Datahautausmaa: tietoturvajohtajan opas vaatimusten mukaiseen ja todennettavaan tietojen hävittämiseen
Maria, nopeasti kasvavan fintech-yhtiön tietoturvajohtaja, tunsi tutun puristuksen vatsassaan. Ulkoiseen GDPR-auditointiin oli kuusi viikkoa, ja rutiininomainen omaisuusluettelon tarkastus oli juuri nostanut esiin haamun yhtiön menneisyydestä: vanhan toimistorakennuksen lukitun varastohuoneen, joka oli täynnä käytöstä poistettuja palvelimia, pölyisiä varmuuskopiointinauhoja ja pinoja entisten työntekijöiden kannettavia. “Datahautausmaa”, kuten hänen tiiminsä sitä synkästi kutsui, ei ollut enää unohdettu ongelma. Se oli tikittävä vaatimustenmukaisuuspommi.
Mitä arkaluonteisia asiakastietoja, immateriaalioikeuksia tai henkilötietoja näillä levyillä oli? Oliko mitään niistä puhdistettu asianmukaisesti? Oliko olemassa edes tallenteita, joilla tämä voitaisiin osoittaa? Vastausten puuttuminen oli todellinen uhka. Tietoturvallisuuden maailmassa se, mitä et tiedä, voi vahingoittaa — ja usein vahingoittaakin.
Tämä tilanne ei ole ainutlaatuinen Marialle. Lukemattomille tietoturvajohtajille, vaatimustenmukaisuuspäälliköille ja yritysten omistajille vanhentunut data muodostaa merkittävän, määrällisesti arvioimattoman riskin. Se on hiljainen vastuuriski, joka kasvattaa hyökkäyspintaa, vaikeuttaa rekisteröityjen pyyntöjen käsittelyä ja luo auditoijille miinakentän. Peruskysymys on yksinkertainen mutta käytännössä vaativa: mitä tulisi tehdä arkaluonteisille tiedoille, joita ei enää tarvita? Vastaus ei ole pelkkä “poista”-painikkeen painaminen. Kyse on puolustettavan, toistettavan ja todennettavissa olevan prosessin rakentamisesta tiedon elinkaaren hallintaan aina luomisesta turvalliseen tuhoamiseen.
Tietojen hamstraamisen korkeat panokset
Tietojen säilyttäminen ikuisesti varmuuden vuoksi on jäänne menneeltä ajalta. Nykyisin se on osoitetusti vaarallinen strategia. Arkaluonteiset tiedot, jotka jäävät organisaatioon niiden hyödyllisen tai vaaditun elinkaaren jälkeen, altistavat organisaation monille uhille: vaatimustenmukaisuusseuraamuksille, tietosuojaloukkauksille, tahattomille vuodoille ja jopa kiristyshaittaohjelmiin perustuvalle kiristykselle.
Tietojen säilyttäminen säilytysajan jälkeen luo useita kriittisiä riskejä:
- Vaatimustenmukaisuuden pettäminen: Sääntelyviranomaiset puuttuvat yhä tiukemmin tarpeettomaan tietojen säilyttämiseen. Datahautausmaa rikkoo suoraan tietosuojaperiaatteita ja voi johtaa merkittäviin sakkoihin.
- Tietomurron vaikutusten kasvu: Jos tietomurto tapahtuu, jokainen hallussasi oleva vanhentunut dataerä muuttuu vastuuriskiksi. Viiden vuoden vanhojen asiakastietojen luvaton ulosvienti on moninkertaisesti vahingollisempaa kuin yhden vuoden tietojen luvaton ulosvienti.
- Operatiivinen tehottomuus: Merkityksettömien tietomassojen hallinta, suojaaminen ja läpikäynti kuluttaa resursseja, hidastaa järjestelmiä ja tekee GDPR:n mukaisten poistopyyntöjen, eli “oikeus tulla unohdetuksi” -pyyntöjen, täyttämisestä lähes mahdotonta.
Monet organisaatiot uskovat virheellisesti, että “poista”-toiminnon käyttäminen tai tietokantamerkinnän poistaminen saa tiedot katoamaan. Näin tapahtuu harvoin; jäännöstietoja jää fyysisiin, virtuaalisiin ja pilviympäristöihin.
Sääntelyvaatimukset: “säilytä ikuisesti” -ajattelun loppu
Säännöt ovat muuttuneet. Globaalien säädösten lähentyminen edellyttää nimenomaisesti, että henkilötietoja ja arkaluonteisia tietoja säilytetään vain niin kauan kuin on tarpeen ja että ne poistetaan turvallisesti säilytysajan päättyessä. Tämä ei ole suositus vaan lakisääteinen ja operatiivinen velvoite.
Clarysecin Zenith Blueprint: An Auditor’s 30-Step Roadmap tiivistää turvallisen tietojen hävittämisen sääntelyrajat ylittävän vaatimuksen:
✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Edellyttää, että henkilötietoja ei säilytetä pidempään kuin on tarpeen, tukee oikeutta tietojen poistamiseen (“oikeus tulla unohdetuksi”) ja velvoittaa turvalliseen poistamiseen, kun tietoja ei enää tarvita.
✓ NIS2 Article 21(2)(a, d): Edellyttää riskiperusteisiä teknisiä ja organisatorisia toimenpiteitä sen varmistamiseksi, että tiedot poistetaan turvallisesti, kun niitä ei enää tarvita.
✓ DORA Article 9(2)(a–c): Edellyttää arkaluonteisten tietojen suojaamista koko niiden elinkaaren ajan, mukaan lukien turvallinen tuhoaminen.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Käsittelee turvallista tietojen poistamista, tallennusvälineiden tuhoamista ja tietovarojen käytöstäpoistoa elinkaaren lopussa.
✓ ITAF 4th Edition – Domain 2.1.6: Edellyttää näyttöä turvallisesta tietojen tuhoamisesta ja hävittämisestä lakisääteisten ja sääntelyyn perustuvien velvoitteiden mukaisesti.
Tämä tarkoittaa, että organisaatiolla on oltava dokumentoidut, käyttöönotetut ja auditoitavissa olevat prosessit tietojen poistamiseen. Tämä ei koske vain paperisia tallenteita tai kiintolevyjä, vaan koko digitaalista ympäristöä, mukaan lukien pilvitallennuspalvelut, varmuuskopiot, sovellusdata ja kolmannen osapuolen toimittajat.
Kaaoksesta hallintaan: politiikkaohjatun hävitysohjelman rakentaminen
Ensimmäinen askel datahautausmaan muodostaman pommin purkamisessa on selkeän ja toimivaltaisen viitekehyksen määrittäminen. Vahva hävitysohjelma ei ala silppureista ja degaussereista, vaan hyvin määritellystä politiikasta. Tämä asiakirja toimii koko organisaation yhteisenä totuuden lähteenä ja sovittaa liiketoiminnan, lakiasiat ja IT:n yhteen siinä, miten tietoja hallitaan ja tuhotaan.
Clarysecin Tietojen säilytys- ja hävityspolitiikka tarjoaa tähän mallin. Yksi sen keskeisistä tavoitteista on määritelty selkeästi politiikan kohdassa 3.1:
“Varmistaa, että tietoja säilytetään vain niin kauan kuin se on lakisääteisesti, sopimusperusteisesti tai operatiivisesti tarpeen, ja että tiedot hävitetään turvallisesti, kun niitä ei enää tarvita.”
Tämä yksinkertainen lausuma muuttaa organisaation ajattelun muodosta “säilytä kaikki” muotoon “säilytä se, mikä on tarpeen”. Politiikka määrittää muodollisen prosessin ja varmistaa, että päätökset eivät ole mielivaltaisia vaan perustuvat konkreettisiin velvoitteisiin. Kuten Tietojen säilytys- ja hävityspolitiikan kohta 1.2 korostaa, politiikka tukee ISO/IEC 27001:2022 -toteutusta ohjaamalla tietojen säilytysaikoja ja varmistamalla valmiuden auditointeihin ja viranomaistarkastuksiin.
Pienemmille organisaatioille raskas yritystason politiikka voi olla ylimitoitettu. Tietojen säilytys- ja hävityspolitiikka - pk-yritys tarjoaa kevyemmän vaihtoehdon, joka keskittyy olennaiseen, kuten politiikan kohdassa 1.1 todetaan:
“Tämän politiikan tarkoituksena on määrittää toimeenpantavat säännöt tietojen säilyttämiselle ja turvalliselle hävittämiselle pk-yritysympäristössä. Se varmistaa, että tallenteita säilytetään vain lain, sopimusvelvoitteen tai liiketoimintatarpeen edellyttämän ajan ja että ne tuhotaan tämän jälkeen turvallisesti.”
Olipa kyse suuryrityksestä tai pk-yrityksestä, politiikka on kulmakivi. Se antaa toimivallan toimia ja viitekehyksen, jolla varmistetaan toimien johdonmukaisuus, puolustettavuus ja yhdenmukaisuus tietoturvan parhaiden käytäntöjen kanssa.
Suunnitelman toteuttaminen: ISO/IEC 27001:2022 -hallintakeinot käytännössä
Kun politiikka on olemassa, Maria voi muuntaa sen periaatteet konkreettisiksi toimiksi ISO/IEC 27001:2022 -standardin hallintakeinojen ohjaamana. Kaksi hallintakeinoa on tässä erityisen keskeistä:
- Hallintakeino 8.10 Tietojen poistaminen: Tämä edellyttää, että “tietojärjestelmiin, laitteisiin tai muihin tallennusvälineisiin tallennetut tiedot poistetaan, kun niitä ei enää tarvita”.
- Hallintakeino 7.14 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö: Tämä keskittyy fyysiseen laitteistoon ja varmistaa, että tallennusvälineet puhdistetaan asianmukaisesti ennen laitteiden hävittämistä, uudelleenkäyttöä tai myyntiä.
Mutta mitä “turvallisesti poistettu” käytännössä tarkoittaa? Tässä auditoijat erottavat todellisen toteutuksen näennäisestä. Zenith Blueprintin mukaan todellinen poistaminen on paljon enemmän kuin tiedoston siirtäminen roskakoriin. Se edellyttää menetelmiä, jotka tekevät tiedoista palautuskelvottomia:
Digitaalisissa järjestelmissä poistamisen tulee tarkoittaa turvallista puhdistusta, ei pelkkää “delete”-painikkeen painamista tai roskakorin tyhjentämistä. Todellinen poistaminen sisältää:
✓ tietojen ylikirjoittamisen (esimerkiksi DoD 5220.22-M- tai NIST 800-88 -menetelmillä),
✓ kryptografisen poiston (esimerkiksi tietojen suojaamiseen käytettyjen salausavainten tuhoamisen),
✓ tai turvallisten pyyhintätyökalujen käyttämisen ennen laitteiden käytöstäpoistoa.
Fyysisten tallenteiden osalta Zenith Blueprint suosittelee ristikkäisleikkaavaa silppurointia, polttamista tai sertifioitujen hävityspalvelujen käyttöä. Tämä käytännön ohjeistus auttaa organisaatioita siirtymään politiikasta menettelyihin ja määrittämään täsmälliset tekniset vaiheet, joita hallintakeinon tavoitteen saavuttaminen edellyttää.
Kokonaiskuva: hävittämisen toisiinsa kytkeytyvä tietoturvaverkosto
Datahautausmaan käsittely ei ole yksittäinen tehtävä. Vaikuttava tietojen hävittäminen kytkeytyy syvästi muihin tietoturvan osa-alueisiin. Tässä kokonaiskuva, jonka Clarysecin Zenith Controls: The Cross-Compliance Guide tarjoaa, on välttämätön. Se toimii kompassina ja osoittaa, miten yksi hallintakeino nojaa moniin muihin toimiakseen tehokkaasti.
Tarkastellaan hallintakeinoa 7.14 (laitteiden turvallinen hävittäminen tai uudelleenkäyttö) tästä näkökulmasta. Zenith Controls -opas osoittaa, ettei kyse ole erillisestä toiminnosta. Sen onnistuminen riippuu siihen liittyvien hallintakeinojen verkostosta:
- 5.9 Omaisuusluettelo: Et voi hävittää turvallisesti sellaista, minkä olemassaoloa et tunne. Marian ensimmäisen tehtävän tulee olla inventoida jokainen palvelin, kannettava ja nauha kyseisessä varastohuoneessa. Tarkka omaisuusluettelo on perusta.
- 5.12 Tiedon luokittelu: Hävitysmenetelmä riippuu tietojen arkaluonteisuudesta. Organisaation on tiedettävä, mitä se tuhoaa, jotta se voi valita asianmukaisen puhdistustason.
- 5.34 Yksityisyys ja henkilötietojen suoja: Laitteet sisältävät usein henkilötietoja. Hävitysprosessin on varmistettava, että kaikki henkilötiedot tuhotaan peruuttamattomasti, mikä kytkeytyy suoraan GDPR:n kaltaisten säädösten tietosuojavelvoitteisiin.
- 8.10 Tietojen poistaminen: Tämä hallintakeino määrittää, mitä tehdään (poistetaan tiedot, kun niitä ei enää tarvita), kun taas 7.14 määrittää, miten tämä tehdään taustalla oleville fyysisille tallennusvälineille. Ne ovat saman kolikon kaksi puolta.
- 5.37 Dokumentoidut käyttömenettelyt: Turvallisen hävittämisen tulee noudattaa määriteltyä ja toistettavaa prosessia, jotta johdonmukaisuus varmistetaan ja auditointijälki syntyy. Ad hoc -hävitykset ovat auditoijalle selkeä varoitusmerkki.
Tämä keskinäinen riippuvuus osoittaa, että kypsä tietoturvaohjelma ei käsittele tietojen hävittämistä siivoustehtävänä vaan tietoturvallisuuden hallintajärjestelmän (ISMS) integroituna osana.
Tekninen syventäminen: tallennusvälineiden puhdistaminen ja tukevat standardit
Näiden hallintakeinojen tehokas toteutus edellyttää tallennusvälineiden puhdistamisen eri tasojen ymmärtämistä NIST SP 800-88:n kaltaisten viitekehysten mukaisesti. Menetelmät tarjoavat kerroksellisen lähestymistavan, jolla varmistetaan tietojen palautuskelvottomuus niiden arkaluonteisuuden mukaisesti.
| Puhdistusmenetelmä | Kuvaus | Käyttötapausesimerkki |
|---|---|---|
| Clear | Tietojen ylikirjoittaminen ei-arkaluonteisilla tiedoilla käyttäen tavanomaisia luku- ja kirjoituskomentoja. Suojaa yksinkertaisilta tietojen palautusmenetelmiltä. | Kannettavan uudelleenkäyttö toiselle työntekijälle samassa turvallisessa ympäristössä. |
| Purge | Edistyneet tekniikat, kuten degaussaus magneettisille tallennusvälineille tai kryptografinen poisto. Kestää laboratorio-olosuhteissa tehtäviä palautushyökkäyksiä. | Arkaluonteista mutta ei huippusalaiseksi luokiteltua talousdataa sisältäneen palvelimen käytöstäpoisto. |
| Destroy | Tallennusvälineen fyysinen tuhoaminen, kuten silppurointi, polttaminen tai murskaaminen. Tietojen palauttaminen on mahdotonta. | Kiintolevyjen hävittäminen, kun ne sisältävät erittäin luottamuksellisia immateriaalioikeuksia tai henkilötietoja. |
Oikean menetelmän valinta riippuu tietojen luokituksesta. Erikoistuneiden standardien ohjeistus on tässä ratkaisevan arvokasta. Vahva ohjelma hyödyntää laajaa joukkoa tukevia viitekehyksiä, ei pelkästään ISO/IEC 27001:2022 -standardia.
| Standardi | Keskeinen merkitys |
|---|---|
| ISO/IEC 27005:2022 | Sisällyttää poistamisen riskien käsittelyn vaihtoehdoksi ja tunnistaa turvattoman hävittämisen korkean vaikutuksen riskiksi. |
| ISO/IEC 27701:2019 | Edellyttää erityisiä hallintakeinoja henkilötietojen poistamiseen laitteita uudelleenkäytettäessä tai hävitettäessä. |
| ISO/IEC 27018:2019 | Velvoittaa pilvipohjaisten henkilötietojen turvalliseen puhdistamiseen ennen kuin niitä sisältävä omaisuuserä hävitetään. |
| ISO/IEC 27017:2015 | Tarjoaa pilvikohtaista ohjeistusta ja varmistaa omaisuuserien puhdistamisen virtuaalisia tai fyysisiä resursseja päätettäessä. |
| NIST SP 800-88 | Tarjoaa yksityiskohtaiset tekniset ohjeet tallennusvälineiden puhdistamiseen ja määrittää Clear-, Purge- ja Destroy-tekniikat. |
Auditoija on tulossa: miten osoitat prosessin toimivan
Auditoinnin läpäiseminen ei tarkoita vain oikeiden asioiden tekemistä, vaan myös sen osoittamista, että ne on tehty. Marialle tämä merkitsee datahautausmaan jokaisen omaisuuserän hävitysprosessin vaiheen dokumentointia. Zenith Blueprint tarjoaa selkeän tarkistuslistan siitä, mitä auditoijat edellyttävät hallintakeinon 8.10 (tietojen poistaminen) osalta:
“Toimita tietojen poistamispolitiikka… Osoita tekninen soveltaminen liiketoimintajärjestelmiin määritettyjen säilytysasetusten avulla… Auditoijat voivat pyytää näyttöä turvallisista poistomenetelmistä: levyjen pyyhkimisestä hyväksytyillä työkaluilla… tai asiakirjojen turvallisesta hävittämisestä. Jos poistat tietoja sopimuksen päättyessä… esitä auditointijälki tai tiketti, joka vahvistaa tämän.”
Auditoijien vaatimusten täyttämiseksi jokaisesta hävitystapahtumasta tulee laatia kattava näyttöpaketti. Tietojen poistorekisteri on välttämätön.
Esimerkkitaulukko auditointijäljestä
| Omaisuuserän tunniste | Omaisuuserän tyyppi | Sijainti | Poistomenetelmä | Näyttö/loki | Hyväksyjä |
|---|---|---|---|---|---|
| SRV-FIN-04 | Palvelimen HDD | Paikallinen konesali | Degaussaus + fyysinen silppurointi | Hävitystodistus #DC44C8 | Tiedon omistaja |
| CUST-DB-BKP-112 | LTO-8-nauha | Iron Mountain | Poltettu (sertifioitu) | Hävitystodistus #IM7890 | IT-operaatiot |
| PROJ-X-DATA | AWS S3 -säilö | eu-west-1 | Elinkaaripolitiikka ‘DeleteObject’ | AWS-poistoloki #1192 | Pilvioperaatiot |
| HR-LAPTOP-213 | Kannettavan SSD | IT-varasto | Kryptografinen poisto | Pyyhintäloki #WL5543 | IT-tuki |
Auditoijat lähestyvät tätä eri näkökulmista. Zenith Controls -opas kuvaa, miten eri auditointiviitekehykset tarkastelevat prosessia:
| Auditointiviitekehys | Vaadittu näyttö | Lähestymistapa |
|---|---|---|
| ISO/IEC 19011:2018 | Käytäntöjen havainnointi, säilytyslokien ja hävitystodistusten katselmointi. | Haastattelut, asiakirjakatselmointi, otanta |
| ISACA ITAF | Riittävä ja luotettava näytön triangulaatio politiikoista, lokeista ja haastatteluista. | Triangulaatio |
| NIST SP 800-53A | Tallenteet, jotka osoittavat hyväksyttyjen puhdistusmenetelmien käytön NIST SP 800-88:n mukaisesti. | Tekninen testaus, tallenteiden tarkastus |
| COBIT 2019 | Näyttö hallinnollisesta valvonnasta, riskienhallinnan integraatiosta ja raportoinnista. | Hallinnointikatselmointi, prosessin läpikäynti |
Yleiset sudenkuopat ja niiden välttäminen
Vaikka politiikka olisi käytössä, monet organisaatiot kompastuvat toteutuksessa. Alla on yleisiä sudenkuoppia ja tapa, jolla jäsennelty lähestymistapa auttaa ratkaisemaan ne:
| Sudenkuoppa | Miten Clarysecin ohjaama lähestymistapa auttaa |
|---|---|
| Varjodata: Tiedot jäävät elämään unohtuneisiin varmuuskopioihin, arkistoihin tai varjo-IT:hen. | Käyttöönotettu säilytysrekisteri, joka on kytketty kattavaan omaisuusluetteloon, varmistaa, että kaikki kopiot tunnistetaan ja niitä seurataan hävittämistä varten. |
| Vain looginen poistaminen: Tiedot merkitään poistetuiksi, mutta ne ovat edelleen palautettavissa. | Politiikka velvoittaa käyttämään turvallisia puhdistusmenetelmiä, kuten ylikirjoitusta, kryptografista poistoa ja fyysistä tuhoamista, tietojen luokituksen perusteella. |
| Pilvipalveluntarjoajaan liittyvä epäselvyys: Turvallisen poistamisen prosessit SaaS-/IaaS-ympäristöissä ovat epäselviä. | Toimittajasopimukset päivitetään edellyttämään poistamisen sertifiointia tai todennettavaa lokivahvistusta palvelun päättyessä. |
| Manuaaliset ja virhealttiit prosessit: Luotetaan siihen, että yksittäiset henkilöt muistavat poistaa tiedot. | Automatisoi aina kun mahdollista järjestelmien elinkaaripolitiikoilla, esimerkiksi M365:ssä ja AWS S3:ssa. Edellytä dokumentoitua näyttöä kaikista manuaalisista poistoista. |
| Ei näyttöä hävittämisestä: Auditoijien ja viranomaisten edellyttämiä auditoitavissa olevia tallenteita ei ole. | Keskitetty tietojen poistorekisteri ja kaikkien kolmansien osapuolten hävitystodistusten säilyttäminen luovat puolustettavan auditointijäljen. |
Yhteenveto: muuta datahautausmaa strategiseksi eduksi
Kuusi viikkoa myöhemmin Maria esitteli GDPR-auditoijalle tiiminsä työn. Varastohuone oli tyhjä. Sen tilalla oli digitaalinen arkisto, joka sisälsi huolellisen tallenteen jokaisesta käytöstä poistetusta omaisuuserästä: inventointilokit, tietojen luokitteluraportit, puhdistusmenettelyt ja allekirjoitetut hävitystodistukset. Se, mikä oli aiemmin ahdistuksen lähde, oli nyt esimerkki kypsästä riskienhallinnasta.
Datahautausmaa on reaktiivisen tietoturvakulttuurin oire. Sen muuttaminen edellyttää ennakoivaa, politiikkaohjattua lähestymistapaa. Se vaatii, että tietojen hävittämistä ei nähdä IT:n siivoustehtävänä vaan strategisena tietoturvatoimintona, joka vähentää riskiä, varmistaa vaatimustenmukaisuuden ja osoittaa sitoutumisen arkaluonteisten tietojen suojaamiseen.
Oletko valmis käsittelemään oman datahautausmaasi? Aloita rakentamalla perusta näyttöön perustuvalle ja häiriönsietokykyiselle tiedon elinkaaren hallinnalle.
Käytännön seuraavat vaiheet:
- Luo perusta: Ota käyttöön selkeä ja toimeenpantava politiikka Clarysecin mallipohjien avulla, kuten Tietojen säilytys- ja hävityspolitiikka tai Tietojen säilytys- ja hävityspolitiikka - pk-yritys.
- Kartoita kokonaisuus: Luo ja ylläpidä kattavaa luetteloa kaikista tietovaroista. Et voi hävittää sellaista, minkä olemassaoloa et tunne.
- Määritä ja sovella säilytysajat: Laadi muodollinen säilytysaikataulu, joka kytkee jokaisen tietotyypin lakisääteiseen, sopimusperusteiseen tai liiketoiminnalliseen vaatimukseen, ja automatisoi sen soveltaminen.
- Vie turvallinen hävittäminen operatiiviseen toimintaan: Integroi turvallisen poistamisen ja puhdistamisen menettelyt IT-omaisuuden käytöstäpoiston vakiomenettelyihin.
- Dokumentoi kaikki: Luo ja ylläpidä auditointia kestävä jälki jokaisesta hävitystoimesta, mukaan lukien lokit, tiketit ja kolmansien osapuolten todistukset.
- Laajenna toimitusketjuun: Varmista, että pilvipalveluntarjoajien ja muiden toimittajien kanssa tehdyt sopimukset sisältävät tiukat vaatimukset turvalliselle tietojen hävittämiselle ja edellyttävät näyttöä vaatimustenmukaisuudesta.
Jokainen tarpeeton tavu dataa on riski. Ota hallinta takaisin, vahvista vaatimustenmukaisuutta, sujuvoita auditointeja ja vähennä tietomurtoaltistusta.
Ota meihin yhteyttä esittelyä varten tai tutustu koko Zenith Blueprint- ja Zenith Controls -kirjastoon aloittaaksesi matkasi.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
