Cancellazione dei dati: perchè è così importante per il GDPR?

giovedì 20 febbraio 2020 di Mikey Anderson

L'introduzione del GDPR nel 2018 ha portato molte aziende a dover far fronte alla necessità di utilizzare metodi e processi di cancellazione sicura dei dati. La responsabilità in caso di inadempienza rispetto a quanto previsto dalla legge è a capo dei senior leadership team e le multe sono molto alte. Per molte aziende la corretta archiviazione, conservazione e distruzione dei propri dati sono temi caldi e discussi già da diverso tempo.

Conoscere i rischi legati alla mancata applicazione di quanto richiesto e adottare misure pragmatiche per affrontarlo sono due cose diverse. Il problema condiviso da molte organizzazioni è che i soggetti a cui viene richiesto di accedere ai dati non sanno realmente dove questi siano stati salvati e archiviati: fornire le informazioni richieste in caso di audit può quindi essere un processo complicato, che richiede tempo e denaro.

Ai sensi dell'articolo 17 del GDPR, le organizzazioni devono dimostrare e certificare di effettuare la cancellazione dei dati in modo sicuro e definitivo.

Come cancellare i dati in modo corretto

È necessario ribadire che la semplice eliminazione dei dati o la formattazione dei media magnetici (inclusi hard disk e tape) non sono misure sufficienti a garantire che i dati aziendali non siano più in alcun modo recuperabili. Quando un’organizzazione elimina i dati tramite la funzione “Svuota cestino” o la formattazione da qualsiasi supporto di storage il recupero dei dati è ancora possibile, anche in caso di danno provocato da fuoco o allagamenti.

Fortunatamente è possibile utilizzare diverse soluzioni software e hardware in grado di cancellare in modo permanente i dati dai media che possono quindi essere riallocati all'interno dell’azienda, rivenduti come usato o dismessi. Alcuni di questi software effettuano una cancellazione selettiva di file . Il degausser, utilizzato solo per i tape, cancella tutti i dati presenti sul device attraverso un campo magnetico ad alta intensità: in questo caso il nastro non potrà più quindi essere riutilizzato.

I rischi per i drive

Un'altra fonte significativa di incertezza sono i drive che tendono a essere riciclati e riutilizzati dalle organizzazioni che cercano di contenere i costi di archiviazione. Senza utilizzare i giusti strumenti e software per la cancellazione dei dati, le organizzazioni non possono essere sicure al 100% della distruzione dei loro dati sensibili dai media che usano.

Gli utenti spesso non conoscono quali rischi corrono

Secondo uno studio condotto su un campione di 2000 utenti nel Regno Unito, la maggior parte degli intervistati non conosce i rischi legati alla rivendita o il riutilizzo di supporti non cancellati in modo appropriato né quale sia la reale necessità di effettuare il backup dei dati. Più di uno su 10 (11%) ha ammesso di non essere sicuro che di eliminare i dati in modo permanente quando ricicla o dismette vecchi telefoni cellulari, tablet o computer.

Indagini forensi

Il mondo sta assistendo alla proliferazione di nuovi media, dagli smartphone agli iPad agli assistenti digitali ad attivazione vocale, a televisori e frigoriferi in grado di registrare e trasmettere dati. I sensori industriali e le telecamere a circuito chiuso producono a loro volta volumi di dati così grandi e complessi che è necessario un nuovo approccio per archiviare, proteggere e cancellare tutte queste informazioni. Gli esperti di computer forensic possono utilizzare i dati per risolvere anche indagini o inchieste. Ecco un esempio: durante le indagini per un omicidio, i pubblici ministeri hanno scoperto che i dati Fitbit di una donna assassinata non corrispondevano all'alibi fornito da suo marito. Dalle posizioni rilevate da Fitbit e dal monitor delle attività, gli investigatori sono stati in grado di produrre una sequenza temporale che mostrava che la donna non si trovava dove suo marito aveva detto che era al momento del suo omicidio.

Questo esempio dimostra che gli esperti di computer forensic sono in grado di recuperare i dati da quasi tutti i dispositivi, in quasi tutti i casi di perdita delle informazioni per qualsiasi danno subito. I nostri numerosi studi condotti negli anni sui dispositivi scartati o riciclati mostrano che spesso viene applicata una mancanza di pensiero, lasciando gli individui e le organizzazioni per cui lavorano a un livello di rischio grave. Gli studi che abbiamo effettuato negli anni sui dispositivi rivenduti come usato o dismessi mostrano la scarsa attenzione che utenti privati e aziende dedicano ai propri dati aumentando quindi il rischio che questi possano arrivare nelle mani sbagliate.

L’effetto del GDPR

Il GDPR stabilisce che le aziende che operano nei settori pubblici e privati devono essere in grado di provare di adottare soluzioni di cancellazione dei dati in linea con quanto previsto dalla normativa e dimostrare di essere pienamente responsabili del monitoraggio, della revisione e della valutazione delle relative procedure di elaborazione dei dati.

Tutte le organizzazioni devono dimostrare la volontà di:

  • ridurre al minimo i volumi di dati processati
  • evitare la conservazione di informazioni non necessarie
  • adottare policy volte alla protezione dei dati stessi

Per molte organizzazioni, il GDPR è stato un ottimo motivo per inserire o migliorare i propri processi di gestione delle informazioni digitali. L’adozione dei processi di cancellazione sicura ha notevoli vantaggi in termini di:

Costi – lo storage dei dati, sia fisici che virtuali è molto costoso. La loro cancellazione permette alle aziende di poter riutilizzare e riallocare i propri supporti di storage senza correre il rischio che le informazioni riservate possano cadere nelle mani sbagliate.

Sicurezza – le organizzazioni spesso non conoscono la differenza tra eliminazione e cancellazione dei dati. È fondamentale che sappiano che la cancellazione, diversamente dalla semplice eliminazione, è un processo permanente e definitivo.

Aggiornamento – il focus sulla conservazione e la cancellazione dei dati non è nuovo (PCI DSS, ISO 270001). Poiché il mondo sta diventando sempre più dipendente dai dati, è più che comprensibile che vengano emanate normative volte a incrementare la protezione dei dati. Il GDPR copre aspetti essenziali come la globalizzazione, i nuovi tool di comunicazione come Facebook, Twitter, Google+ e altre piattaforme di social media. La legislazione comprende tutte queste nuove tecnologie e, di conseguenza, anche tutte le informazioni generate dalla nostra interazione con i social media.

Contattare un’azienda specializzata nelle soluzioni di cancellazione sicura come Ontrack, permette alle aziende di poter utilizzare i giusti processi di cancellazione dei dati. Senza queste soluzioni le aziende potrebbero dover pagare multe salate e danneggiare la propria reputazione.