Het beheren van Data Erasure: GEAUTOMATISEERDE PROCESSEN VOOR OPTIMALE EFFICIËNTIE

Het beheren van Data Erasure: GEAUTOMATISEERDE PROCESSEN VOOR OPTIMALE EFFICIËNTIE

Blancco White Paper

Gepubliceerd op 16 oktober 2012

Introductie Chief Information Officers (CIO’s), Corporate Security Officers (CSO’s), en Information Technology (IT) Asset Managers ondervinden een aantal problemen waardoor hun veeleisende baan nog complexer wordt. Deze leidinggevenden en beheerders zijn belast met de IT en automatisering binnen een onderneming. Daarmee ondersteunen ze enkele van de belangrijkste hoekstenen van een bedrijf of overheidsorganisatie. Inkrimping van het personeel en krappere budgetten

en dagelijks zorg draagt voor dataverwijdering en de

vormen enkele van de belangrijke uitdagingen waar-

verwijderingsbehoeften gedurende de gehele leven-

voor IT-managers zich gesteld zien. Het behalen van

scyclus van IT-middelen. Bij een dergelijke benade-

bestaande doelstellingen en criteria, en tegelijker-

ring hoort ook een volg- en rapportagesysteem dat in

tijd efficiënt en kosteneffectief opereren met minder

kaart brengt wat er verwijderd is en door wie.

middelen en minder geld, heeft een situatie gecreëerd waarin CIO’s en hun IT-afdelingen zich gesteld

Hoewel optimale dataverwijdering uiterst belangrijk

zien voor meer uitdagingen dan ooit.

is als het gaat om algemene gegevensbeveiliging, hebben IT-managers dagelijks te kampen met krap-

Een belangrijk onderdeel van het IT-beleid voor deze

pere budgetten en inkrimping van personeel. Om

groepen is de mogelijkheid om een solide en bewe-

het implementeren van dataverwijdering efficiënt

zen beveiligingsbeleid toe te passen en te beheren –

en effectief te laten verlopen, bieden geavanceerde

vooral in het licht van de wereldwijde, voortdurende

dataverwijderingsoplossingen een snelle, geautoma-

toename van inbreuk op de gegevensbeveiliging en

tiseerde en veilige manier om gegevens te bescher-

identiteitsdiefstal. Een belangrijk aspect van een der-

men. Tegelijkertijd worden de bijbehorende kosten

gelijk beleid is het definiëren en implementeren van

en middelen gereduceerd. Door geautomatiseerde

dataverwijderingsprocedures voor IT-middelen die ge-

functies verloopt de verwijdering sneller en is er de

pland staan voor hergebruik, donatie of verwijdering.

mogelijkheid om verwijderings- en rapportagemo-

Hieronder valt een oplossing die hardware opspoort,

gelijkheden af te stemmen op de meest dringende

variërend van Smartphones tot professionele servers,

behoeften van een organisatie.

2 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

Inhoudsopgave Introductie............................................................................................................2 Risico’s als gevolg van het op onjuiste wijze van de hand doen van it-middelen...........................................................4 Voor- en nadelen van technologieën voor gegevensbescherming .......................5 Steeds weer nieuwe uitdagingen in het beheer van databeveiliging..........................................................................6 Steeds meer regelgeving voor ondernemingen ............................................................6 Initiatieven in de verenigde staten......................................................................................6 Eu-richtlijn gegevensbescherming .....................................................................................7 Volledig controleerbaar verwijderingsproces..................................................................7 Het gebruik van privé-apparatuur op het werk – een blijver.....................................8 Het belang van verwijderingsbeheer gedurende de gehele levenscyclus van uw it-middelen............................................................9 Het beschermen van gegevens na afloop van de gebruiksduur ............................................................................................9 Gerichte dataverwijdering op actieve systemen .............................................................................................................. 10 Het belang van verwijdering op locatie ......................................................................... 10 De voordelen van een gecertificeerde, procesgeoriënteerde verwijderingsoplossing.................................................11 Procesbeheer ........................................................................................................................... 12 Conclusie.............................................................................................................13 Referenties..........................................................................................................14

3 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

Het op onjuiste wijze van de hand doen

Onbekend Menselijke fout of systeemfout Blootstelling via web/netwerk Malware

3%

10%

6%

Diefstal/verlies van gedrukte materialen

6% 10%

Diefstal/verlies van draagbare media

1%

Een onbetrouwbare insider

12%

Bron: KPMG International, October 2010

Verlies van pc

16%

21%

Op basis van oorzaken: Het aantal incidenten in % van het totale aantal voor 2010 (januari-juni)

11%

5%

Diefstal van pc

Hacking

Risico’s als gevolg van het op onjuiste wijze van de hand doen van IT-middelen Bedrijven associëren het verlies van gegevens vaak met gestolen laptops of andere draagbare media. Veel bedrijven zijn zich niet bewust van een veel subtielere valkuil: het op onjuiste wijze van de hand doen van IT-middelen. Volgens een rapport1 uit 2010 van KPMG International wordt het uitlekken van gegevens in 10% van de gevallen veroorzaakt door het op onjuiste wijze van de hand doen van ITmiddelen. Dit heeft ernstige gevolgen voor de reputatie van bedrijven. Doordat er steeds strengere richtlijnen zijn voor beveiliging van bedrijfsgegevens zijn er ook hoge boetes mee gemoeid. Sommige rapporten, waaronder een onderzoek door Kessler International2 uit 2009, tonen aan dat zo’n 40 procent van de harde schijven die tweedehands worden aangeboden nog gevoelige informatie bevatten. Dataverwijdering biedt een op software gebaseerde be-

drachten worden namelijk alleen de verwijzingen naar

nadering voor het overschrijven en volledig verwijderen

data op de harde schijf verwijderd; de informatie kan

van alle elektronische informatie – in veel gevallen ver-

eenvoudig worden teruggehaald met reguliere soft-

trouwelijk of gevoelig – die zich op een harde schijf of

wareprogramma’s. Bij dataverwijdering wordt alle infor-

andere digitale media bevindt en die gepland staat voor

matie verwijderd. Tijdens dit proces kan de harde schijf

hergebruik of verwijdering. Het opschonen of verwijde-

gewoon worden gebruikt. Er worden als bewijs van de

ren van data gaat veel verder dan de standaard verwij-

dataverwijdering verwijderingsrapporten gegenereerd

deringsopdrachten. Met de standaard verwijderingsop-

met gedetailleerde hardware-specificaties.

4 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

VOOR- EN NADELEN VAN TECHNOLOGIEËN

tie wordt toegepast kunnen worden aangevallen als

VOOR GEGEVENSBESCHERMING

ze niet voortdurend worden bijgewerkt. Data zijn dan

Er zijn veel technologieën voor gegevensbescherming

toegankelijk voor hen die de sleutel ontdekken, de be-

en -vernietiging, waaronder de fysieke vernietiging

veiliging weten te omzeilen of gebruikmaken van een

van apparaten, degaussen (een vorm van demagne-

mogelijk slecht uitgevoerde implementatie.

tiseren), encryptie, herformatteren, en minder uitgebreide manieren voor het overschrijven van software.

Ook bij het herformatteren van een harde schijf blijven

Elk van deze technologieën heeft echter nadelen. Bij

gegevens intact. Bij minder geavanceerde overschrij-

fysieke vernietiging van apparaten en degaussen is

vingstechnologie kan het aantal overschrijvingen bo-

een harde schijf bijvoorbeeld niet langer bruikbaar en

vendien te beperkt zijn. De vraag is ook of er verwij-

dus niet meer geschikt voor hergebruik of verkoop. De

deringsrapporten worden gegenereerd die voldoen

mogelijkheid duurzaam en milieuvriendelijk te opere-

aan de in de wet gestelde voorwaarden. Freeware voor

ren wordt hiermee dus beperkt. Bij fysieke vernietiging

overschrijving biedt bijvoorbeeld geen gedetailleerd,

is het herstellen van gegevens op gefragmenteerde

controleerbaar rapport en de effectiviteit van de soft-

digitale media bovendien nog steeds mogelijk. Omdat

ware is niet onafhankelijk geverifieerd.

dure apparatuur nodig is voor het vernietigen van harde schijven wordt deze activiteit over het algemeen uitbesteed. De harde schijven moeten dus worden vervoerd naar een derde partij. De kans op gegevensver-

Dataverwijderingsbeheer met geavanceerde ver-

lies neemt hiermee toe.

wijderingstechnologie is dé ultieme methode om apparaten te ontdoen van gevoelige informatie.

Andere strategieën voor gegevensbeveiliging hebben ook nadelen. Op software gebaseerde encryptie van gegevens is bijvoorbeeld in bepaalde situaties effectief, maar het is een tijdrovende, processor-intensieve

Dataverwijderingsbeheer met geavanceerde verwij-

activiteit die geen volledig veilige of controleerba-

deringstechnologie is daarom dé ultieme methode

re methode biedt voor het beveiligen van gegevens,

om apparaten te ontdoen van gevoelige informatie.

zeker niet als het gaat om ongebruikte apparatuur.

Door de volledige verwijdering van data te automa-

Cryptografische opschoning aan het eind van de le-

tiseren met technologie die bewijs levert in een ge-

venscycles van IT-middelen biedt geen verificatieme-

detailleerd rapport zijn organisaties ervan verzekerd

chanisme. Er is geen zichtbare audittrail en het risico

dat gegevens beschermd zijn, zonder dat dit invloed

bestaat dat de opschoning niet goed wordt uitgevoerd.

heeft op de productiviteit van bedrijfsmiddelen en

Zowel actieve als inactieve systemen waarbij encryp-

de algemene werkprocessen.

5 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

Steeds weer nieuwe uitdagingen in het beheer van databeveiliging Het lijkt erop dat IT-organisaties elke dag te maken hebben met een toenemend aantal uitdagingen. Gezien hun krappere budgetten en de daaruit voortvloeiende inkrimping van het personeel moeten ze nu meer doen met minder mensen. Hun netwerken worden echter steeds zwaarder belast door gebruikers die steeds beter ontwikkeld zijn. Volgens een onderzoek3 van 2011 EMC/IDC Digital Universe was er tussen 2005 en 2010 sprake van een vertienvoudiging van het digitale dataverkeer binnen allerlei soorten netwerken. De verwachting is dat dit in de toekomst niet zal veranderen. Tussen 2010 en 2012 was er spake van een verdubbeling en verwacht wordt dat er in 2015 weer meer dan twee keer zoveel dataverkeer zal zijn.

STEEDS MEER REGELGEVING VOOR

INITIATIEVEN IN DE VERENIGDE STATEN

ONDERNEMINGEN

Door toenemende regelgeving en wettelijke voor-

Wereldwijd is er een toename te zien van strenge

schriften met betrekking tot gegevensbescherming

branchevoorschriften en -regelgeving, die als doel

moeten ondernemingen voldoen aan veel extra vereis-

hebben het risico op het uitlekken van vertrouwe-

ten. In februari 2012 presenteerde president Obama in

lijke gegevens te beperken. Ook zijn er steeds meer

de Verenigde Staten een voorstel ter bescherming van

regels met betrekking tot gezondheid, financiën en

persoonsgegevens en ter promotie van innovatie in de

kredietinformatie. Voorbeelden van bestaande re-

wereldwijde digitale economie.

gelgevingen, die specifiek vereisen dat data wordt verwijderd, zijn de Health Insurance Portability and

Het rapport behandelt privacy-aangelegenheden

Accountability Act (HIPAA), The Fair and Accurate

van consumenten en het benadrukt de trends en de

Credit Transactions Act of 2003 (FACTA), de Payment

problematiek met betrekking tot digitale data op

Card Industry Data Security Standard (PCI DSS) en de

grotere schaal.

UK Data Protection Act 1998. Ook is op dit moment in de Verenigde Staten uitgebreide regelgeving in be-

In het rapport staat dat er in een eerder voorstel een

handeling omtrent vereisten voor dataverwijdering via

gebrek is aan een duidelijke uiteenzetting van basis-

de Consumer Privacy Bill of Rights, en in Europa via de

principes met betrekking tot privacy-aangelegenhe-

wet- en regelgeving van de EU over verbeteringen in

den die van toepassing zijn op de commerciële wereld.

gegevensbescherming.

Ook zijn er geen duidelijke lange-termijntoezeggingen van alle belanghebbenden om problematiek aangaande bescherming van gegevens van de consument,

Door toenemende regelgeving en wettelijke

voortkomend uit ontwikkelingen in technologie en be-

voorschriften met betrekking tot gegevensbe-

drijfsmodellen, aan te pakken.

scherming moeten ondernemingen voldoen Om de problematiek aan te kunnen pakken introdu-

aan veel extra vereisten.

ceerde de regering van Obama de Consumer Privacy Bill of Rights4, een wetsvoorstel waarin een dynamisch model wordt gepresenteerd dat voortdurende innova-

6 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

tie in nieuwe informatietechnologieën mogelijk maakt

Bedrijven met cloudservice moeten voldoen aan

en tegelijkertijd bescherming van de privacy – inclu-

deze regelgeving wanneer ze gegevens verwer-

sief de verplichting gegevens te verwijderen – hoog

ken van ingezetenen van de EU, ongeacht de lo-

in het vaandel heeft staan. Dit nieuwe kader is dusda-

catie van hun servers (binnen of buiten de EU).

nig ontworpen dat er een duidelijke uiteenzetting van basisprincipes met betrekking tot privacy-aangelegenheden voor de commerciële wereld moet worden opgenomen, alsmede duidelijke lange-termijntoezeg-

Naast de razendsnelle toename van regelgeving en

gingen van alle belanghebbenden om problematiek

branchevoorschriften

aangaande de bescherming van consumentengege-

zorgt de verspreiding van het steeds toenemende

vens, voortkomend uit ontwikkelingen in technologie

aantal apparaten en platforms dat in gebruik is om

en bedrijfsmodellen, aan te pakken.

gegevens op te slaan ervoor dat IT-afdelingen het

voor

gegevensbeveiliging,

beheer van de beveiliging met meer verschillende EU-RICHTLIJN GEGEVENSBESCHERMING

soorten apparatuur moeten uitvoeren. Werkstations

Intussen zijn er in Europa voorstellen gedaan ter ver-

en laptops, servers en opslagapparatuur, mobiele

betering van de gegevensbescherming, niet alleen

apparatuur zoals Smartphones, virtuele machines en

om oude regels uit 1995 te herzien, maar ook ter

complexe datacenter-apparatuur zijn slechts enke-

bevordering van de eenduidigheid in de implemen-

le voorbeelden van de vele soorten IT-middelen die

tatie van regelgeving.Technologische vooruitgang,

gevoelige informatie kunnen bevatten. Vanuit een

waaronder de opkomst van sociale netwerksites, cl-

wettelijk, moreel en fiduciair perspectief moeten or-

oud computing, op locatie gebaseerde services en

ganisaties, gezien de hoeveelheid vertrouwelijke ge-

smartcards, heeft binnen de EU de noodzaak aan

gevens, voorbereid zijn op het verwijderen van data

het licht gebracht de wet- en regelgeving ter verbe-

op een groot aantal soorten apparaten.

tering van gegevensbescherming5 te updaten. Een bestaand concept van deze updates is op dit mo-

VOLLEDIG CONTROLEERBAAR

ment in behandeling bij alle lidstaten van de EU. Er

VERWIJDERINGSPROCES

worden eisen gesteld aan de verwijdering van onli-

Succesvolle verwijdering alleen is niet genoeg; voor

ne gegevens en aan het gebruik van controleerbare

auditingdoeleinden is er ook bewijs nodig van de ver-

procedures voor bedrijven die persoonlijke gege-

wijdering. Gedetailleerd, controleerbaar bewijs van de

vens verwerken. Het wordt aanbevolen om gecertifi-

verwijdering is verplicht om te kunnen voldoen aan

ceerde systemen en processen te gebruiken.

richtlijnen en wetgeving. Een uitgebreide audit verschaft ook belangrijke documentatie met betrekking

Verwacht wordt dat sancties bij overtreding van de

tot de levenscyclus van IT-middelen.

nieuwe Europese regelgeving zullen variëren van 250.000 euro tot 0,5% van de wereldwijde jaarlijkse

Controleerbare rapporten die bestand zijn tegen on-

omzet voor kleinere overtredingen, en 1 miljoen euro

rechtmatige wijzigingen zijn van essentieel belang om

tot 2% van de omzet voor serieuze overtredingen.

te kunnen voldoen aan richtlijnen en wettelijke voor-

Bedrijven met cloudservice moeten voldoen aan deze

waarden voor auditing. Een dataverwijderingsoplossing

regelgeving wanneer ze gegevens verwerken van in-

dient uitgebreide verwijderingsrapporten te genereren.

gezetenen van de EU, ongeacht de locatie van hun ser-

Deze rapporten bieden belangrijke informatie omtrent

vers (binnen of buiten de EU).

het auditingproces, zoals bijvoorbeeld de staat waarin

7 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

de hardware verkeert, relevante serienummers en inven-

mensen hun telefoon gebruikt voor het werk. 77% van

taris-tags, softwaregegevens voor het verzamelen van

de ondervraagden gebruikte hun telefoon voor het

licenties, de toegepaste verwijderingsmethode en infor-

opslaan van bedrijfsnamen en –adressen, 23% sloeg

matie over wie de verwijdering heeft uitgevoerd.

ook klantgegevens op en 17% had bedrijfsinformatie gedownload zoals documenten en spreadsheets.8

HET GEBRUIK VAN PRIVÉ-APPARATUUR OP HET WERK – EEN BLIJVER

Hoewel er bij schending van de beveiliging van data

Organisaties zien zich ook gesteld voor uitdagingen

op mobiele apparaten zoals Smartphones en tablets

die te maken hebben met het gebruik van privé-appa-

vaak vooral wordt gedacht aan schadelijke software,

ratuur op het werk (‘Bring Your Own Device’ - BYOD).

phishing en aanvallen door spyware, vormt het op on-

Een recent rapport van Juniper Research toont aan

juiste wijze van de hand doen van gebruikte apparaten

dat er meer dan 150 miljoen privé-apparaten worden

een nog veel grotere bedreiging. Volgens overheidsin-

gebruikt op het werk6. BYOD is gemeengoed is ge-

stellingen zoals bijvoorbeeld European Network and

worden – verwacht wordt dat er in 2014 350 miljoen

Information Security Agency (ENISA), vormt het op

Smartphones worden gebruikt op de werkvloer.7

onjuiste wijze van de hand doen van Smartphones, zonder de gegevens erop te verwijderen, een van de

Mobiele apparaten bevatten een schat aan informa-

grootste risico’s voor de beveiliging van informatie.

tie, ondanks hun geringe afmetingen. Smartphones

Toch worden deze apparaten vaak niet onderworpen

en tablets hebben een intern geheugen van tot wel

aan de verwijderingsprocessen die worden toegepast

64 GB. De mobiele apparaten hebben een enorm ge-

op harde schijven.9 Dit is verontrustend als je bedenkt

heugen en worden steeds slimmer, waardoor mensen

dat er volgens analytici jaarlijks meer dan 100 miljoen

steeds productiever worden, zowel op hun werk als in

mobiele telefoons worden gerecycled.10

hun privéleven. De apparaten bevatten steeds vaker e-mails, klantgegevens, wachtwoorden en andere ge-

Het herstellen van de fabrieksinstellingen volstaat niet

voelige informatie. Wanneer ze van de hand worden

om gegevens te beveiligen, omdat de informatie een-

gedaan zonder dat de informatie wordt verwijderd, be-

voudig kan worden teruggehaald met reguliere soft-

staat de kans op inbreuk op de gegevensbeveiliging.

wareprogramma’s. Om een solide beveiligingsbeleid

Een onderzoek uit 2009 toont aan dat 99% van de

voor mobiele apparaten te ondersteunen, aan wette-

8 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

lijke vereisten te voldoen en inbreuk op de gegevensbeveiliging te voorkomen, moeten bedrijven een da-

Om een solide beveiligingsbeleid voor mobiele

taverwijderingsbeleid implementeren waarbij gebruik

apparaten te ondersteunen en inbreuk op de ge-

wordt gemaakt van geavanceerde verwijderingstech-

gevensbeveiliging te voorkomen, moeten bedrij-

nologie die een controleerbaar bewijs van de data-

ven een dataverwijderingsbeleid implementeren

verwijdering levert, of ze moeten een vooraanstaand

waarbij gebruik wordt gemaakt van geavanceerde

IT-verwijderingsexpert inschakelen als partner die een

verwijderingstechnologie die een controleerbaar

dergelijk proces kan waarborgen. Met de juiste kennis

bewijs van de dataverwijdering levert.

en technologie, of met behulp van een aanbieder van deze technologie, kunnen IT-managers het beleid toespitsen op zowel zakelijke apparatuur als op mobiele privé-apparatuur van werknemers.

Het belang van verwijderingsbeheer gedurende de gehele levenscyclus van uw IT-middelen Klanten en werknemers zijn afhankelijk van de beveiliging van hun persoonlijke en zakelijke informatie. Wanneer data, bij het van de hand doen van IT-middelen, niet op een veilige manier worden verwijderd, kan dit niet alleen resulteren in beschadiging van het bedrijfsimago, maar ook leiden tot lagere aandelenprijzen, het verlies van klanten en zakenrelaties en negatieve publiciteit. Een onzorgvuldig weggegooide, niet opgeschoonde harde schijf met vertrouwelijke gegevens kan heel eenvoudig identiteitsdiefstal tot gevolg hebben en een organisatie blootstellen aan negatieve publiciteit en kostbare rechtszaken. Het kan ook gevolgen hebben voor het personeelsverloop, de dagelijkse bedrijfsactiviteiten en de interne informatiebeveiliging. Ook om andere redenen is dataverwijdering van groot

Het beschermen van deze vertrouwelijke gegevens na

belang. Applicatie- of systeemsoftware die achterblijft

afloop van de gebruiksduur van IT-middelen – of bij

op een harde schijf wanneer IT-middelen van eigenaar

het opnieuw toewijzen van een computer binnen het

verwisselen kan schending van de site-licentievoor-

bedrijf – is minstens zo belangrijk, maar wordt vaak

waarden van de software-ontwikkelaar tot gevolg heb-

over het hoofd gezien. Omdat er grote hoeveelheden

ben. Het opnieuw toewijzen van een server aan een

vertrouwelijke informatie op deze IT-middelen zijn

andere afdeling of divisie kan tot gevolg hebben dat

opgeslagen, moeten data volledig worden vernietigd

software-licenties niet worden nageleeft. Dit kan resul-

voordat IT-middelen van de hand worden gedaan of

teren in hoge boetes van de leverancier.

worden gerecycled, hergebruikt of weggegeven.

HET BESCHERMEN VAN GEGEVENS

Het gebruik van een dataverwijderingsstrategie creëert

NA AFLOOP VAN DE GEBRUIKSDUUR

donatie- of verkoopmogelijkheden. U hoeft zich geen

Het is vanzelfsprekend dat organisaties hun data be-

zorgen te maken over gevoelige informatie die op de

veiligen en er alles aan doen om informatie gedurende

apparaten is opgeslagen. Fysieke vernietiging wordt ook

de gehele levenscyclus van een bedrijf te beschermen.

beter uitvoerbaar wanneer het wordt gecombineerd

9 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

met dataverwijdering, omdat er een hoger niveau van vertrouwen en veiligheid wordt bereikt. De beveiliging

Dataverwijdering is niet alleen een activiteit die aan

van gegevens wordt op deze manier gewaarborgd, ook

het einde van de levenscyclus van IT-middelen wordt

wanneer de fysieke vernietiging niet succesvol verloopt

uitgevoerd. Het kan ook nodig zijn in de beginfasen

of wanneer technologische ontwikkelingen op de een of

van het gebruik, wanneer bepaalde vertrouwelijke

andere manier het ophalen van gegevens van onderde-

informatie niet langer hoeft te worden geraadpleegd.

len van de apparaten mogelijk maken. GERICHTE DATAVERWIJDERING OP ACTIEVE SYSTEMEN

sche stations (LUN’s) en opslagarrays. Deze configura-

Dataverwijdering is echter niet alleen een activi-

ties en apparatuur worden op verschillende manieren

teit die aan het einde van de levenscyclus van IT-

ingezet en beheerd vanaf pc’s en laptops. Verwijdering

middelen wordt uitgevoerd. Het kan ook nodig zijn

kan dus gevolgen hebben voor de belangrijkste be-

in de beginfasen van het gebruik, wanneer bepaalde

drijfsactiviteiten. Servers of opslagarrays die draaien

vertrouwelijke informatie niet langer hoeft te worden

op bedrijfskritische toepassingen kunnen niet zomaar

geraadpleegd. Geavanceerde dataverwijderingstools

worden uitgeschakeld of gestopt zonder kostbare en

maken verwijdering of opschoning van individuele

tijdrovende procedures om ze weer online te brengen.

bestanden of mappen op actieve systemen moge-

Een geavanceerde verwijderingstool die gericht spe-

lijk. Dit gerichte verwijderingsproces is een ideale

cifieke data, LUN’s of opslagarrays aanpakt op actieve

manier om tijdelijke, vertrouwelijke informatie zoals

systemen is daarom onmisbaar.

creditcard-informatie, klantinformatie en bedrijfsdocumenten te verwijderen. Door datavernietiging te

HET BELANG VAN VERWIJDERING OP LOCATIE

automatiseren op basis van tijd of gebeurtenissen,

Wanneer verwijdering van IT-middelen wordt uitbe-

zorgt geavanceerde verwijdering voor beveiliging van

steed aan derden is het belangrijk voor een organi-

informatie op plaatselijke of externe servers en com-

satie om een partij te kiezen die gebruikmaakt van

puters. Ieder geselecteerd bestand dat zich op het

beveiligde dataverwijderingsprocessen, waarbij in-

systeem bevindt kan worden verwijderd. Het is een

zicht wordt gegeven in de activiteiten en rapporten

geruststellende gedachte dat het dagelijks verwijde-

worden gegenereerd. Dataverwijdering op locatie is

ren van informatie zo eenvoudig kan zijn.

echter de meest veilige optie, omdat zo kan worden gewaarborgd dat gevoelige informatie de onderne-

Veel ondernemingen maken gebruik van dure en inge-

ming – of zelfs een bepaald kantoor – niet verlaat.

wikkelde configuraties voor hun datacentra zoals logi-

De International Association of IT Asset Managers

10 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

(IAITAM)11 raadt een gecombineerde benadering aan

van informatie onderstrepen de noodzaak voor het ne-

als de beste werkmethode, waarbij gebruik wordt ge-

men van de juiste maatregelen om te garanderen dat

maakt van verwijdering ter plaatse voorafgaand aan

gevoelige informatie volledig en op veilige wijze wordt

het vervoer naar de derde partij die de verwijderings-

verwijderd. Als deze maatregelen niet worden geno-

processen verzorgt.

men kan dit voor een organisatie resulteren in boetes variërend van tienduizenden dollars tot wel $1 miljoen

Strenge branchevoorschriften, boetes, potentiële re-

dollar per overtreding,12 en bestaat het risico dat werk-

putatieschade voor een bedrijf als gevolg van inbreuk

nemers in bepaalde situaties mogelijk zelfs gevange-

op de gegevensbeveiliging en het risico op uitlekken

nisstraffen krijgen.

De voordelen van een gecertificeerde, procesgeoriënteerde verwijderingsoplossing Hoewel dataverwijdering organisaties op weg helpt bij het van de hand doen van digitale systemen, verdient het aanbeveling te werken met oplossingen die nationale en internationale goedkeuringen, certificeringen en aanbevelingen van derden hebben. Gecertificeerde software biedt constante, betrouwba-

Door gebruik te maken van een procesgeoriënteerde,

re resultaten en een heldere audittrail via rapportage.

centraal beheerde en geautomatiseerde dataverwij-

Ondernemingen, regeringen en andere eenheden er-

deringsoplossing kan de productiviteit en de effici-

varen hierdoor gemoedsrust en vertrouwen. De inter-

ëntie worden verbeterd. Een dergelijk proces beperkt

nationaal erkende Common Criteria-certificering toont

de kans op menselijke fouten door gecentraliseerd

bijvoorbeeld aan dat dataverwijderingssoftware een

toezicht en auditing, minimale handmatige invoer

zorgvuldig en onafhankelijk testproces heeft door-

van gegevens, automatische invulling van hardwa-

staan, waaruit is gebleken dat het in staat is om data

re- en verwijderingsrapportgegevens en een netwerk-

voorgoed te verwijderen van harde schijven en an-

gebaseerde levering van rapporten waardoor audi-

dere opslagapparaten. Het toont ook aan dat de soft-

tingprocessen kunnen worden verbeterd en organisa-

ware voldoet aan de richtlijnen van de International

ties kunnen voldoen aan wettelijke bepalingen. Naast

Standards Organization (ISO-IEC 15408).

dataverwijdering en rapportage kan dit proces een uitgebreide serie hardware-testen uitvoeren, automatisch of handmatig, en zo informatie verstrekken die van belang is bij hergebruik en doorverkoop van IT-middelen.

Door gebruik te maken van een procesgeoriën-

In vergelijking met reguliere verwijderingsmethoden

teerde, centraal beheerde en geautomatiseerde

of minder geavanceerde en solide verwijderingstools

dataverwijderingsoplossing kan de productivi-

is het met een dergelijke dataverwijderingsoplossing

teit en de efficiëntie worden verbeterd.

ook mogelijk meer apparaten in minder tijd op te schonen. De oplossing kan worden aangepast aan de specifieke behoeften en de hardware- of netwerkomgeving van een organisatie.

11 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

HARDWARE

BESTURINGS SYSTEEM

VIRUS EN FIREWALL

BEHEER

Kosten dataverwijdering PROCESBEHEER

De efficiëntie die wordt bewerkstelligd door het da-

Uitgebreid en gecentraliseerd online beheer van ge-

taverwijderingsproces te centraliseren en te automa-

automatiseerde dataverwijdering is van toepassing

tiseren zorgt ervoor dat de uiteindelijke investerings-

op elke fase van het proces, vanaf het opstarten van

kosten voor dergelijke software laag uitvallen. Als u de

de computer tot het verzenden van het rapport naar

risico’s en de potentiële boetes als gevolg van inbreuk

de database, en ten slotte de afronding met een cer-

op de gegevensbeveiliging in overweging neemt zijn

tificaat van voltooiing en het afsluiten van de com-

de kosten van een beheerd dataverwijderingsproces

puter. Een intuïtieve beheerconsole biedt ook verwij-

minimaal in vergelijking met de totale kosten van IT-

deringsbeheer op afstand, inclusief controle op de

middelen, waaronder de kosten voor hardware, soft-

voortgangsstatus, volledige automatisering (en dus

ware, firewall en antivirussoftware.

minimale gebruikersinspanning) en uitgebreide verwijderingsrapporten en statistieken. Door deze func-

Een naadloze integratie van een dataverwijderings-

ties is er sprake van een verhoging van de productivi-

oplossing met de bestaande IT-infrastructuur is ook

teit van 25 tot 30 procent in vergelijking met andere

van cruciaal belang vanuit een operationeel en econo-

methoden. Met een geavanceerd verwijderingsproces

misch standpunt. Dit impliceert de mogelijkheid om

kan IT-personeel bijvoorbeeld gelijktijdig data verwij-

samen te werken met andere software voor het beheer

deren op meer dan 200 harde schijven per server. Ook

van IT-middelen en ERP-pakketten, het op eenvoudige

kan men op afstand de verwijdering beheren van ver-

wijze importeren en exporteren van data en gebruik-

schillende soorten IT-middelen tegelijkertijd.

making van webservice-interfaces.

12 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

Conclusie De explosieve toename van databeveiligings- en privacyvoorschiften, het voortdurende risico op het uitlekken van gegevens en de hoge kosten die gemoeid zijn met inbreuk op de gegevensbeveiliging, laten er geen twijfel over bestaan dat er diverse maatregelen moeten worden genomen om er zeker van te kunnen zijn dat gevoelige informatie volledig en op veilige wijze wordt verwijderd. In veel gevallen is inbreuk op de gegevensbeveiliging niet het resultaat van hackers of andere illegale activiteiten. Onderzoeken tonen aan dat dit in 10% van de gevallen veroorzaakt wordt door het op onjuiste wijze van de hand doen van IT-middelen12. Omdat de IT-middelen van een organisatie in de

Dataverwijdering biedt een op software gebaseer-

toekomst steeds grotere hoeveelheden vertrouwe-

de benadering voor het overschrijven en vernietigen

lijke gegevens bevatten is het beschermen van ge-

van alle elektronische informatie op harde schijven

gevens door uitgebreide verwijdering een nood-

of andere vormen van digitale media. Tijdens dit pro-

zaak. Data moeten volledig worden vernietigd

ces kan de harde schijf gewoon worden gebruikt.

voordat IT-middelen van de hand worden gedaan

Geavanceerde verwijderingstools kunnen zelfs gericht

of worden gerecycled, hergebruikt of weggegeven.

specifieke vertrouwelijke gegevens aanpakken terwijl

Daarnaast worden ondernemingen in veel geval-

systemen operationeel zijn. Dataverwijderingssoftware

len verplicht, door het toenemende aantal wettelijke

is daarom niet zomaar een aankoopbeslissing aan het

voorschriften, richtlijnen en branchevoorschriften,

einde van de levenscyclus, maar een beslissing die

ervoor te zorgen dat gevoelige informatie op vei-

moet worden genomen bij aanvang van het gebruik

lige wijze wordt verwijderd. Het niet naleven van

van het apparaat.

deze voorschriften en richtlijnen kan resulteren in strafrechterlijke vervolging.

Uiteindelijk biedt een geavanceerde en gecentraliseerde dataverwijderingsoplossing gebrui-kers een snelle, geautomatiseerde en veilige manier om zowel

Een geavanceerde en gecentraliseerde dataver-

tijd als geld te besparen en garandeert zij tegelijker-

wijderingsoplossing biedt gebruikers een snelle,

tijd de beveiliging van gevoelige informatie. Met ge-

geautomatiseerde en veilige manier om zowel

automatiseerde

tijd als geld te besparen en garandeert tegelij-

IT-afdelingen de allersnelste en meest optimaal aan-

kertijd de beveiliging van gevoelige informatie.

pasbare benadering, met een verbeterd verwijde-

dataverwijderingsfuncties

rings-, rapportage- en auditingproces.

13 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

hebben

Referenties 1  KPMG International, “Data Loss Barometer –Insights into Lost and Stolen Information in 2010,” Issue 3, 2010 2  Kessler International, “Is Your Confidential Information Being Sold on eBay?”, February 2009, http://www.investigation.com/press/press75.htm 3  IDC, sponsored by EMC Corporation, “Extracting Value from Chaos,” June 2011, http://www.emc.com/collateral/analyst-reports/idc-extracting-value-from-chaos-ar.pdf 4  Obama Administration, “Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy,” February 2012, http://www.whitehouse.gov/sites/ default/files/privacy-final.pdf 5  European Commission, January 2012, http://ec.europa.eu/justice/data-protection/index_en.htm 6  MaaSters Blog, “Enterprise Mobility Update: 350 Million BYOD Smartphones by 2014,” August 2012, http://www.maas360.com/maasters/blog/businessintelligence/ enterprise-mobility-350-million-byodsmartphones-2014/ 7  Juniper Research, August 2012, http://www.juniperresearch.com/viewpressrelease.php?pr=330 8  Government Technology, “4.2 Million Cell Phone Users Leave Sensitive Data Unprotected,” March 2009, http://www.govtech.com/security/42-Million-Cell-Phone.html 9  ENISA, “Smartphones: Information Security Risks, Opportunities and Recommendations for Users,” December 2010, http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/ top-ten-risks/top-ten-smartphone-risks 10  ABI Research, “Recycled Handset Shipments to Exceed 100 Million Units in 2012,” December 2007, http://www.abiresearch.com/press/1015-Recycled+Handset+Shipments+to+Exceed+100+Million+ Units+in+2012 11  http://www.iaitam.org/ 12  Dark Reading, “$1.5M Fine Marks A New Era In HITECH Enforcement,” March 2012, http://www.darkreading.com/database-security/167901020/security/vulnerabilities/232700031/ 1-5m-fine-marks-a-new-era-in-hitech-enforcement.html Copyright © 2012 Blancco Oy Ltd.

De gebruiker is zelf verantwoordelijk voor naleving van alle van toepassing

Alle rechten voorbehouden.De informatie die in dit document is opgenomen

zijnde wetten op auteursrecht. Zonder dat hierbij de inhoud van de wetten

vertegenwoordigt de huidige zienswijze van Blancco Oy Ltd met betrekking

op auteursrecht wordt beperkt, mag geen enkel onderdeel van dit document

tot de besproken onderwerpen op het moment van publicatie. Vanwege ver-

worden gereproduceerd, opgeslagen of worden geïntroduceerd in een archi-

anderende marktomstandigheden kan Blancco de juistheid van informatie

veringssysteem, en in geen enkele vorm en op geen enkele wijze worden over-

die na de publicatiedatum wordt gepresenteerd niet garanderen. Dit witboek

gedragen (elektronisch, mechanisch, via kopieën, opnamen of anderszins),

dient uitsluitend ter informatie. Blancco geeft geen expliciete of impliciete ga-

voor welke doelstelling dan ook, zonder expliciete schriftelijke toestemming

ranties in dit document.

van Blancco.

14 Copyright © 2012 Blancco Oy Ltd. Alle rechten voorbehouden.

0800 5765 565, [email protected] www.ontrackdatarecovery.nl