Datakyrkogården: informationssäkerhetschefens guide till regelefterlevande och verifierbar radering och destruktion av data

Maria, informationssäkerhetschef på ett snabbväxande fintechbolag, kände hur den välbekanta knuten drog ihop sig i magen. Den externa GDPR-revisionen låg sex veckor bort, och en rutinmässig kontroll av tillgångsregistret hade just blottlagt ett spöke från bolagets förflutna: ett låst förråd i den gamla kontorsbyggnaden, fyllt med avvecklade servrar, dammiga band för säkerhetskopiering och travar med gamla medarbetardatorer. ”Datakyrkogården”, som hennes team dystert kallade den, var inte längre ett bortglömt problem. Den var en tickande efterlevnadsbomb.

Vilka känsliga kunddata, immateriella rättigheter eller personligt identifierbar information (PII) fanns kvar på dessa enheter? Hade något av det sanerats korrekt? Fanns det ens registreringar som kunde visa det? Avsaknaden av svar var det verkliga hotet. Inom informationssäkerhet kan det du inte vet skada dig – och gör det ofta.

Scenariot är inte unikt för Maria. För otaliga informationssäkerhetschefer, complianceansvariga och verksamhetsägare utgör äldre data en omfattande och okvantifierad risk. Det är en tyst skuld som ökar angreppsytan, försvårar begäranden från registrerade och skapar ett minfält inför revision. Kärnfrågan är enkel men svår i praktiken: vad ska ni göra med känsliga data som ni inte längre behöver? Svaret är inte att bara trycka på ”radera”. Det handlar om att bygga en försvarbar, repeterbar och verifierbar process för informationslivscykelhantering – från skapande till säker destruktion.

De höga insatserna med att samla data på hög

Att behålla data för alltid ”för säkerhets skull” hör till en förgången tid. I dag är det en påvisbart farlig strategi. Känsliga data som finns kvar längre än sin nyttiga eller föreskrivna livslängd exponerar organisationen för en rad hot, från sanktioner för bristande efterlevnad och integritetsincidenter till oavsiktliga läckor och utpressning med ransomware.

Att behålla data efter fastställd bevarandetid skapar flera kritiska risker:

• Bristande efterlevnad: Tillsynsmyndigheter skärper kraven mot onödigt databevarande. En datakyrkogård är ett direkt brott mot grundläggande integritetsprinciper och kan leda till betydande sanktionsavgifter.
• Ökad incidentpåverkan: Om en incident inträffar blir varje äldre datapost som ni behåller en skuld. En angripare som exfiltrerar fem år gamla kunddata orsakar exponentiellt större skada än om ett års data exfiltreras.
• Operativ ineffektivitet: Att hantera, säkra och söka igenom stora mängder irrelevanta data förbrukar resurser, saktar ned system och gör det nästintill omöjligt att uppfylla begäranden om ”rätten till radering” enligt GDPR.

Många organisationer tror felaktigt att data försvinner när man trycker på ”radera” eller tar bort en post i en databas. Så är det sällan; kvarvarande data finns ofta kvar i fysiska, virtuella och molnbaserade miljöer.

Regulatoriska krav: slutet för ”behåll allt för alltid”

Reglerna har förändrats. En samverkan av globala regelverk kräver uttryckligen att personuppgifter och andra känsliga uppgifter endast bevaras så länge det är nödvändigt och raderas säkert när perioden löper ut. Detta är inte en rekommendation; det är ett rättsligt och operativt krav.

Clarysecs Zenith Blueprint: revisorns 30-stegs färdplan sammanfattar det tvärregulatoriska kravet på säker radering och destruktion av data:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Kräver att personuppgifter inte bevaras längre än nödvändigt, stödjer rätten till radering (”rätten att bli bortglömd”) och kräver säker radering när uppgifterna inte längre behövs.
✓ NIS2 Article 21(2)(a, d): Kräver riskbaserade tekniska och organisatoriska åtgärder för att säkerställa att data raderas säkert när de inte längre behövs.
✓ DORA Article 9(2)(a–c): Kräver skydd av känslig information under hela dess livscykel, inklusive säker destruktion.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Behandlar säker dataradering, destruktion av medier och avlägsnande av informationstillgångar vid livscykelns slut.
✓ ITAF 4th Edition – Domän 2.1.6: Kräver underlag för säker destruktion och bortskaffning av data i enlighet med rättsliga och regulatoriska skyldigheter.

Det innebär att organisationen måste ha dokumenterade, tillämpade och verifierbara processer för dataradering. Det gäller inte bara pappersdokument eller hårddiskar, utan alla delar av den digitala miljön, inklusive molnlagring, säkerhetskopior, applikationsdata och tredjepartsleverantörer.

Från kaos till kontroll: bygg ett policystyrt program för radering och destruktion

Första steget för att desarmera datakyrkogården är att etablera ett tydligt och styrande ramverk. Ett robust program för radering och destruktion börjar inte med dokumentförstörare och avmagnetiseringsutrustning, utan med en väl definierad policy. Dokumentet fungerar som organisationens gemensamma styrande referens och samordnar verksamhet, juridik och IT kring hur data hanteras, gallras och förstörs.

Clarysecs Policy för databevarande och gallring ger en plan för detta. Ett av dess centrala mål anges tydligt i policyavsnitt 3.1:

”Att säkerställa att data endast bevaras så länge det är nödvändigt enligt lag, avtal eller operativa behov, och bortskaffas säkert när de inte längre behövs.”

Detta enkla uttalande förskjuter organisationens synsätt från ”behåll allt” till ”behåll det som är nödvändigt”. Policyn etablerar en formell process och säkerställer att beslut inte fattas godtyckligt utan knyts till konkreta skyldigheter. Som policyavsnitt 1.2 i Policy för databevarande och gallring betonar är den utformad för att stödja införandet av ISO/IEC 27001:2022 genom att styra hur länge data lagras och säkerställa beredskap för revisioner och regulatoriska inspektioner.

För mindre organisationer kan en omfattande koncernpolicy vara överdimensionerad. Policy för databevarande och gallring – SME erbjuder ett mer strömlinjeformat alternativ med fokus på det väsentliga, enligt policyavsnitt 1.1:

”Syftet med denna policy är att definiera bindande regler för bevarande och säker bortskaffning av information i en SME-miljö. Den säkerställer att poster endast bevaras under den tid som krävs enligt lag, avtalsförpliktelse eller verksamhetsbehov, och därefter förstörs säkert.”

Oavsett om det gäller en större organisation eller ett SME är policyn hörnstenen. Den ger mandat att agera och ett ramverk som säkerställer att åtgärder är konsekventa, försvarbara och anpassade till bästa praxis för informationssäkerhet.

Genomför planen: ISO/IEC 27001:2022-kontroller i praktiken

Med en policy på plats kan Maria omsätta principerna i konkreta åtgärder, styrda av kontrollerna i ISO/IEC 27001:2022. Två kontroller är särskilt viktiga här:

• Kontroll 8.10 Radering av information: Den kräver att ”information som lagras i informationssystem, enheter eller andra lagringsmedier ska raderas när den inte längre behövs.”
• Kontroll 7.14 Säker bortskaffning eller återanvändning av utrustning: Den fokuserar på fysisk hårdvara och säkerställer att lagringsmedier saneras korrekt innan utrustningen bortskaffas, återanvänds eller säljs.

Men vad betyder ”säkert raderad” i praktiken? Här skiljer revisorer mogna organisationer från dem som bara gör anspråk på kontroll. Enligt Zenith Blueprint är verklig radering betydligt mer än att flytta en fil till papperskorgen. Den omfattar metoder som gör data oåterställbara:

För digitala system ska radering innebära säker radering, inte bara att trycka på ”radera” eller tömma papperskorgen. Verklig radering omfattar:
✓ Överskrivning av data (t.ex. med metoder enligt DoD 5220.22-M eller NIST 800-88),
✓ Kryptografisk radering (t.ex. genom att förstöra krypteringsnycklar som använts för att skydda data),
✓ Eller användning av säkra raderingsverktyg före avveckling av enheter.

För fysiska dokument rekommenderar Zenith Blueprint korsskärande dokumentförstörare, förbränning eller certifierade destruktionstjänster. Den praktiska vägledningen hjälper organisationer att gå från policy till rutin genom att definiera de tekniska steg som krävs för att uppfylla kontrollens mål.

Ett helhetsperspektiv: bortskaffningens sammanlänkade säkerhetsnät

Att hantera datakyrkogården är inte en isolerad uppgift. Effektiv radering och destruktion av data är nära kopplad till andra säkerhetsområden. Här blir ett helhetsperspektiv, som det i Clarysecs Zenith Controls: guiden för tvärgående efterlevnad, avgörande. Det fungerar som en kompass och visar hur en kontroll är beroende av många andra för att fungera effektivt.

Låt oss granska Kontroll 7.14 (Säker bortskaffning eller återanvändning av utrustning) ur detta perspektiv. Guiden Zenith Controls visar att detta inte är en isolerad aktivitet. Framgången beror på ett nät av relaterade kontroller:

• 5.9 Tillgångsförteckning: Ni kan inte bortskaffa det ni inte vet att ni har. Marias första steg måste vara att inventera varje server, dator och band i förrådet. Ett korrekt tillgångsregister är grunden.
• 5.12 Klassificering av information: Metoden för bortskaffning beror på datans känslighet. Ni måste veta vad ni förstör för att välja rätt saneringsnivå.
• 5.34 Integritetsskydd och skydd av PII: Utrustning innehåller ofta personuppgifter. Bortskaffningsprocessen måste säkerställa att all PII förstörs oåterkalleligt, vilket direkt kopplar till integritetskrav enligt regelverk som GDPR.
• 8.10 Radering av information: Denna kontroll anger ”vad” som ska göras (radera information när den inte längre behövs), medan 7.14 anger ”hur” för de underliggande fysiska medierna. De är två sidor av samma mynt.
• 5.37 Dokumenterade driftrutiner: Säker bortskaffning måste följa en definierad och repeterbar process för att säkerställa konsekvens och skapa ett revisionsspår. Ad hoc-bortskaffning är en tydlig varningssignal för varje revisor.

Sambanden visar att ett moget säkerhetsprogram inte behandlar radering och destruktion av data som en städåtgärd, utan som en integrerad del av sitt ledningssystem för informationssäkerhet (ISMS).

Teknisk fördjupning: sanering av lagringsmedier och stödjande standarder

För att genomföra dessa kontroller effektivt är det viktigt att förstå de olika nivåerna av sanering av lagringsmedier, enligt ramverk som NIST SP 800-88. Metoderna ger ett skiktat angreppssätt för att säkerställa att data inte kan återställas, anpassat till datans känslighet.

Val av rätt metod beror på datans klassificering. Vägledning från specialiserade standarder är ovärderlig. Ett robust program använder ett brett urval av stödjande ramverk utöver ISO/IEC 27001:2022.

Revisorn kommer: så visar ni att processen fungerar

Att klara en revision handlar inte bara om att göra rätt, utan om att visa att ni har gjort rätt. För Maria innebär det att dokumentera varje steg i bortskaffningsprocessen för tillgångarna i datakyrkogården. Zenith Blueprint ger en tydlig checklista över vad revisorer kommer att kräva för Kontroll 8.10 (Radering av information):

”Tillhandahåll er policy för radering av information … Visa tekniskt genomförande genom konfigurerade bevarandeinställningar i era verksamhetssystem … De kan begära underlag för säkra raderingsmetoder: radering av diskar med godkända verktyg … eller säker dokumentbortskaffning. Om ni raderar data när ett avtal löper ut … visa revisionsspåret eller ärendet som bekräftar det.”

För att uppfylla revisorernas krav måste ni skapa ett komplett underlagspaket för varje bortskaffningshändelse. Ett register över dataradering är nödvändigt.

Exempeltabell för revisionsspår

Revisorer granskar detta från olika perspektiv. Guiden Zenith Controls beskriver hur olika revisionsramverk granskar processen:

Vanliga fallgropar och hur de undviks

Även med en policy på plats snubblar många organisationer i genomförandet. Här är vanliga fallgropar och hur ett strukturerat angreppssätt hjälper till att lösa dem:

Slutsats: gör datakyrkogården till en strategisk fördel

Sex veckor senare gick Maria igenom teamets arbete med GDPR-revisorn. Förrådet var tomt. I stället fanns ett digitalt arkiv med noggranna registreringar för varje avvecklad tillgång: inventeringsloggar, dataklassificeringsrapporter, saneringsrutiner och signerade destruktionsintyg. Det som tidigare var en källa till oro hade blivit ett exempel på mogen riskhantering.

Datakyrkogården är ett symptom på en reaktiv säkerhetskultur. Att omvandla den kräver ett proaktivt och policystyrt arbetssätt. Det kräver att radering och destruktion av data inte ses som IT-städning, utan som en strategisk säkerhetsfunktion som minskar risk, säkerställer efterlevnad och visar ett tydligt åtagande att skydda känslig information.

Är ni redo att hantera er egen datakyrkogård? Börja med att bygga grunden för ett verifierbart och resilient arbetssätt för informationslivscykelhantering.

Praktiska nästa steg:

1. Etablera grunden: Inför en tydlig och bindande policy med Clarysecs mallar, till exempel Policy för databevarande och gallring eller Policy för databevarande och gallring – SME.
2. Kartlägg hela miljön: Skapa och underhåll ett heltäckande register över alla informationstillgångar. Ni kan inte bortskaffa det ni inte vet att ni har.
3. Definiera och tillämpa bevarande: Fastställ ett formellt bevarandeschema som kopplar varje datatyp till ett rättsligt, avtalsmässigt eller verksamhetsmässigt krav och automatisera sedan tillämpningen.
4. Operationalisera säker bortskaffning: Integrera rutiner för säker radering och sanering i era standardiserade driftrutiner för avveckling av IT-tillgångar.
5. Dokumentera allt: Skapa och underhåll ett revisionssäkert spår för varje bortskaffningsåtgärd, inklusive loggar, ärenden och tredjepartsintyg.
6. Utvidga kraven till leveranskedjan: Säkerställ att avtal med molnleverantörer och andra leverantörer innehåller strikta krav på säker bortskaffning av data och kräv bevis på efterlevnad.

Varje byte onödig data är en risk. Återta kontrollen, stärk er efterlevnad, effektivisera revisioner och minska exponeringen vid incidenter.

Kontakta oss för en demonstration eller utforska hela biblioteket Zenith Blueprint och Zenith Controls för att påbörja resan.