Iċ-Ċimiterju tad-Dejta: Gwida għas-CISO dwar Rimi tad-Dejta Konformi u Awditabbli

Maria, is-CISO ta’ kumpanija fintech li kienet qed tikber b’pass mgħaġġel, ħasset tensjoni familjari f’żaqqha. L-awditu estern tal-GDPR kien sitt ġimgħat ’il bogħod, u verifika ta’ rutina tal-inventarju tal-assi kienet għadha kif kixfet fdal mill-passat tal-kumpanija: kamra tal-ħżin imsakkra fil-bini tal-uffiċċju l-antik tagħhom, mimlija servers iddekummissjonati, tapes tal-backup bit-trab, u munzelli ta’ laptops qodma tal-impjegati. Iċ-“ċimiterju tad-dejta”, kif it-tim tagħha kien isejjaħlu b’ton imħasseb, ma kienx għadu problema minsija. Kien bomba tal-konformità li kienet qed tistenna tisplodi.

Liema dejta sensittiva tal-klijenti, proprjetà intellettwali, jew informazzjoni personalment identifikabbli (PII) kienet moħbija fuq dawk id-drives? Kienet xi parti minnha ġiet issanitizzata kif suppost? Kienu jeżistu reġistri biex jippruvaw dan? In-nuqqas ta’ tweġibiet kien it-theddida reali. Fid-dinja tas-sigurtà tal-informazzjoni, dak li ma tafx jista’ jagħmillek ħsara — u spiss jagħmilha.

Dan ix-xenarju mhuwiex uniku għal Maria. Għal għadd kbir ta’ CISOs, maniġers tal-konformità u sidien tan-negozju, id-dejta legata tirrappreżenta riskju enormi u mhux ikkwantifikat. Hija responsabbiltà siekta li tkabbar il-wiċċ tal-attakk tiegħek, tikkomplika t-talbiet tas-suġġetti tad-dejta, u toħloq kamp mimli ostakli għall-awdituri. Il-mistoqsija ewlenija hija sempliċi, iżda diffiċli ħafna: x’għandek tagħmel b’dejta sensittiva li m’għadx għandek bżonn? It-tweġiba mhijiex sempliċement tagħfas “delete”. Hija dwar il-bini ta’ proċess difensibbli, ripetibbli u awditabbli għall-ġestjoni taċ-ċiklu tal-ħajja tal-informazzjoni, mill-ħolqien sal-qerda sigura.

Ir-riskji għoljin tal-ħżin żejjed tad-dejta

Iż-żamma tad-dejta għal dejjem “għal kull eventwalità” hija relikwa ta’ żmien li għadda. Illum, hija strateġija perikoluża b’mod ċar. Dejta sensittiva li tibqa’ teżisti lil hinn mill-ħajja utli jew meħtieġa tagħha tesponi lill-organizzazzjoni tiegħek għal firxa ta’ theddid, minn penali ta’ konformità u ksur tal-privatezza għal tnixxijiet aċċidentali u saħansitra estorsjoni bir-ransomware.

Iż-żamma tad-dejta wara d-data ta’ skadenza taż-żamma tagħha toħloq diversi riskji kritiċi:

• Nuqqas ta’ konformità: Ir-regolaturi qed jissikkaw l-iskrutinju fuq iż-żamma mhux meħtieġa tad-dejta. Ċimiterju tad-dejta huwa ksur dirett tal-prinċipji tal-privatezza u jista’ jwassal għal multi sinifikanti.
• Impatt akbar ta’ ksur: Jekk iseħħ ksur, kull biċċa dejta legata li żżomm issir responsabbiltà. Attakkant li jeżfiltra ħames snin ta’ dejta antika tal-klijenti jikkawża ħsara esponenzjalment akbar milli kieku jeżfiltra sena waħda biss.
• Ineffiċjenza operattiva: Il-ġestjoni, is-sigurtà u t-tiftix f’muntanji ta’ dejta irrilevanti jikkunsmaw riżorsi, inaqqsu s-sistemi, u jagħmlu t-twettiq ta’ talbiet għad-“dritt għat-tħassir” taħt il-GDPR kważi impossibbli.

Ħafna organizzazzjonijiet jaħsbu bi żball li meta tagħfas ‘delete’ jew tneħħi rekord minn database, id-dejta tisparixxi. Dan rari jkun il-każ, u jħalli dejta residwa f’pajsaġġi fiżiċi, virtwali u cloud.

Mandati regolatorji: it-tmiem ta’ “żommha għal dejjem”

Ir-regoli nbidlu. Konverġenza ta’ regolamenti globali teżiġi b’mod espliċitu li informazzjoni personali u sensittiva tinżamm biss sakemm tkun meħtieġa u titħassar b’mod sigur meta dak il-perjodu jintemm. Din mhijiex rakkomandazzjoni; hija mandat legali u operattiv.

Il-Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri ta’ Clarysec jiġbor fil-qosor l-imperattiv transregolatorju għar-rimi sigur tad-dejta:

✓ GDPR Artikolu 5(1)(e), Artikolu 17, Artikolu 32(1)(b–d): Jeħtieġ li d-dejta personali ma tinżammx għal aktar milli meħtieġ, jappoġġja d-dritt għat-tħassir (“id-dritt li tintesa”), u jimponi tħassir sigur meta ma tibqax meħtieġa.
✓ NIS2 Artikolu 21(2)(a, d): Jeżiġi miżuri tekniċi u organizzattivi bbażati fuq ir-riskju biex jiġi żgurat li d-dejta titħassar b’mod sigur meta ma tkunx meħtieġa.
✓ DORA Artikolu 9(2)(a–c): Jeħtieġ il-protezzjoni tal-informazzjoni sensittiva matul iċ-ċiklu tal-ħajja tagħha, inkluża qerda sigura.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Jindirizza t-tħassir sigur tad-dejta, il-qerda tal-mezzi, u t-tneħħija tal-assi tal-informazzjoni fit-tmiem tal-ħajja.
✓ ITAF 4th Edition – Domain 2.1.6: Jeħtieġ evidenza ta’ qerda u rimi sigur tad-dejta f’konformità mal-obbligi legali u regolatorji.

Dan ifisser li l-organizzazzjoni tiegħek għandu jkollha proċessi dokumentati, infurzati u awditabbli għat-tħassir tad-dejta. Dan japplika mhux biss għal reġistri fuq karta jew hard drives, iżda għal kull parti tal-ambjent diġitali tiegħek, inklużi l-ħżin cloud, il-backups, id-dejta tal-applikazzjonijiet u l-fornituri terzi.

Mill-kaos għall-kontroll: bini ta’ programm ta’ rimi mmexxi mill-politika

L-ewwel pass biex titneħħa l-bomba taċ-ċimiterju tad-dejta huwa li jiġi stabbilit qafas ċar u awtorevoli. Programm robust ta’ rimi ma jibdiex bi shredders u degaussers, iżda b’politika ddefinita sew. Dan id-dokument iservi bħala s-sors uniku tal-verità għall-organizzazzjoni kollha, billi jallinja t-timijiet tan-negozju, legali u tal-IT dwar kif id-dejta tiġi ġestita u meqruda.

Il-Politika ta’ Żamma u Rimi tad-Dejta ta’ Clarysec tipprovdi mudell għal dan. Wieħed mill-objettivi ewlenin tagħha huwa ddikjarat b’mod ċar fil-klawżola 3.1 tal-politika:

“Biex jiġi żgurat li d-dejta tinżamm biss sakemm tkun meħtieġa legalment, kuntrattwalment jew operattivament, u tintrema b’mod sigur meta ma tibqax meħtieġa.”

Din id-dikjarazzjoni sempliċi tbiddel il-mentalità organizzazzjonali minn “żomm kollox” għal “żomm dak li huwa meħtieġ”. Il-politika tistabbilixxi proċess formali, u tiżgura li d-deċiżjonijiet ma jkunux arbitrarji iżda marbuta ma’ obbligi konkreti. Kif tenfasizza l-klawżola 1.2 fil-Politika ta’ Żamma u Rimi tad-Dejta, hija mfassla biex tappoġġja l-implimentazzjoni ta’ ISO/IEC 27001:2022 billi tapplika kontroll fuq it-tul tal-ħżin tad-dejta u tiżgura l-kapaċità li tintwera l-konformità waqt awditi u spezzjonijiet regolatorji.

Għal organizzazzjonijiet iżgħar, politika korporattiva tqila tista’ tkun eċċessiva. Il-Politika ta’ Żamma u Rimi tad-Dejta - SME toffri alternattiva aktar ħafifa, iffukata fuq l-essenzjali, kif jingħad fil-klawżola 1.1 tal-politika:

“L-għan ta’ din il-politika huwa li tiddefinixxi regoli applikabbli għaż-żamma u r-rimi sigur tal-informazzjoni f’ambjent ta’ SME. Tiżgura li r-reġistri jinżammu biss għat-tul meħtieġ mil-liġi, minn obbligu kuntrattwali jew minn ħtieġa tan-negozju, u li jiġu meqruda b’mod sigur wara dan.”

Kemm għal intrapriża kif ukoll għal SME, il-politika hija l-pedament. Tipprovdi l-awtorità biex tittieħed azzjoni u l-qafas biex jiġi żgurat li l-azzjonijiet ikunu konsistenti, difensibbli u allinjati mal-aħjar prattiki tas-sigurtà.

Eżekuzzjoni tal-pjan: kontrolli ta’ ISO/IEC 27001:2022 fil-prattika

Bil-politika fis-seħħ, Maria issa tista’ tittraduċi l-prinċipji tagħha f’azzjonijiet konkreti, iggwidata mill-kontrolli fi ħdan ISO/IEC 27001:2022. Żewġ kontrolli huma kruċjali hawnhekk:

• Kontroll 8.10 Tħassir tal-Informazzjoni: Dan jeħtieġ li “informazzjoni maħżuna f’sistemi tal-informazzjoni, apparati jew kwalunkwe mezz ieħor tal-ħżin għandha titħassar meta ma tibqax meħtieġa.”
• Kontroll 7.14 Rimi sigur jew użu mill-ġdid tat-tagħmir: Dan jiffoka fuq il-hardware fiżiku, u jiżgura li l-mezzi tal-ħżin jiġu ssanitizzati kif suppost qabel ma t-tagħmir jintrema, jerġa’ jintuża għal skop ieħor jew jinbiegħ.

Imma xi jfisser fil-fatt “imħassra b’mod sigur”? Hawnhekk l-awdituri jiddistingwu bejn organizzazzjonijiet maturi u dawk li qed jippretendu li huma konformi. Skont il-Zenith Blueprint, tħassir reali jfisser ħafna aktar milli tmexxi fajl fil-bin tar-riċiklaġġ. Jinvolvi metodi li jagħmlu d-dejta mhux rkuprabbli:

Għal sistemi diġitali, tħassir għandu jfisser tħassir sigur, mhux sempliċement tagħfas ‘delete’ jew tbattal il-bin tar-riċiklaġġ. Tħassir reali jinkludi:
✓ Kitba fuq id-dejta (eż. b’metodi DoD 5220.22-M jew NIST 800-88),
✓ tħassir kriptografiku (eż. il-qerda taċ-ċwievet tal-iċċifrar użati biex jipproteġu d-dejta),
✓ jew l-użu ta’ għodod ta’ tħassir sigur qabel id-dekummissjonar tal-apparati.

Għal reġistri fiżiċi, il-Zenith Blueprint jirrakkomanda shredding cross-cut, inċinerazzjoni, jew l-użu ta’ servizzi ċċertifikati tar-rimi. Din il-gwida prattika tgħin lill-organizzazzjonijiet jimxu mill-politika għall-proċedura, billi tiddefinixxi l-passi tekniċi preċiżi meħtieġa biex jintlaħaq l-objettiv tal-kontroll.

Veduta olistika: in-nisġa interkonnessa tas-sigurtà tar-rimi

L-indirizzar taċ-ċimiterju tad-dejta mhuwiex kompitu wieħed u iżolat. Ir-rimi effettiv tad-dejta huwa marbut mill-qrib ma’ oqsma oħra tas-sigurtà. Hawnhekk veduta olistika, kif ipprovduta minn Zenith Controls: il-gwida transkonformità ta’ Clarysec, issir indispensabbli. Taġixxi bħala kumpass, billi turi kif kontroll wieħed jiddependi fuq ħafna oħrajn biex jiffunzjona b’mod effettiv.

Ejja neżaminaw Kontroll 7.14 (Rimi sigur jew użu mill-ġdid tat-tagħmir) minn din il-perspettiva. Il-gwida Zenith Controls turi li din mhijiex attività iżolata. Is-suċċess tagħha jiddependi fuq nisġa ta’ kontrolli relatati:

• 5.9 Inventarju tal-assi: Ma tistax tarmi b’mod sigur dak li ma tafx li għandek. L-ewwel pass ta’ Maria għandu jkun li tagħmel inventarju ta’ kull server, laptop u tape f’dik il-kamra tal-ħżin. Inventarju preċiż tal-assi huwa l-pedament.
• 5.12 Klassifikazzjoni tal-informazzjoni: Il-metodu tar-rimi jiddependi fuq is-sensittività tad-dejta. Trid tkun taf x’qed teqred biex tagħżel il-livell xieraq ta’ sanitizzazzjoni.
• 5.34 Privatezza u protezzjoni ta’ PII: It-tagħmir spiss ikun fih dejta personali. Il-proċess tar-rimi għandu jiżgura li l-PII kollha tinqered b’mod irriversibbli, b’rabta diretta mal-obbligi tal-privatezza taħt regolamenti bħall-GDPR.
• 8.10 Tħassir tal-Informazzjoni: Dan il-kontroll jipprovdi x’għandu jsir (tħassar l-informazzjoni meta ma tibqax meħtieġa), filwaqt li 7.14 jipprovdi l-mod kif dan isir għall-mezzi fiżiċi sottostanti. Huma żewġ naħat tal-istess munita.
• 5.37 Proċeduri operattivi dokumentati: Rimi sigur għandu jsegwi proċess definit u ripetibbli biex tiġi żgurata l-konsistenza u tinħoloq traċċa tal-awditjar. Rimi ad hoc huwa sinjal ta’ twissija għal kwalunkwe awditur.

Din l-interkonnettività turi li programm matur tas-sigurtà jittratta r-rimi tad-dejta mhux bħala xogħol ta’ tindif, iżda bħala parti integrata mis-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) tiegħu.

Analiżi teknika: sanitizzazzjoni tal-mezzi u standards ta’ appoġġ

Biex dawn il-kontrolli jiġu implimentati b’mod effettiv, huwa essenzjali li wieħed jifhem il-livelli differenti ta’ sanitizzazzjoni tal-mezzi, kif deskritti f’oqfsa bħal NIST SP 800-88. Dawn il-metodi joffru approċċ f’saffi biex jiġi żgurat li d-dejta ma tkunx tista’ tiġi rkuprata, skont is-sensittività tagħha.

L-għażla tal-metodu xieraq tiddependi fuq il-klassifikazzjoni tad-dejta. Il-gwida minn standards speċjalizzati hija imprezzabbli hawnhekk. Programm robust juża firxa wiesgħa ta’ oqfsa ta’ appoġġ lil hinn minn ISO/IEC 27001:2022 biss.

L-awditur riesaq: kif tipprova li l-proċess tiegħek jaħdem

Li tgħaddi minn awditu mhuwiex biss li tagħmel it-tajjeb; huwa dwar li tipprova li għamilt it-tajjeb. Għal Maria, dan ifisser id-dokumentazzjoni ta’ kull pass tal-proċess tar-rimi għall-assi fiċ-ċimiterju tad-dejta tagħha. Il-Zenith Blueprint jipprovdi lista ta’ kontroll ċara ta’ dak li l-awdituri se jitolbu għal Kontroll 8.10 (Tħassir tal-Informazzjoni):

“Ipprovdi l-Politika dwar it-Tħassir tal-Informazzjoni tiegħek… Uri l-applikazzjoni teknika permezz ta’ settings ta’ żamma kkonfigurati fis-sistemi tan-negozju tiegħek… Jistgħu jitolbu evidenza ta’ metodi ta’ tħassir sigur: tħassir ta’ diski b’għodod approvati… jew rimi sigur ta’ dokumenti. Jekk tħassar dejta meta jiskadi kuntratt… uri t-traċċa tal-awditjar jew it-ticket li jikkonferma dan.”

Biex tissodisfa lill-awdituri, trid toħloq pakkett komprensiv ta’ evidenza għal kull avveniment ta’ rimi. Reġistru tat-Tħassir tad-Dejta huwa essenzjali.

Tabella ta’ eżempju ta’ traċċa tal-awditjar

L-awdituri javviċinaw dan minn perspettivi differenti. Il-gwida Zenith Controls tiddeskrivi kif oqfsa differenti tal-awditjar jeżaminaw il-proċess:

Żbalji komuni u kif tevitahom

Anke meta politika tkun fis-seħħ, ħafna organizzazzjonijiet ifallu waqt l-eżekuzzjoni. Dawn huma żbalji komuni u kif approċċ strutturat jgħin biex jiġu solvuti:

Konklużjoni: ibdel iċ-ċimiterju tad-dejta tiegħek f’vantaġġ strateġiku

Sitt ġimgħat wara, Maria mexxiet lill-awditur tal-GDPR permezz tax-xogħol tat-tim tagħha. Il-kamra tal-ħżin kienet vojta. Minflokha kien hemm arkivju diġitali li kien fih reġistru metikoluż għal kull assi ddekummissjonat: logs tal-inventarju, rapporti tal-klassifikazzjoni tad-dejta, proċeduri ta’ sanitizzazzjoni, u ċertifikati ta’ qerda ffirmati. Dak li darba kien sors ta’ ansjetà issa sar eżempju ta’ ġestjoni tar-riskju matura.

Iċ-ċimiterju tad-dejta huwa sintomu ta’ kultura tas-sigurtà reattiva. It-trasformazzjoni tiegħu teħtieġ approċċ proattiv u mmexxi mill-politika. Teħtieġ li naraw ir-rimi tad-dejta mhux bħala xogħol ta’ tindif tal-IT, iżda bħala funzjoni strateġika tas-sigurtà li tnaqqas ir-riskju, tiżgura l-konformità, u turi impenn għall-protezzjoni ta’ informazzjoni sensittiva.

Lest tindirizza ċ-ċimiterju tad-dejta tiegħek? Ibda billi tibni l-pedament għal approċċ ibbażat fuq evidenza u reżiljenti għall-ġestjoni taċ-ċiklu tal-ħajja tal-informazzjoni.

Passi li tista’ tieħu issa:

1. Stabbilixxi l-pedament: Implimenta politika ċara u applikabbli billi tuża l-mudelli ta’ Clarysec, bħall-Politika ta’ Żamma u Rimi tad-Dejta jew il-Politika ta’ Żamma u Rimi tad-Dejta - SME.
2. Immappja l-univers tiegħek: Oħloq u żomm inventarju komprensiv tal-assi kollha tal-informazzjoni. Ma tistax tarmi dak li ma tafx li għandek.
3. Iddefinixxi u applika ż-żamma: Stabbilixxi skeda formali ta’ żamma li torbot kull tip ta’ dejta ma’ rekwiżit legali, kuntrattwali jew tan-negozju, u mbagħad awtomatizza l-applikazzjoni tagħha.
4. Operazzjonalizza r-rimi sigur: Integra proċeduri ta’ tħassir sigur u sanitizzazzjoni fil-proċeduri operattivi standard tiegħek għad-dekummissjonar tal-assi tal-IT.
5. Iddokumenta kollox: Oħloq u żomm traċċa robusta tal-awditjar għal kull azzjoni ta’ rimi, inklużi logs, tickets u ċertifikati minn partijiet terzi.
6. Estendi għall-katina tal-provvista tiegħek: Żgura li l-kuntratti tiegħek ma’ fornituri cloud u fornituri oħra jinkludu rekwiżiti stretti għar-rimi sigur tad-dejta u itlob prova tal-konformità.

Kull byte ta’ dejta mhux meħtieġa huwa riskju. Erġa’ ħu l-kontroll, saħħaħ il-konformità tiegħek, issimplifika l-awditi, u naqqas l-espożizzjoni għal ksur.

Ikkuntattjana għal dimostrazzjoni jew esplora l-librerija sħiħa ta’ Zenith Blueprint u Zenith Controls biex tibda l-vjaġġ tiegħek.