Come scegliere un fornitore per la dismissione di hardware informatico

Sia che la tua azienda stia sostituendo la sua infrastruttura IT o che inizi ad adottare soluzioni Cloud, sicuramente avrai dell’hardware da dismettere e di  conseguenza sarà necessario assicurarsi di cancellare tutti i dati salvati all'interno di questi asset.

Quando si sceglie di affidarsi a un nuovo partner per la gestione delle risorse IT e dei dati aziendali, è spesso necessario porsi delle domande.

• Come faccio a sapere se sto facendo la scelta giusta?
• Quali criteri, linee guida o altre variabili devono tenere in considerazione per garantire che la mia decisione sia giusta?

Come dismettere gli asset in modo corretto

Quando si sceglie un partner ITAD (IT Asset Disposal), è necessario assicurarsi che forniscano audit completi, in modo da sapere sempre dove si trova l’hardware in dismissione, quale sarà il suo destino, ovvero se l'apparecchiatura verrà rivenduta, riutilizzata o riciclata.

Indipendentemente da quale sarà la sua destinazione finale, è necessario considerare diverse opzioni per assicurarsi di cancellare in modo sicuro tutti i dati archiviati sull'hardware.

Le soluzioni per una cancellazione permanente e sicura dei dati sono 3 anche che se a volte per ottenere un risultato ottimale potrebbe essere necessario combinare tra loro questi processi.La scelta della metodologia da adottare dalle policy interne all'azienda e dal tipo di media da dismettere.

Quali sono le modalità tecniche?

• Cancellazione tramite sovrascrittura (wiping) dei dati - Questo è il metodo maggiormente utilizzato in quanto permette di rivendere / riutilizzare i dispositivi garantendo l’eliminazione sicura e definitiva di tutti i dati. Questo processo viene svolto tramite dei software. Esistono molte soluzioni sul mercato che consentono la completa rimozione dei dati e  forniscono un certificato per dimostrare che le informazioni digitali sono state cancellate correttamente. È necessario assicurarsi che il processo di sovrascrittura dei dati sia conforme agli standard NCSC (precedentemente CESG). È altresì importante richiedere al fornitore  cosa accadrà alle unità di memoria che non possono essere cancellati usando il software:   verranno distrutte fisicamente? E per le unità a stato solido o ibride: in che modo il provider scelto gestisce queste tecnologie?
• Cancellazione tramite degaussing – Si tratta di un processo che prevede l’utilizzo di un dispositivo che produce un forte campo elettromagnetico per distruggere tutti i dati  memorizzati su dispositivi magnetici  da renderli irrecuperabili. Quando si sceglie di utilizzare il degausser, è necessario assicurarsi che lo strumento sia stato approvato da NCSC: questo garantisce che sia stato testato e ne sia stata verificata l’efficacia.
• Distruzione fisica - A differenza della demagnetizzazione dei dispositivi magnetici, gli shredder per dischi rigidi, SSD, mini-tablet e dispositivi mobili garantiscono la distruzione fisica dei dispositivi. Gli shredder sono disponibili in diverse versioni a seconda delle necessità dell’azienda e tutte offrono alti standard di sicurezza dei dati.

Quali sono le conseguenza di una errata cancellazione dei dati?

Le conseguenze per le aziende in caso di violazione dei dati possono essere molto pesanti. Oltre a danneggiare la reputazione dell’organizzazione, nel caso in cui ad essere violati fossero anche i dati di proprietà intellettuale, l’azienda perderebbe anche il proprio vantaggio competitivo.

Da un punto di vista legale, inoltre, in caso di accesso non autorizzato alle informazioni riservate su clienti o dipendenti ancora presenti sui media, la società potrebbe anche violare il Regolamento Generale sulla Protezione dei Dati (GDPR), con una sanzione fino a 20 milioni di € o il 4% delle entrate globali.

Il valore dei dati sta rendendo ogni azienda e individuo un potenziale bersaglio degli hacker. Le aziende devono quindi adottare tutte le misure possibili per ridurre al minimo il rischio di violazioni nel rispetto di quanto previsto dalla legge.

Secondo quanto previsto dal GDPR, le organizzazioni devono anche chiedere l'autorizzazione delle persone a raccogliere informazioni, informarli su come tali dati verranno utilizzati e garantire che questi vengano cancellati in modo sicuro dopo un periodo di tempo prestabilito.

Uno specialista della cancellazione dei dati presso Ontrack consiglia:

“Le aziende dovrebbero prestare un alto livello di attenzione al processo di cancellazione dei dati da dispositivi in dismissione, pari a quello prestato durante il periodo di vita dell’infrastruttura IT. È quindi indispensabile proteggere l'intero ciclo di vita dei dati e delle risorse IT, assicurando che vengano colmate eventuali lacune nel processo. Le imprese dovrebbero poi verificare periodicamente i propri metodi di trasferimento, conservazione e cancellazione dei dati per assicurarsi di disporre di un catalogo aggiornato di tutte le informazioni archiviate. Infine, le organizzazioni dovrebbero garantire che i fornitori di terze parti  seguano le procedure necessarie per essere conformi alle normative".

Audit e certificazioni

Quando si è alla ricerca di un fornitore per la gestione dei propri dati, è necessario assicurarsi che possano fornire una report completo e dettagliato dei processi in modo da sapere sempre dove si trovano le apparecchiature (e i dati).

Che tipo di certificazione forniranno del processo di cancellazione o distruzione dei dati ? È importante conoscere se utilizzano soluzioni software approvate NCSC per la cancellazione dei dati. Nel caso in cui venga richiesta la distruzione fisica tramite shredder, verrà rilasciato un report?

Un altro elemento da valutare nella scelta del provider è legato alla sua reale esperienza nel settore. È quindi importante richiedere se sono in possesso di certificazioni e a quali standard e normative aderiscono.

Di norma, tutti i partner ITAD devono essere conformi al regolamento UE in merito alla gestione e allo smaltimento di apparecchiature elettriche ed elettroniche (RAEE) e devono essere in possesso di una licenza per i vettori di rifiuti. Questi provider possono anche essere un centro di trattamento autorizzato (AATF).

Le aziende dovrebbero poi richiedere ai provider se  aderiscono a standard ambientali, come ISO 14001 e qual è la percentuale di attrezzature che vengono riutilizzate, rivendute o raffinate.

Un altro standard ISO che funge da solido indicatore di affidabilità del possibile fornitore è l’ISO 27001: questo standard dimostra se sono in atto sistemi per lo smaltimento sicuro di apparecchiature IT ridondanti e la distruzione sicura di tutti i dati riservati.

È altresì importante che il fornitore aderisca a specifici standard di settore come l'ADISA (The Asset Disposal and Information Security Alliance), un'organizzazione che raccomanda standard per lo smaltimento sicuro delle apparecchiature IT, riducendo al minimo il rischio di esposizione e uso improprio di tutti i dati sensibili memorizzati su tale apparecchiatura.

Scopri dove sono i tuoi dati e chi li possiede

Quali garanzie offre il fornitore quando in merito agli spostamenti logistici delle apparecchiature contenenti i dati? Se il provider si avvale di fornitori terzi per alcune fasi del servizio, quali garanzie ti vengono fornite in merito alla sicurezza di queste operazioni? Ad esempio, è necessario assicurarsi che tutti i veicoli utilizzati per lo spostamento degli asset IT abbiano il tracciamento GPS abilitato.

Sarebbe infine importante capire se, in caso di servizi di terze parti, anche questi operatori seguono specifici standard di sicurezza e forniscono report dettagliati delle azioni svolte.

Se i tuoi dati dovessero finire nelle mani sbagliate, sarebbe la tua azienda a pagarne le conseguenze: assicurati quindi che il fornitore che sceglierai rispetti tutti i punti toccati in questo articolo e ti fornisca tutte le informazioni necessarie per esternalizzare in totale sicurezza un processo delicato come quello della cancellazione dei dati. 

Questo articolo è un guest post, scritto da Laura Cooper di  EOL IT Services.