Cimitirul datelor: ghidul CISO pentru eliminarea conformă și auditabilă a datelor

Maria, CISO într-o companie fintech aflată în creștere rapidă, a simțit din nou acea tensiune familiară în stomac. Auditul extern GDPR urma să înceapă peste șase săptămâni, iar o verificare de rutină a inventarului activelor tocmai scosese la suprafață o fantomă din trecutul companiei: o încăpere de depozitare încuiată, în vechea clădire de birouri, plină cu servere dezafectate, benzi de backup prăfuite și teancuri de laptopuri vechi ale angajaților. „Cimitirul datelor”, cum îl numea sumbru echipa ei, nu mai era o problemă uitată. Era o bombă de conformitate cu ceas.

Ce date sensibile ale clienților, proprietate intelectuală sau date cu caracter personal (PII) se ascundeau pe acele unități? Fusese vreuna dintre ele sanitizată corespunzător? Existau măcar înregistrări care să dovedească acest lucru? Lipsa răspunsurilor era adevărata amenințare. În securitatea informației, ceea ce nu știi te poate afecta — și, de multe ori, o va face.

Acest scenariu nu este specific doar Mariei. Pentru numeroși CISO, responsabili de conformitate și responsabili de business, datele moștenite reprezintă un risc major, necuantificat. Sunt un pasiv tăcut, care extinde suprafața de atac, complică solicitările persoanelor vizate și creează un teren minat pentru auditori. Întrebarea centrală este simplă, dar profund dificilă: ce trebuie făcut cu datele sensibile care nu mai sunt necesare? Răspunsul nu este simpla apăsare a butonului „delete”. Este vorba despre construirea unui proces robust, repetabil și auditabil pentru ciclul de viață al informațiilor, de la creare până la distrugerea securizată.

Miza ridicată a acumulării de date

Păstrarea datelor la nesfârșit „pentru orice eventualitate” este o relicvă a unei epoci depășite. Astăzi, este o strategie demonstrabil periculoasă. Datele sensibile care rămân peste durata lor utilă sau obligatorie expun organizația la numeroase amenințări, de la sancțiuni de conformitate și încălcări ale confidențialității până la scurgeri accidentale și chiar extorcare prin ransomware.

Păstrarea datelor după expirarea perioadei de retenție generează mai multe riscuri critice:

• Eșec de conformitate: Autoritățile de reglementare sancționează tot mai strict păstrarea inutilă a datelor. Un cimitir al datelor încalcă direct principiile de confidențialitate și poate conduce la amenzi semnificative.
• Impact crescut al încălcării: Dacă are loc o încălcare, fiecare element de date moștenite păstrat devine un pasiv. Exfiltrarea de către un atacator a cinci ani de date vechi ale clienților este exponențial mai gravă decât exfiltrarea datelor aferente unui singur an.
• Ineficiență operațională: Gestionarea, securizarea și căutarea în volume mari de date irelevante consumă resurse, încetinește sistemele și face aproape imposibilă îndeplinirea cererilor privind „dreptul la ștergere” în temeiul GDPR.

Multe organizații cred în mod eronat că apăsarea butonului „delete” sau eliminarea unei intrări dintr-o bază de date face ca datele să dispară. Rareori se întâmplă astfel, iar datele reziduale rămân în medii fizice, virtuale și cloud.

Mandate de reglementare: sfârșitul abordării „păstrează totul pentru totdeauna”

Regulile s-au schimbat. Convergența reglementărilor globale impune explicit ca informațiile personale și sensibile să fie păstrate numai atât timp cât este necesar și să fie șterse securizat la expirarea acestei perioade. Nu este o recomandare; este o obligație legală și operațională.

Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec sintetizează imperativul privind eliminarea securizată a datelor, aplicabil la nivelul mai multor reglementări:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): impune ca datele cu caracter personal să nu fie păstrate mai mult decât este necesar, susține dreptul la ștergere („dreptul de a fi uitat”) și impune ștergerea securizată atunci când datele nu mai sunt necesare.
✓ NIS2 Article 21(2)(a, d): solicită măsuri tehnice și organizatorice bazate pe risc pentru a asigura ștergerea securizată a datelor atunci când acestea nu mai sunt necesare.
✓ DORA Article 9(2)(a–c): impune protecția informațiilor sensibile pe întregul ciclu de viață al acestora, inclusiv distrugerea securizată.
✓ COBIT 2019 – DSS01.05 & DSS05.07: tratează ștergerea securizată a datelor, distrugerea mediilor și eliminarea activelor informaționale la sfârșitul ciclului de viață.
✓ ITAF 4th Edition – Domain 2.1.6: solicită dovezi privind distrugerea și eliminarea securizată a datelor în conformitate cu obligațiile legale și de reglementare.

Aceasta înseamnă că organizația trebuie să aibă procese documentate, aplicate și auditabile pentru ștergerea datelor. Cerința nu se aplică doar înregistrărilor pe hârtie sau hard diskurilor, ci fiecărei zone a mediului digital, inclusiv stocării cloud, backup-urilor, datelor aplicațiilor și furnizorilor terți.

De la haos la control: construirea unui program de eliminare bazat pe politici

Primul pas pentru dezamorsarea bombei reprezentate de cimitirul datelor este stabilirea unui cadru clar, cu autoritate. Un program solid de eliminare nu începe cu distrugătoare de documente și demagnetizatoare, ci cu o politică bine definită. Acest document servește drept sursă unică de adevăr pentru întreaga organizație, aliniind echipele de business, juridic și IT cu privire la modul în care datele sunt gestionate și distruse.

Politica de păstrare și eliminare a datelor de la Clarysec oferă un model pentru acest demers. Unul dintre obiectivele sale principale este formulat clar în clauza 3.1 a politicii:

„Să se asigure că datele sunt păstrate numai atât timp cât este necesar din punct de vedere legal, contractual sau operațional și că sunt eliminate în mod securizat atunci când nu mai sunt necesare.”

Această formulare simplă mută mentalitatea organizației de la „păstrează totul” la „păstrează ceea ce este necesar”. Politica stabilește un proces formal, asigurând că deciziile nu sunt arbitrare, ci corelate cu obligații concrete. După cum subliniază clauza 1.2 din Politica de păstrare și eliminare a datelor, aceasta este concepută pentru a susține implementarea ISO/IEC 27001:2022 prin aplicarea controlului asupra duratei de stocare a datelor și prin asigurarea capacității de a demonstra conformitatea în audituri și inspecții de reglementare.

Pentru organizațiile mai mici, o politică de nivel enterprise poate fi excesivă. Politica de păstrare și eliminare a datelor - IMM oferă o alternativă simplificată, concentrată pe elementele esențiale, astfel cum este menționat în clauza 1.1 a politicii:

„Scopul acestei politici este de a defini reguli aplicabile pentru păstrarea și eliminarea securizată a informațiilor într-un mediu IMM. Politica asigură că înregistrările sunt păstrate numai pe durata impusă de lege, de obligații contractuale sau de necesitățile organizației și că sunt distruse securizat ulterior.”

Indiferent dacă este vorba despre o organizație mare sau un IMM, politica este piatra de temelie. Ea oferă autoritatea de acțiune și cadrul necesar pentru ca acțiunile să fie consecvente, justificabile și aliniate la bunele practici de securitate din industrie.

Executarea planului: controalele ISO/IEC 27001:2022 în practică

Cu politica în vigoare, Maria poate transforma principiile acesteia în acțiuni concrete, ghidate de controalele din ISO/IEC 27001:2022. Două controale sunt esențiale aici:

• Controlul 8.10 Ștergerea informațiilor: acesta impune ca „informațiile stocate în sisteme informatice, dispozitive sau în orice alte medii de stocare să fie șterse atunci când nu mai sunt necesare.”
• Controlul 7.14 Eliminarea securizată sau reutilizarea echipamentelor: acesta se concentrează asupra hardware-ului fizic, asigurând că mediile de stocare sunt sanitizate corespunzător înainte ca echipamentul să fie eliminat, reutilizat sau vândut.

Dar ce înseamnă, de fapt, „șters securizat”? Aici auditorii separă abordările mature de simplele aparențe. Conform Zenith Blueprint, ștergerea reală înseamnă mult mai mult decât mutarea unui fișier în coșul de reciclare. Ea presupune metode care fac datele nerecuperabile:

Pentru sistemele digitale, ștergerea trebuie să însemne ștergere securizată, nu doar apăsarea butonului „delete” sau golirea coșului de reciclare. Ștergerea reală include:
✓ Suprascrierea datelor (de exemplu, prin metode DoD 5220.22-M sau NIST 800-88),
✓ Ștergere criptografică (de exemplu, distrugerea cheilor de criptare utilizate pentru protejarea datelor),
✓ Sau utilizarea unor instrumente de ștergere securizată înainte de dezafectarea dispozitivelor.

Pentru înregistrările fizice, Zenith Blueprint recomandă mărunțirea în particule prin tăiere încrucișată, incinerarea sau utilizarea unor servicii certificate de eliminare. Această îndrumare practică ajută organizațiile să treacă de la politică la procedură, definind pașii tehnici exacți necesari pentru atingerea obiectivului controlului.

O perspectivă holistică: rețeaua de securitate interconectată a eliminării

Gestionarea cimitirului de date nu este o activitate izolată. Eliminarea eficace a datelor este profund interconectată cu alte domenii de securitate. Aici devine indispensabilă o perspectivă holistică, precum cea oferită de Zenith Controls: ghidul de conformitate transversală de la Clarysec. Acesta acționează ca o busolă, arătând cum un control se bazează pe multe altele pentru a funcționa eficient.

Să analizăm Controlul 7.14 (Eliminarea securizată sau reutilizarea echipamentelor) prin această perspectivă. Ghidul Zenith Controls arată că acesta nu este o activitate izolată. Succesul său depinde de o rețea de controale conexe:

• 5.9 Inventarul activelor: nu puteți elimina securizat ceea ce nu știți că dețineți. Primul pas al Mariei trebuie să fie inventarierea fiecărui server, laptop și fiecărei benzi din acea încăpere de depozitare. Un inventar exact al activelor este fundamentul.
• 5.12 Clasificarea informațiilor: metoda de eliminare depinde de sensibilitatea datelor. Trebuie să știți ce distrugeți pentru a alege nivelul adecvat de sanitizare.
• 5.34 Confidențialitatea și protecția PII: echipamentele conțin adesea date cu caracter personal. Procesul de eliminare trebuie să asigure distrugerea ireversibilă a tuturor PII, fiind direct legat de obligațiile privind confidențialitatea prevăzute de reglementări precum GDPR.
• 8.10 Ștergerea informațiilor: acest control oferă „ce” trebuie făcut (ștergerea informațiilor atunci când nu mai sunt necesare), în timp ce 7.14 oferă „cum” pentru mediile fizice subiacente. Sunt două fețe ale aceleiași monede.
• 5.37 Proceduri operaționale documentate: eliminarea securizată trebuie să urmeze un proces definit și repetabil, pentru a asigura consecvența și pentru a crea o pistă de audit. Eliminările ad-hoc reprezintă un semnal de alarmă pentru orice auditor.

Această interconectare demonstrează că un program de securitate matur tratează eliminarea datelor nu ca pe o activitate de curățenie, ci ca pe o parte integrată a Sistemului de management al securității informației (SMSI).

Analiză tehnică aprofundată: sanitizarea mediilor de stocare și standardele de sprijin

Pentru implementarea eficace a acestor controale, este esențială înțelegerea nivelurilor diferite de sanitizare a mediilor de stocare, așa cum sunt descrise în cadre precum NIST SP 800-88. Aceste metode oferă o abordare pe niveluri pentru a asigura că datele sunt nerecuperabile, în mod proporțional cu sensibilitatea lor.

Alegerea metodei corecte depinde de clasificarea datelor. Îndrumările din standarde specializate sunt deosebit de valoroase aici. Un program robust utilizează un set larg de cadre de sprijin, dincolo de ISO/IEC 27001:2022.

Auditorul se apropie: cum demonstrați că procesul funcționează

Trecerea unui audit nu înseamnă doar să faceți ceea ce trebuie; înseamnă să dovediți că ați făcut ceea ce trebuie. Pentru Maria, aceasta presupune documentarea fiecărui pas al procesului de eliminare pentru activele din cimitirul de date. Zenith Blueprint oferă o listă de verificare clară a ceea ce auditorii vor solicita pentru Controlul 8.10 (Ștergerea informațiilor):

„Furnizați Politica de ștergere a informațiilor… Demonstrați aplicarea tehnică prin setări configurate de retenție în sistemele de business… Aceștia pot solicita dovezi ale metodelor de ștergere securizată: ștergerea discurilor cu instrumente aprobate… sau eliminarea securizată a documentelor. Dacă ștergeți date la expirarea contractului… prezentați pista de audit sau tichetul care confirmă acest lucru.”

Pentru a răspunde cerințelor auditorilor, trebuie să creați un pachet complet de dovezi pentru fiecare eveniment de eliminare. Un Registru de ștergere a datelor este esențial.

Exemplu de tabel pentru pista de audit

Auditorii abordează acest proces din perspective diferite. Ghidul Zenith Controls detaliază modul în care diverse cadre de audit examinează procesul:

Capcane frecvente și cum pot fi evitate

Chiar și cu o politică în vigoare, multe organizații întâmpină dificultăți în execuție. Mai jos sunt prezentate capcane frecvente și modul în care o abordare ghidată de Clarysec ajută la rezolvarea lor:

Concluzie: transformați cimitirul datelor într-un avantaj strategic

Șase săptămâni mai târziu, Maria a prezentat auditorului GDPR activitatea echipei sale. Încăperea de depozitare era goală. În locul ei exista o arhivă digitală care conținea o evidență meticuloasă pentru fiecare activ dezafectat: jurnale de inventar, rapoarte de clasificare a datelor, proceduri de sanitizare și certificate de distrugere semnate. Ceea ce fusese o sursă de anxietate devenise o demonstrație de management al riscurilor matur.

Cimitirul datelor este un simptom al unei culturi de securitate reactive. Transformarea lui necesită o abordare proactivă, bazată pe politici. Aceasta impune să privim eliminarea datelor nu ca pe o sarcină de curățenie IT, ci ca pe o funcție strategică de securitate, care reduce riscul, asigură conformitatea și demonstrează angajamentul de protejare a informațiilor sensibile.

Sunteți gata să vă abordați propriul cimitir de date? Începeți prin construirea fundamentului pentru o abordare rezilientă, bazată pe dovezi, a managementului ciclului de viață al informațiilor.

Pași următori concreți:

1. Stabiliți fundamentul: implementați o politică clară și aplicabilă folosind șabloanele Clarysec, cum ar fi Politica de păstrare și eliminare a datelor sau Politica de păstrare și eliminare a datelor - IMM.
2. Cartografiați întregul univers de date: creați și mențineți un inventar cuprinzător al tuturor activelor informaționale. Nu puteți elimina ceea ce nu știți că dețineți.
3. Definiți și aplicați retenția: stabiliți un calendar formal de retenție care corelează fiecare tip de date cu o cerință legală, contractuală sau de business, apoi automatizați aplicarea acestuia.
4. Operaționalizați eliminarea securizată: integrați procedurile de ștergere securizată și sanitizare în procedurile operaționale standard pentru dezafectarea activelor IT.
5. Documentați totul: creați și mențineți o pistă de audit robustă pentru fiecare acțiune de eliminare, inclusiv jurnale, tichete și certificate emise de terți.
6. Extindeți cerințele la lanțul de aprovizionare: asigurați-vă că toate contractele cu furnizorii cloud și alți furnizori includ cerințe stricte privind eliminarea securizată a datelor și solicitați dovezi de conformitate.

Fiecare octet de date inutile reprezintă un risc. Recâștigați controlul, consolidați conformitatea, simplificați auditurile și reduceți expunerea la încălcări.

Contactați-ne pentru o demonstrație sau explorați întreaga bibliotecă Zenith Blueprint și Zenith Controls pentru a începe acest parcurs.