinder, når man trykker på ‘slet’ eller fjerner en databasepost. Det sker sjældent. I stedet efterlades datarester på tværs af fysiske, virtuelle og cloudbaserede miljøer.

Regulatoriske krav: slut med “gem det for evigt”

Reglerne har ændret sig. En række globale reguleringer kræver udtrykkeligt, at personoplysninger og følsomme oplysninger kun opbevares, så længe det er nødvendigt, og slettes sikkert, når perioden udløber. Dette er ikke en anbefaling; det er et juridisk og driftsmæssigt krav.

Clarysecs Zenith Blueprint: en revisors 30-trins køreplan opsummerer det tværregulatoriske krav om sikker databortskaffelse:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Kræver, at personoplysninger ikke opbevares længere end nødvendigt, understøtter retten til sletning (“retten til at blive glemt”) og kræver sikker sletning, når oplysningerne ikke længere er nødvendige.
✓ NIS2 Article 21(2)(a, d): Kræver risikobaserede tekniske og organisatoriske foranstaltninger for at sikre, at data slettes sikkert, når de ikke længere er nødvendige.
✓ DORA Article 9(2)(a–c): Kræver beskyttelse af følsomme oplysninger gennem hele deres livscyklus, herunder sikker destruktion.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Omhandler sikker sletning af data, destruktion af medier og fjernelse af informationsaktiver ved levetidsophør.
✓ ITAF 4th Edition – Domain 2.1.6: Kræver bevismateriale for sikker destruktion og bortskaffelse af data i overensstemmelse med juridiske og regulatoriske forpligtelser.

Det betyder, at organisationen skal have dokumenterede, håndhævede og revisionsbare processer for datasletning. Det gælder ikke kun papirarkiver eller harddiske, men alle dele af det digitale miljø, herunder cloudlagring, backups, applikationsdata og tredjepartsleverandører.

Fra kaos til kontrol: etablering af et politikstyret bortskaffelsesprogram

Det første skridt i at afmontere datakirkegårdens bombe er at etablere en klar og autoritativ ramme. Et robust bortskaffelsesprogram begynder ikke med makulatorer og afmagnetiseringsudstyr, men med en veldefineret politik. Dette dokument fungerer som én fælles sandhedskilde for hele organisationen og afstemmer forretning, jura og IT om, hvordan data håndteres og destrueres.

Clarysecs politik for dataopbevaring og bortskaffelse giver en skabelon for dette. Et af de centrale mål fremgår klart af politikklausul 3.1:

“At sikre, at data kun opbevares, så længe det er juridisk, kontraktligt eller driftsmæssigt nødvendigt, og bortskaffes sikkert, når de ikke længere er nødvendige.”

Denne enkle formulering ændrer organisationens tilgang fra “gem alt” til “gem det, der er nødvendigt”. Politikken fastlægger en formel proces og sikrer, at beslutninger ikke træffes vilkårligt, men knyttes til konkrete forpligtelser. Som politikklausul 1.2 i politik for dataopbevaring og bortskaffelse fremhæver, er den udformet til at understøtte implementering af ISO/IEC 27001:2022 ved at håndhæve kontrol over dataopbevaringens varighed og sikre beredskab til revisioner og regulatoriske inspektioner.

For mindre organisationer kan en tung virksomhedspolitik være for omfattende. Politik for dataopbevaring og bortskaffelse - SMV tilbyder et mere strømlinet alternativ med fokus på det væsentlige, som angivet i politikklausul 1.1:

“Formålet med denne politik er at fastlægge håndhævelige regler for opbevaring og sikker bortskaffelse af information i et SMV-miljø. Den sikrer, at registreringer kun opbevares i den periode, der kræves ved lov, kontraktlig forpligtelse eller forretningsmæssigt behov, og derefter destrueres sikkert.”

Uanset om der er tale om en stor virksomhed eller en SMV, er politikken hjørnestenen. Den giver mandat til handling og rammen for at sikre, at handlingerne er ensartede, forsvarlige og afstemt med bedste praksis for sikkerhed.

Gennemførelse af planen: ISO/IEC 27001:2022-kontroller i praksis

Med en politik på plads kan Maria nu omsætte principperne til konkrete handlinger, styret af kontrollerne i ISO/IEC 27001:2022. To kontroller er afgørende her:

• Kontrol 8.10 Sletning af information: Denne kræver, at “information, der er lagret i informationssystemer, enheder eller andre lagringsmedier, slettes, når den ikke længere er nødvendig.”
• Kontrol 7.14 Sikker bortskaffelse eller genbrug af udstyr: Denne fokuserer på den fysiske hardware og sikrer, at lagringsmedier saneres korrekt, før udstyret bortskaffes, genbruges eller sælges.

Men hvad betyder “slettet sikkert” egentlig? Det er her, revisorer skelner mellem modne programmer og rene hensigtserklæringer. Ifølge Zenith Blueprint er reel sletning langt mere end at flytte en fil til papirkurven. Det omfatter metoder, der gør data ugendannelige:

For digitale systemer bør sletning betyde sikker sletning — ikke blot at trykke på ‘slet’ eller tømme papirkurven. Reel sletning omfatter:
✓ Overskrivning af data (f.eks. med DoD 5220.22-M- eller NIST 800-88-metoder),
✓ Kryptografisk sletning (f.eks. destruktion af krypteringsnøgler, der blev brugt til at beskytte data),
✓ Eller anvendelse af sikre sletteværktøjer før udfasning af enheder.

For fysiske registreringer anbefaler Zenith Blueprint tværskåret makulering, forbrænding eller brug af certificerede bortskaffelsestjenester. Denne praktiske vejledning hjælper organisationer med at gå fra politik til procedure ved at definere de konkrete tekniske trin, der kræves for at opfylde kontrollens formål.

Et helhedsbillede: det sammenhængende sikkerhedsnet omkring bortskaffelse

At håndtere datakirkegården er ikke en enkeltstående opgave. Effektiv databortskaffelse er tæt forbundet med andre sikkerhedsområder. Her bliver et helhedsbillede, som det Clarysecs Zenith Controls: guiden til tværgående efterlevelse giver, uundværligt. Den fungerer som et kompas og viser, hvordan én kontrol afhænger af mange andre for at fungere effektivt.

Lad os se på Kontrol 7.14 (Sikker bortskaffelse eller genbrug af udstyr) gennem denne optik. Zenith Controls-guiden viser, at den ikke er en isoleret aktivitet. Dens succes afhænger af et netværk af relaterede kontroller:

• 5.9 Fortegnelse over aktiver: I kan ikke bortskaffe noget sikkert, hvis I ikke ved, at I har det. Marias første skridt skal være at registrere hver server, laptop og hvert bånd i depotet. En nøjagtig aktivfortegnelse er fundamentet.
• 5.12 Klassificering af information: Bortskaffelsesmetoden afhænger af dataenes følsomhed. I skal vide, hvad I destruerer, for at vælge det rette saneringsniveau.
• 5.34 Privatliv og beskyttelse af PII: Udstyr indeholder ofte personoplysninger. Bortskaffelsesprocessen skal sikre, at alle PII destrueres irreversibelt, hvilket knytter processen direkte til privatlivsforpligtelser efter reguleringer som GDPR.
• 8.10 Sletning af information: Denne kontrol angiver “hvad” (slet information, når den ikke længere er nødvendig), mens 7.14 angiver “hvordan” for de underliggende fysiske medier. De er to sider af samme sag.
• 5.37 Dokumenterede driftsprocedurer: Sikker bortskaffelse skal følge en defineret og gentagelig proces for at sikre ensartethed og skabe et revisionsspor. Ad hoc-bortskaffelse er et advarselstegn for enhver revisor.

Denne indbyrdes sammenhæng viser, at et modent sikkerhedsprogram ikke behandler databortskaffelse som en oprydningsopgave, men som en integreret del af organisationens ledelsessystem for informationssikkerhed (ISMS).

Teknisk gennemgang: mediesanering og understøttende standarder

For at implementere disse kontroller effektivt er det afgørende at forstå de forskellige niveauer for mediesanering, som beskrevet i rammeværker som NIST SP 800-88. Metoderne giver en lagdelt tilgang, der sikrer, at data er ugendannelige på et niveau, der passer til deres følsomhed.

Valg af metode afhænger af dataenes klassificering. Vejledning fra specialiserede standarder er uvurderlig her. Et robust program trækker på et bredt sæt understøttende rammeværker ud over ISO/IEC 27001:2022.

Revisoren kommer: sådan dokumenterer du, at processen virker

At bestå en revision handler ikke kun om at gøre det rigtige; det handler om at dokumentere, at I gjorde det rigtige. For Maria betyder det, at hvert trin i bortskaffelsesprocessen for aktiverne på datakirkegården skal dokumenteres. Zenith Blueprint giver en klar tjekliste over, hvad revisorer vil kræve for Kontrol 8.10 (Sletning af information):

“Fremlæg jeres politik for sletning af information… Dokumentér teknisk håndhævelse gennem konfigurerede opbevaringsindstillinger i jeres forretningssystemer… De kan bede om bevismateriale for sikre sletningsmetoder: sletning af diske med godkendte værktøjer… eller sikker bortskaffelse af dokumenter. Hvis I sletter data ved kontraktudløb… skal I vise revisionssporet eller sagen, der bekræfter det.”

For at opfylde revisorers krav skal I oprette en samlet dokumentationspakke for hver bortskaffelseshændelse. Et register for datasletning er afgørende.

Eksempeltabel for revisionsspor

Revisorer vurderer dette fra forskellige perspektiver. Zenith Controls-guiden beskriver, hvordan forskellige revisionsrammer gransker processen:

Almindelige faldgruber og hvordan de undgås

Selv med en politik på plads fejler mange organisationer i gennemførelsen. Her er almindelige faldgruber, og hvordan en struktureret tilgang hjælper med at løse dem:

Konklusion: gør datakirkegården til en strategisk fordel

Seks uger senere gennemgik Maria teamets arbejde med GDPR-revisoren. Depotrummet var tomt. I stedet fandtes et digitalt arkiv med en detaljeret registrering for hvert udfaset aktiv: aktivlogfiler, dataklassificeringsrapporter, saneringsprocedurer og underskrevne destruktionscertifikater. Det, der tidligere var en kilde til bekymring, var nu et eksempel på moden risikostyring.

Datakirkegården er et symptom på en reaktiv sikkerhedskultur. At transformere den kræver en proaktiv, politikstyret tilgang. Det kræver, at vi ser databortskaffelse ikke som en IT-oprydningsopgave, men som en strategisk sikkerhedsfunktion, der reducerer risiko, sikrer efterlevelse og dokumenterer en forpligtelse til at beskytte følsomme oplysninger.

Er I klar til at tage fat på jeres egen datakirkegård? Start med at etablere fundamentet for en evidensbaseret og robust tilgang til styring af informationens livscyklus.

Handlingsrettede næste skridt:

1. Etablér fundamentet: Implementér en klar og håndhævelig politik ved hjælp af Clarysecs skabeloner, f.eks. politik for dataopbevaring og bortskaffelse eller politik for dataopbevaring og bortskaffelse - SMV.
2. Kortlæg jeres univers: Opret og vedligehold en samlet fortegnelse over alle informationsaktiver. I kan ikke bortskaffe noget, I ikke ved, at I har.
3. Definér og håndhæv opbevaring: Etablér en formel opbevaringsplan, der knytter hver datatype til et juridisk, kontraktligt eller forretningsmæssigt krav, og automatisér derefter håndhævelsen.
4. Gør sikker bortskaffelse operationel: Integrér procedurer for sikker sletning og mediesanering i jeres standarddriftsprocedurer for udfasning af IT-aktiver.
5. Dokumentér alt: Opret og vedligehold et revisionssikkert spor for hver bortskaffelseshandling, herunder logfiler, sager og tredjepartscertifikater.
6. Udvid til forsyningskæden: Sørg for, at jeres kontrakter med cloududbydere og andre leverandører indeholder strenge krav til sikker databortskaffelse, og kræv dokumentation for efterlevelse.

Hver byte unødvendige data er en risiko. Genindtag kontrollen, styrk jeres efterlevelse, strømlin revisioner og reducer eksponeringen ved brud.

Kontakt os for en demonstration, eller udforsk hele biblioteket med Zenith Blueprint og Zenith Controls for at komme i gang.