Groblje podataka: vodič za CISO-e za usklađeno i revizijski provjerljivo zbrinjavanje podataka

Maria, direktorica informacijske sigurnosti (CISO) u brzorastućem fintech društvu, osjetila je poznati grč u želucu. Vanjska GDPR revizija bila je udaljena šest tjedana, a rutinska provjera popisa imovine upravo je otkrila duh iz prošlosti društva: zaključanu prostoriju za pohranu u staroj poslovnoj zgradi, ispunjenu poslužiteljima stavljenima izvan uporabe, prašnjavim trakama sigurnosnih kopija i hrpama starih prijenosnih računala zaposlenika. “Groblje podataka”, kako ga je njezin tim sumorno nazivao, više nije bilo zaboravljen problem. Postalo je tempirana bomba usklađenosti.

Koji su osjetljivi podaci klijenata, intelektualno vlasništvo ili osobni podaci (PII) ostali na tim diskovima? Je li išta od toga bilo pravilno sanitizirano? Postoje li uopće zapisi koji to dokazuju? Nedostatak odgovora bio je stvarna prijetnja. U području informacijske sigurnosti ono što ne znate može vam, i često hoće, nanijeti štetu.

Ovaj scenarij nije jedinstven za Mariju. Za brojne CISO-e, rukovoditelje usklađenosti i vlasnike poslovnih procesa naslijeđeni podaci predstavljaju velik, nekvantificiran rizik. To je tihi teret koji povećava površinu napada, otežava ispunjavanje zahtjeva ispitanika i stvara minsko polje za revizore. Ključno pitanje jednostavno je, ali iznimno zahtjevno: što učiniti s osjetljivim podacima koji vam više nisu potrebni? Odgovor nije samo pritisnuti “Delete”. Potrebno je uspostaviti dokaziv, ponovljiv i revizijski provjerljiv proces upravljanja životnim ciklusom informacija, od nastanka do sigurnog uništenja.

Visoki ulozi gomilanja podataka

Čuvanje podataka zauvijek “za svaki slučaj” ostatak je prošlog vremena. Danas je to dokazivo opasna strategija. Osjetljivi podaci koji ostaju izvan svojeg korisnog ili propisanog životnog vijeka izlažu organizaciju nizu prijetnji, od kazni zbog neusklađenosti i povreda privatnosti do slučajnog curenja podataka, pa čak i ransomware iznude.

Zadržavanje podataka nakon isteka roka zadržavanja stvara nekoliko kritičnih rizika:

• Neusklađenost: Regulatori sve strože postupaju prema nepotrebnom zadržavanju podataka. Groblje podataka izravno krši načela privatnosti i može dovesti do značajnih novčanih kazni.
• Veći učinak povrede: Ako dođe do povrede, svaki dio naslijeđenih podataka koji držite postaje teret. Napadač koji iznese pet godina starih podataka o klijentima nanosi neusporedivo veću štetu nego kada iznese podatke za jednu godinu.
• Operativna neučinkovitost: Upravljanje, zaštita i pretraživanje velikih količina nerelevantnih podataka troši resurse, usporava sustave i čini ispunjavanje zahtjeva za “pravom na brisanje” prema GDPR-u gotovo nemogućim.

Mnoge organizacije pogrešno vjeruju da pritisak na “Delete” ili uklanjanje zapisa iz baze podataka znači da su podaci nestali. To je rijetko slučaj; rezidualni podaci ostaju u fizičkim, virtualnim i oblačnim okruženjima.

Regulatorni zahtjevi: kraj pristupa “čuvaj zauvijek”

Pravila su se promijenila. Konvergencija globalnih propisa izričito zahtijeva da se osobne i osjetljive informacije zadržavaju samo onoliko dugo koliko je potrebno te da se sigurno izbrišu kada to razdoblje završi. To nije preporuka; to je pravna i operativna obveza.

Clarysecov Zenith Blueprint: revizorov plan u 30 koraka sažima regulatorni imperativ sigurnog zbrinjavanja podataka u više okvira:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Zahtijeva da se osobni podaci ne čuvaju dulje nego što je potrebno, podupire pravo na brisanje (“pravo na zaborav”) i propisuje sigurno brisanje kada podaci više nisu potrebni.
✓ NIS2 Article 21(2)(a, d): Zahtijeva tehničke i organizacijske mjere temeljene na riziku kako bi se osiguralo sigurno brisanje podataka kada više nisu potrebni.
✓ DORA Article 9(2)(a–c): Zahtijeva zaštitu osjetljivih informacija tijekom cijelog životnog ciklusa, uključujući sigurno uništenje.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Obuhvaća sigurno brisanje podataka, uništenje medija i uklanjanje informacijske imovine na kraju životnog vijeka.
✓ ITAF 4th Edition – Domain 2.1.6: Zahtijeva dokaze o sigurnom uništenju i zbrinjavanju podataka u skladu s pravnim i regulatornim obvezama.

To znači da vaša organizacija mora imati dokumentirane, provedene i revizijski provjerljive procese za brisanje podataka. To se ne odnosi samo na papirnate zapise ili tvrde diskove, nego na svaki dio vaše digitalne imovine, uključujući pohranu u oblaku, sigurnosne kopije, aplikacijske podatke i vanjske dobavljače.

Od kaosa do kontrole: uspostava programa zbrinjavanja vođenog politikom

Prvi korak u deaktiviranju bombe groblja podataka jest uspostaviti jasan i mjerodavan okvir. Robustan program zbrinjavanja ne počinje rezačima dokumenata i uređajima za razmagnetiziranje, nego jasno definiranom politikom. Taj dokument služi kao jedini mjerodavni izvor za cijelu organizaciju, usklađujući poslovne, pravne i IT timove o načinu upravljanja podacima i njihova uništavanja.

Clarysecova Politika zadržavanja i zbrinjavanja podataka pruža predložak za to. Jedan od njezinih temeljnih ciljeva jasno je naveden u točki politike 3.1:

“Osigurati da se podaci zadržavaju samo onoliko dugo koliko je to pravno, ugovorno ili operativno potrebno te da se sigurno zbrinu kada više nisu potrebni.”

Ova jednostavna izjava mijenja organizacijski način razmišljanja s “čuvaj sve” na “čuvaj ono što je potrebno”. Politika uspostavlja formalan proces i osigurava da odluke nisu proizvoljne, nego povezane s konkretnim obvezama. Kako ističe točka politike 1.2 u Politici zadržavanja i zbrinjavanja podataka, ona je osmišljena za potporu implementaciji ISO/IEC 27001:2022 provedbom kontrole nad trajanjem pohrane podataka i osiguravanjem spremnosti za revizije i regulatorne inspekcije.

Za manje organizacije opsežna korporativna politika može biti pretjerana. Politika zadržavanja i zbrinjavanja podataka za SME nudi pojednostavljenu alternativu usmjerenu na ključne zahtjeve, kako je navedeno u točki politike 1.1:

“Svrha ove politike jest definirati provediva pravila za zadržavanje i sigurno zbrinjavanje informacija u SME okruženju. Ona osigurava da se zapisi čuvaju samo tijekom razdoblja koje zahtijeva zakon, ugovorna obveza ili poslovna potreba te da se nakon toga sigurno unište.”

Bilo da je riječ o velikoj organizaciji ili SME-u, politika je temelj. Ona daje ovlast za djelovanje i okvir kojim se osigurava da su radnje dosljedne, dokazive i usklađene s najboljim sigurnosnim praksama.

Provedba plana: kontrole ISO/IEC 27001:2022 u praksi

Kada je politika uspostavljena, Maria sada može njezina načela pretvoriti u konkretne radnje, vođena kontrolama iz ISO/IEC 27001:2022. Dvije su kontrole ovdje ključne:

• Kontrola 8.10 Brisanje informacija: Zahtijeva da se “informacije pohranjene u informacijskim sustavima, uređajima ili na bilo kojem drugom mediju za pohranu izbrišu kada više nisu potrebne.”
• Kontrola 7.14 Sigurno zbrinjavanje ili ponovna uporaba opreme: Usmjerena je na fizički hardver i osigurava da se mediji za pohranu pravilno sanitiziraju prije zbrinjavanja, prenamjene ili prodaje opreme.

No što “sigurno izbrisano” zapravo znači? Tu revizori odvajaju organizacije koje stvarno provode kontrole od onih koje ih samo deklarativno navode. Prema Zenith Blueprintu, pravo brisanje mnogo je više od premještanja datoteke u koš za smeće. Ono uključuje metode koje podatke čine neoporavljivima:

Za digitalne sustave brisanje mora značiti sigurno brisanje, a ne samo pritisak na ‘Delete’ ili pražnjenje koša za smeće. Pravo brisanje uključuje:
✓ prepisivanje podataka (npr. metodama DoD 5220.22-M ili NIST 800-88),
✓ kriptografsko brisanje (npr. uništavanje ključeva za šifriranje koji su korišteni za zaštitu podataka),
✓ ili primjenu alata za sigurno brisanje prije stavljanja uređaja izvan uporabe.

Za fizičke zapise Zenith Blueprint preporučuje uništavanje dokumenata križnim rezanjem, spaljivanje ili korištenje certificiranih usluga zbrinjavanja. Ove praktične smjernice pomažu organizacijama prijeći s politike na postupak, definirajući točne tehničke korake potrebne za ostvarenje cilja kontrole.

Cjelovit pogled: povezana sigurnosna mreža zbrinjavanja

Rješavanje groblja podataka nije zadatak koji se može promatrati izolirano. Učinkovito zbrinjavanje podataka duboko je povezano s drugim sigurnosnim domenama. Upravo je zato cjelovit pogled, kakav pruža Clarysecov Zenith Controls: vodič za usklađenost s više regulatornih okvira, nezaobilazan. On djeluje kao kompas i pokazuje kako se jedna kontrola oslanja na mnoge druge kako bi učinkovito funkcionirala.

Pogledajmo Kontrolu 7.14 (Sigurno zbrinjavanje ili ponovna uporaba opreme) kroz tu perspektivu. Vodič Zenith Controls pokazuje da to nije izolirana aktivnost. Njezin uspjeh ovisi o mreži povezanih kontrola:

• 5.9 Popis imovine: Ne možete sigurno zbrinuti ono za što ne znate da posjedujete. Marijin prvi korak mora biti popisivanje svakog poslužitelja, prijenosnog računala i trake u toj prostoriji za pohranu. Točan popis imovine temelj je procesa.
• 5.12 Klasifikacija informacija: Metoda zbrinjavanja ovisi o osjetljivosti podataka. Morate znati što uništavate kako biste odabrali odgovarajuću razinu sanitizacije.
• 5.34 Privatnost i zaštita osobnih podataka (PII): Oprema često sadrži osobne podatke. Proces zbrinjavanja mora osigurati nepovratno uništenje svih osobnih podataka (PII), čime se izravno povezuje s obvezama privatnosti prema propisima kao što je GDPR.
• 8.10 Brisanje informacija: Ova kontrola daje “što” (izbrisati informacije kada više nisu potrebne), dok 7.14 daje “kako” za pripadajuće fizičke medije. To su dvije strane istog procesa.
• 5.37 Dokumentirani operativni postupci: Sigurno zbrinjavanje mora slijediti definiran i ponovljiv proces kako bi se osigurala dosljednost i stvorio revizijski trag. Ad hoc zbrinjavanja crvena su zastavica za svakog revizora.

Ova povezanost pokazuje da zreo sigurnosni program zbrinjavanje podataka ne tretira kao zadatak čišćenja, nego kao integrirani dio svojeg sustava upravljanja informacijskom sigurnošću (ISMS).

Tehnički pregled: sanitizacija medija i prateći standardi

Za učinkovitu provedbu ovih kontrola važno je razumjeti različite razine sanitizacije medija, kako su opisane u okvirima kao što je NIST SP 800-88. Te metode nude slojevit pristup kojim se osigurava neoporavljivost podataka, primjereno njihovoj osjetljivosti.

Odabir odgovarajuće metode ovisi o klasifikaciji podataka. Smjernice specijaliziranih standarda ovdje su iznimno vrijedne. Robustan program oslanja se na širok skup pratećih okvira, ne samo na ISO/IEC 27001:2022.

Revizor dolazi: kako dokazati da vaš proces funkcionira

Prolazak revizije nije samo pitanje ispravnog postupanja; potrebno je dokazati da ste ispravno postupili. Za Mariju to znači dokumentirati svaki korak procesa zbrinjavanja za imovinu iz njezina groblja podataka. Zenith Blueprint pruža jasan kontrolni popis onoga što će revizori zahtijevati za Kontrolu 8.10 (Brisanje informacija):

“Dostavite svoju Politiku brisanja informacija… Dokažite tehničku provedbu putem konfiguriranih postavki zadržavanja u poslovnim sustavima… Mogu zatražiti dokaze o metodama sigurnog brisanja: brisanje diskova odobrenim alatima… ili sigurno zbrinjavanje dokumenata. Ako brišete podatke po isteku ugovora… pokažite revizijski trag ili prijavu koja to potvrđuje.”

Kako biste zadovoljili revizore, za svaki događaj zbrinjavanja morate izraditi sveobuhvatan paket dokaza. Registar brisanja podataka ključan je element.

Primjer tablice revizijskog traga

Revizori tom procesu pristupaju iz različitih perspektiva. Vodič Zenith Controls detaljno prikazuje kako različiti revizijski okviri ispituju proces:

Uobičajeni propusti i kako ih izbjeći

Čak i kada je politika uspostavljena, mnoge organizacije posrnu tijekom provedbe. Slijede uobičajeni propusti i način na koji strukturirani pristup pomaže u njihovu rješavanju:

Zaključak: pretvorite svoje groblje podataka u stratešku prednost

Šest tjedana kasnije Maria je GDPR revizora provela kroz rad svojeg tima. Prostorija za pohranu bila je prazna. Umjesto nje postojao je digitalni arhiv koji je sadržavao pedantne zapise za svaku imovinu stavljenu izvan uporabe: zapise popisa imovine, izvješća o klasifikaciji podataka, postupke sanitizacije i potpisane potvrde o uništenju. Ono što je nekada bilo izvor zabrinutosti sada je postalo primjer zrelog upravljanja rizicima.

Groblje podataka simptom je reaktivne sigurnosne kulture. Njegova transformacija zahtijeva proaktivan pristup vođen politikom. Potrebno je zbrinjavanje podataka promatrati ne kao IT zadatak čišćenja, nego kao stratešku sigurnosnu funkciju koja smanjuje rizik, osigurava usklađenost i pokazuje predanost zaštiti osjetljivih informacija.

Spremni ste se suočiti s vlastitim grobljem podataka? Započnite izgradnjom temelja za pristup upravljanju životnim ciklusom informacija koji je utemeljen na dokazima i otporan.

Konkretni sljedeći koraci:

1. Uspostavite temelj: Implementirajte jasnu i provedivu politiku koristeći Clarysecove predloške, kao što su Politika zadržavanja i zbrinjavanja podataka ili Politika zadržavanja i zbrinjavanja podataka za SME.
2. Mapirajte svoje okruženje: Izradite i održavajte sveobuhvatan popis sve informacijske imovine. Ne možete zbrinuti ono za što ne znate da posjedujete.
3. Definirajte i provedite zadržavanje: Uspostavite formalan raspored zadržavanja koji svaku vrstu podataka povezuje s pravnim, ugovornim ili poslovnim zahtjevom, a zatim automatizirajte njegovu provedbu.
4. Uspostavite operativnu provedbu sigurnog zbrinjavanja: Integrirajte postupke sigurnog brisanja i sanitizacije u svoje standardne operativne postupke za stavljanje IT imovine izvan uporabe.
5. Dokumentirajte sve: Izradite i održavajte revizijski dokaziv trag za svaku radnju zbrinjavanja, uključujući zapise dnevnika, prijave i potvrde trećih strana.
6. Proširite zahtjeve na opskrbni lanac: Osigurajte da vaši ugovori s pružateljima usluga u oblaku i drugim dobavljačima uključuju stroge zahtjeve za sigurno zbrinjavanje podataka i zahtijevajte dokaz usklađenosti.

Svaki bajt nepotrebnih podataka predstavlja rizik. Vratite kontrolu, ojačajte usklađenost, pojednostavite revizije i smanjite izloženost povredama.

Kontaktirajte nas za demonstraciju ili istražite cijelu biblioteku Zenith Blueprint i Zenith Controls kako biste započeli svoje putovanje.