Il cimitero dei dati: guida del CISO allo smaltimento dei dati conforme e verificabile in audit
Maria, CISO di una società fintech in rapida crescita, avvertì una stretta familiare allo stomaco. L’audit GDPR esterno era previsto di lì a sei settimane e un controllo di routine dell’inventario degli asset aveva appena riportato alla luce un fantasma del passato aziendale: un magazzino chiuso a chiave nel vecchio edificio degli uffici, pieno di server dismessi, nastri di backup impolverati e pile di vecchi laptop dei dipendenti. Il “cimitero dei dati”, come lo chiamava cupamente il suo team, non era più un problema dimenticato. Era una bomba a orologeria per la conformità.
Quali dati sensibili dei clienti, proprietà intellettuale o dati personali identificabili (PII) si nascondevano su quei dischi? Erano stati correttamente sanitizzati? Esistevano registrazioni in grado di dimostrarlo? La mancanza di risposte era la vera minaccia. Nel mondo della sicurezza delle informazioni, ciò che non si conosce può fare danni, e spesso li farà.
Questo scenario non riguarda solo Maria. Per innumerevoli CISO, responsabili della conformità e titolari di processo, i dati legacy rappresentano un rischio enorme e non quantificato. Sono una responsabilità silente che amplia la superficie di attacco, complica la gestione delle richieste degli interessati e crea un campo minato per gli auditor. La domanda centrale è semplice, ma estremamente complessa: che cosa fare dei dati sensibili non più necessari? La risposta non è semplicemente premere “elimina”. Occorre costruire un processo difendibile, ripetibile e verificabile in audit per la gestione del ciclo di vita delle informazioni, dalla creazione alla distruzione sicura.
L’elevato costo dell’accumulo dei dati
Conservare i dati per sempre “per ogni eventualità” è il retaggio di un’epoca passata. Oggi è una strategia dimostrabilmente pericolosa. I dati sensibili che rimangono oltre la loro vita utile o oltre il periodo richiesto espongono l’organizzazione a numerose minacce, dalle sanzioni per non conformità e dalle violazioni della privacy fino alle perdite accidentali e persino all’estorsione tramite ransomware.
Conservare dati oltre la data di scadenza della conservazione genera diversi rischi critici:
- Non conformità: le autorità di regolamentazione stanno intensificando i controlli sulla conservazione non necessaria dei dati. Un cimitero dei dati costituisce una violazione diretta dei principi di privacy e può comportare sanzioni significative.
- Maggiore impatto di una violazione: se si verifica una violazione, ogni elemento di dati legacy conservato diventa una responsabilità. L’esfiltrazione di cinque anni di vecchi dati dei clienti da parte di un attaccante è esponenzialmente più dannosa dell’esfiltrazione dei dati di un solo anno.
- Inefficienza operativa: gestire, proteggere e ricercare enormi volumi di dati irrilevanti consuma risorse, rallenta i sistemi e rende quasi impossibile soddisfare le richieste di “diritto alla cancellazione” previste dal GDPR.
Molte organizzazioni ritengono erroneamente che premere “elimina” o rimuovere una voce da un database faccia sparire i dati. Accade raramente: restano dati residui in ambienti fisici, virtuali e cloud.
Obblighi normativi: la fine del “conservarlo per sempre”
Le regole sono cambiate. La convergenza delle normative globali richiede esplicitamente che le informazioni personali e sensibili siano conservate solo per il tempo necessario e cancellate in modo sicuro al termine di tale periodo. Non è un suggerimento: è un obbligo legale e operativo.
Zenith Blueprint: roadmap in 30 fasi per auditor di Clarysec sintetizza l’obbligo trasversale alle normative per lo smaltimento sicuro dei dati:
✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): richiede che i dati personali non siano conservati più a lungo del necessario, supporta il diritto alla cancellazione (“diritto all’oblio”) e impone la cancellazione sicura quando non sono più necessari.
✓ NIS2 Article 21(2)(a, d): richiede misure tecniche e organizzative basate sul rischio per garantire che i dati siano cancellati in modo sicuro quando non sono più necessari.
✓ DORA Article 9(2)(a–c): richiede la protezione delle informazioni sensibili lungo l’intero ciclo di vita, inclusa la distruzione sicura.
✓ COBIT 2019 – DSS01.05 & DSS05.07: tratta la cancellazione sicura dei dati, la distruzione dei supporti e la rimozione degli asset informativi a fine vita.
✓ ITAF 4th Edition – Domain 2.1.6: richiede evidenze della distruzione e dello smaltimento sicuri dei dati in conformità agli obblighi legali e normativi.
Ciò significa che l’organizzazione deve disporre di processi documentati, applicati e verificabili in audit per la cancellazione dei dati. Questo vale non solo per le registrazioni cartacee o i dischi rigidi, ma per ogni area del patrimonio digitale, inclusi archiviazione cloud, backup, dati applicativi e fornitori terzi.
Dal caos al controllo: costruire un programma di smaltimento guidato dalle policy
Il primo passo per disinnescare la bomba del cimitero dei dati è stabilire un quadro di riferimento chiaro e autorevole. Un programma solido di smaltimento non inizia con distruggidocumenti e degausser, ma con una policy ben definita. Questo documento è la fonte autorevole unica per l’intera organizzazione e allinea i team aziendali, legali e IT sulle modalità di gestione e distruzione dei dati.
La Policy di conservazione e smaltimento dei dati di Clarysec fornisce un modello per questo scopo. Uno dei suoi obiettivi principali è espresso chiaramente nella clausola 3.1 della policy:
“Garantire che i dati siano conservati solo per il tempo legalmente, contrattualmente o operativamente necessario e siano smaltiti in modo sicuro quando non sono più necessari.”
Questa semplice dichiarazione sposta la mentalità organizzativa da “conservare tutto” a “conservare ciò che è necessario”. La policy stabilisce un processo formale, assicurando che le decisioni non siano arbitrarie ma collegate a obblighi concreti. Come evidenzia la clausola 1.2 della Policy di conservazione e smaltimento dei dati, essa è progettata per supportare l’applicazione di ISO/IEC 27001:2022 imponendo il controllo sulla durata di conservazione dei dati e assicurando la capacità di dimostrare la conformità in sede di audit e ispezioni delle autorità di regolamentazione.
Per le organizzazioni più piccole, una policy enterprise molto articolata può risultare eccessiva. La Policy di conservazione e smaltimento dei dati - PMI offre un’alternativa snella, concentrata sugli elementi essenziali, come indicato nella clausola 1.1 della policy:
“Lo scopo di questa policy è definire regole applicabili per la conservazione e lo smaltimento sicuro delle informazioni in un contesto PMI. Assicura che le registrazioni siano conservate solo per la durata richiesta dalla legge, da obblighi contrattuali o da necessità aziendali, e successivamente distrutte in modo sicuro.”
Che si tratti di un’impresa o di una PMI, la policy è la pietra angolare. Fornisce l’autorità per agire e il quadro di riferimento per assicurare che le azioni siano coerenti, difendibili e allineate alle migliori pratiche di sicurezza.
Eseguire il piano: i controlli ISO/IEC 27001:2022 nella pratica
Con una policy in vigore, Maria può ora tradurne i principi in azioni concrete, guidata dai controlli di ISO/IEC 27001:2022. Due controlli sono fondamentali in questo ambito:
- Controllo 8.10 Cancellazione delle informazioni: richiede che “le informazioni archiviate nei sistemi informativi, nei dispositivi o in qualsiasi altro supporto di archiviazione siano cancellate quando non sono più necessarie”.
- Controllo 7.14 Smaltimento sicuro o riutilizzo delle apparecchiature: si concentra sull’hardware fisico, assicurando che i supporti di archiviazione siano correttamente sanitizzati prima che le apparecchiature siano smaltite, riutilizzate o vendute.
Ma che cosa significa davvero “cancellati in modo sicuro”? È qui che gli auditor distinguono chi è realmente preparato da chi non lo è. Secondo il Zenith Blueprint, la cancellazione effettiva è molto più dello spostamento di un file nel cestino. Comprende metodi che rendono i dati non recuperabili:
Per i sistemi digitali, cancellazione deve significare cancellazione sicura, non semplicemente premere “elimina” o svuotare il cestino. La cancellazione effettiva include:
✓ sovrascrittura dei dati (ad esempio con metodi DoD 5220.22-M o NIST 800-88),
✓ cancellazione crittografica (ad esempio distruggendo le chiavi di cifratura usate per proteggere i dati),
✓ oppure utilizzo di strumenti di cancellazione sicura prima della dismissione dei dispositivi.
Per le registrazioni fisiche, il Zenith Blueprint raccomanda la distruzione con distruggidocumenti a taglio incrociato, l’incenerimento o il ricorso a servizi di smaltimento certificati. Questa guida pratica aiuta le organizzazioni a passare dalla policy alla procedura, definendo i passaggi tecnici esatti necessari per raggiungere l’obiettivo del controllo.
Una visione olistica: la rete interconnessa della sicurezza nello smaltimento
Affrontare il cimitero dei dati non è un’attività isolata. Uno smaltimento efficace dei dati è strettamente interconnesso con altri domini della sicurezza. È qui che una visione olistica, come quella offerta da Zenith Controls: guida alla conformità trasversale di Clarysec, diventa indispensabile. Funziona come una bussola, mostrando come un controllo dipenda da molti altri per operare efficacemente.
Esaminiamo Controllo 7.14 (Smaltimento sicuro o riutilizzo delle apparecchiature) attraverso questa prospettiva. La guida Zenith Controls mostra che non si tratta di un’attività isolata. Il suo successo dipende da una rete di controlli correlati:
- 5.9 Inventario degli asset: non è possibile smaltire in modo sicuro ciò che non si sa di possedere. Il primo passo di Maria deve essere inventariare ogni server, laptop e nastro presente in quel magazzino. Un inventario degli asset accurato è la base.
- 5.12 Classificazione delle informazioni: il metodo di smaltimento dipende dalla sensibilità dei dati. È necessario sapere che cosa si sta distruggendo per scegliere il livello di sanitizzazione appropriato.
- 5.34 Privacy e protezione delle PII: le apparecchiature contengono spesso dati personali. Il processo di smaltimento deve assicurare che tutte le PII siano distrutte in modo irreversibile, collegandosi direttamente agli obblighi di privacy previsti da normative come GDPR.
- 8.10 Cancellazione delle informazioni: questo controllo fornisce il “cosa” (cancellare le informazioni quando non sono più necessarie), mentre 7.14 fornisce il “come” per i supporti fisici sottostanti. Sono due facce della stessa medaglia.
- 5.37 Procedure operative documentate: lo smaltimento sicuro deve seguire un processo definito e ripetibile per assicurare coerenza e creare una traccia di audit. Gli smaltimenti ad hoc sono un segnale di allarme per qualsiasi auditor.
Questa interconnessione dimostra che un programma di sicurezza maturo considera lo smaltimento dei dati non come un’attività di pulizia, ma come parte integrante del proprio Sistema di gestione della sicurezza delle informazioni (SGSI).
Approfondimento tecnico: sanitizzazione dei supporti e standard di supporto
Per applicare questi controlli in modo efficace, è essenziale comprendere i diversi livelli di sanitizzazione dei supporti, come delineati in quadri di riferimento quali NIST SP 800-88. Questi metodi offrono un approccio stratificato per garantire che i dati non siano recuperabili, in misura adeguata alla loro sensibilità.
| Metodo di sanitizzazione | Descrizione | Esempio di caso d’uso |
|---|---|---|
| Clear | Sovrascrittura dei dati con dati non sensibili mediante comandi standard di lettura/scrittura. Protegge contro tecniche semplici di recupero dei dati. | Riutilizzo di un laptop per un altro dipendente all’interno dello stesso ambiente sicuro. |
| Purge | Tecniche avanzate come la degaussazione (per supporti magnetici) o la cancellazione crittografica. Resiste agli attacchi di recupero in laboratorio. | Dismissione di un server che conteneva dati finanziari sensibili, ma non top secret. |
| Destroy | Distruzione fisica del supporto (triturazione, incenerimento, polverizzazione). Il recupero dei dati è impossibile. | Smaltimento di dischi rigidi contenenti proprietà intellettuale altamente riservata o PII. |
La scelta del metodo corretto dipende dalla classificazione dei dati. Le indicazioni fornite da standard specialistici sono preziose in questo contesto. Un programma solido attinge a un ampio insieme di quadri di riferimento di supporto, oltre a ISO/IEC 27001:2022.
| Standard | Rilevanza principale |
|---|---|
| ISO/IEC 27005:2022 | Integra la cancellazione come opzione di trattamento del rischio e identifica lo smaltimento non sicuro come rischio ad alto impatto. |
| ISO/IEC 27701:2019 | Richiede controlli specifici per la cancellazione delle PII in caso di riutilizzo o smaltimento delle apparecchiature. |
| ISO/IEC 27018:2019 | Impone la cancellazione sicura delle PII residenti nel cloud prima dello smaltimento di qualsiasi asset che le contenga. |
| ISO/IEC 27017:2015 | Fornisce indicazioni specifiche per il cloud, assicurando la sanitizzazione degli asset alla cessazione di risorse virtuali o fisiche. |
| NIST SP 800-88 | Offre linee guida tecniche dettagliate per la sanitizzazione dei supporti, definendo le tecniche Clear, Purge e Destroy. |
L’auditor sta arrivando: come dimostrare che il processo funziona
Superare un audit non significa solo fare la cosa giusta; significa dimostrare di averla fatta. Per Maria, questo implica documentare ogni passaggio del processo di smaltimento per gli asset presenti nel suo cimitero dei dati. Il Zenith Blueprint fornisce una checklist chiara di ciò che gli auditor richiederanno per Controllo 8.10 (Cancellazione delle informazioni):
“Fornite la vostra Policy di cancellazione delle informazioni… Dimostrate l’applicazione tecnica tramite impostazioni di conservazione configurate nei sistemi aziendali… Potrebbero richiedere evidenze dei metodi di cancellazione sicura: wipe dei dischi con strumenti approvati… oppure smaltimento sicuro dei documenti. Se cancellate i dati alla scadenza del contratto… mostrate la traccia di audit o il ticket che lo conferma.”
Per soddisfare gli auditor, è necessario creare un pacchetto completo di evidenze per ciascun evento di smaltimento. Un registro di cancellazione dei dati è essenziale.
Esempio di tabella della traccia di audit
| ID asset | Tipo di asset | Ubicazione | Metodo di cancellazione | Evidenza/log | Approvatore |
|---|---|---|---|---|---|
| SRV-FIN-04 | HDD server | Data center on-premises | Degaussazione + triturazione fisica | Certificato di smaltimento #DC44C8 | Titolare delle informazioni |
| CUST-DB-BKP-112 | Nastro LTO-8 | Iron Mountain | Incenerimento (certificato) | Certificato di distruzione #IM7890 | Operazioni IT |
| PROJ-X-DATA | Bucket AWS S3 | eu-west-1 | Policy del ciclo di vita ‘DeleteObject’ | Log di cancellazione AWS #1192 | Operazioni cloud |
| HR-LAPTOP-213 | SSD laptop | Deposito IT | Cancellazione crittografica | Log di wipe #WL5543 | Supporto IT |
Gli auditor affrontano questo tema da prospettive diverse. La guida Zenith Controls dettaglia come vari quadri di riferimento di audit esaminano il processo:
| Quadro di riferimento di audit | Evidenze richieste | Approccio |
|---|---|---|
| ISO/IEC 19011:2018 | Osservazione delle pratiche, riesame dei log di conservazione e dei certificati di smaltimento. | Interviste, riesame documentale, campionamento |
| ISACA ITAF | Triangolazione di evidenze sufficienti e affidabili provenienti da policy, log e interviste. | Triangolazione |
| NIST SP 800-53A | Registrazioni che dimostrano l’utilizzo di metodi di sanitizzazione approvati (secondo NIST SP 800-88). | Test tecnici, ispezione delle registrazioni |
| COBIT 2019 | Prova della supervisione della governance, dell’integrazione nella gestione del rischio e della reportistica. | Riesame della governance, walkthrough del processo |
Errori comuni e come evitarli
Anche con una policy in vigore, molte organizzazioni inciampano nella fase esecutiva. Ecco alcuni errori comuni e come un approccio strutturato aiuta a risolverli:
| Errore | Come aiuta un approccio guidato da Clarysec |
|---|---|
| Dati shadow: i dati sopravvivono in backup dimenticati, archivi o shadow IT. | Un registro di conservazione applicato e collegato a un inventario degli asset completo assicura che tutte le copie siano identificate e tracciate ai fini dello smaltimento. |
| Solo cancellazione logica: i dati sono contrassegnati come cancellati, ma restano recuperabili. | La policy impone metodi di cancellazione sicura (sovrascrittura, crypto-erase, distruzione fisica) basati sulla classificazione dei dati. |
| Ambiguità del fornitore cloud: processi non chiari per la cancellazione sicura in SaaS/IaaS. | I contratti con i fornitori sono aggiornati per richiedere certificazione di cancellazione o conferma verificabile tramite log alla cessazione del servizio. |
| Processi manuali e soggetti a errore: affidarsi alle persone perché ricordino di cancellare i dati. | Automatizzare ovunque possibile mediante policy del ciclo di vita dei sistemi (ad esempio in M365, AWS S3). Richiedere evidenze documentate per tutte le cancellazioni manuali. |
| Nessuna prova dello smaltimento: mancanza di registrazioni verificabili in audit per soddisfare le autorità di regolamentazione. | Un registro di cancellazione dei dati centralizzato e la conservazione di tutti i certificati di distruzione rilasciati da terze parti creano una traccia di audit difendibile. |
Conclusione: trasformare il cimitero dei dati in un vantaggio strategico
Sei settimane dopo, Maria accompagnò l’auditor GDPR attraverso il lavoro svolto dal suo team. Il magazzino era vuoto. Al suo posto esisteva un archivio digitale contenente una registrazione meticolosa per ogni asset dismesso: log di inventario, report di classificazione dei dati, procedure di sanitizzazione e certificati di distruzione firmati. Ciò che una volta era fonte di ansia era diventato una dimostrazione di gestione del rischio matura.
Il cimitero dei dati è il sintomo di una cultura della sicurezza reattiva. Trasformarlo richiede un approccio proattivo e guidato dalle policy. Richiede di considerare lo smaltimento dei dati non come un’attività ordinaria di pulizia IT, ma come una funzione strategica di sicurezza che riduce il rischio, assicura la conformità e dimostra l’impegno nella protezione delle informazioni sensibili.
Pronto ad affrontare il tuo cimitero dei dati? Inizia costruendo le fondamenta di un approccio resiliente e basato su evidenze alla gestione del ciclo di vita delle informazioni.
Prossimi passi operativi:
- Stabilire le fondamenta: applica una policy chiara e vincolante utilizzando i modelli Clarysec, come la Policy di conservazione e smaltimento dei dati o la Policy di conservazione e smaltimento dei dati - PMI.
- Mappare l’universo informativo: crea e mantieni un inventario completo di tutti gli asset informativi. Non puoi smaltire ciò che non sai di possedere.
- Definire e applicare la conservazione: stabilisci un piano di conservazione formale che colleghi ogni tipo di dato a un requisito legale, contrattuale o aziendale, quindi automatizzane l’applicazione.
- Rendere operativo lo smaltimento sicuro: integra le procedure di cancellazione sicura e sanitizzazione nelle procedure operative standard per la dismissione degli asset IT.
- Documentare tutto: crea e mantieni una solida traccia di audit per ogni azione di smaltimento, includendo log, ticket e certificati di terze parti.
- Estendere il controllo alla catena di fornitura: assicurati che i contratti con i fornitori cloud e gli altri fornitori includano requisiti rigorosi per lo smaltimento sicuro dei dati e richiedano prove della conformità.
Ogni byte di dati non necessari è un rischio. Riprendi il controllo, rafforza la conformità, semplifica gli audit e riduci l’esposizione in caso di violazione.
Contattaci per una dimostrazione oppure esplora la libreria completa Zenith Blueprint e Zenith Controls per iniziare il tuo percorso.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
