A partire dal 2022, le violazioni dei dati potrebbero letteralmente costare alla vostra azienda il 5% del fatturato, e questi sono solo i costi legali.
Quindi, come iniziare a creare una politica corretta che garantisca lo smaltimento dei dati da eliminare, la conservazione di quelli da conservare e la tracciabilità relativa all’ avvenuta gestione di tali processi?
Abbiamo preparato una semplice guida in sette passi quale introduzione che dovrebbe darvi almeno un’idea iniziale su come definire una politica di distruzione sicura dei dati.
-
1. Esaminare quali dati si conservano e perché
La prima domanda da porsi è se i dati generati siano necessari o meno. La reingegnerizzazione dell'intero flusso di dati può far risparmiare molto denaro nel lungo periodo. Si tratta di un processo di gestione del rischio, su cui torneremo più volte. I dati che state immagazzinando sono abbastanza “preziosi” da giustificare il rischio ad essi associato?
-
2. Scoprire quali informazioni sono conservate
Il passo successivo per qualsiasi azienda è identificare i dati in suo possesso. Sapete cosa c'è dentro tutte quelle scatole? Ogni record, fisico o elettronico, ha un piano di conservazione? Ci sono dati in archivio che hanno superato la data di conservazione e che possono essere smaltiti? Abbiamo visto aziende conservare i dati per oltre 10 anni come parte di una politica interna, senza rendersi conto che alcuni di questi potrebbero essere distrutti già prima. Per una corretta gestione di conservazione dei dati è fondamentale capire se ne si ha il permesso per farlo e per quanto tempo. Pertanto, una verifica delle informazioni, un piano di conservazione e una politica di distruzione sicura vanno di pari passo con la riduzione del rischio.
-
3. Cercate nei vostri server i ROT: Dati ridondanti, obsoleti e banali
Le scatole in magazzino non sono l'unico posto dove cercare i dati conservati inutilmente. I server di molte aziende sono pieni di dati che vengono conservati anche se non offrono più alcuna informazione utile. In alcuni casi, queste vengono conservate per esigenze future, ma più spesso perché nessuno ha pensato di eliminarle. Si tratta di duplicati dovuti a e-mail inoltrate, stampe e lavoro a domicilio, ma anche di dati raccolti senza alcuno scopo. Tutti i ROT e i dati oscuri devono essere identificati tramite audit dedicati ed etichettati per una distruzione sicura.
-
4. Decidere cosa distruggere e cosa conservare
La maggior parte delle aziende decide che ci sono alcuni tipi di documenti che non devono essere distrutti e altri che invece possono esserlo. L'equazione da bilanciare in questo caso è il costo della distruzione rispetto al livello di rischio, che può dipendere dal tipo di dati generati. Volete essere totalmente sicuri di distruggere alla fonte tutto ciò che non deve essere conservato, insistendo sul fatto che ogni documento fisico vada ricoverato in un contenitore sicuro e che vada poi rimosso dagli addetti per essere distrutto? Oppure volete concentrarvi solo sui dati sensibili o su quelli che hanno una scadenza rigida per la conservazione? A questo punto si rende necessario fare un'analisi dei costi. Distruggere tutti i dati fisici è più sicuro, ma anche più costoso e questo aspetto va discusso con il vostro partner in outsourcing.
-
5. Parlare con il proprio partner per lo smaltimento sicuro secondo le vostre esigenze
Molte aziende hanno scoperto che cercare di gestire tutto da soli in loco comporta notevoli complicazioni, soprattutto se vengono conservati molti dati. Affidando la gestione ad esperti, si possono decidere insieme politiche e servizi che soddisfino le esigenze dell'Azienda.
-
6. Considerare l'ambiente
Quando si tratta di supporti rigidi esterni, c'è una decisione importante da prendere. Sarebbe meglio per l'ambiente se potessero essere riutilizzati, ma questo deve essere bilanciato con i rischi. I dati non possono mai essere completamente rimossi al 100%: se un hacker è abbastanza esperto e dispone dell'attrezzatura giusta, può essere in grado di recuperarne una parte anche dopo la riformattazione. E ancora: se in ufficio ci sono 50 vecchi PC e si sa che non hanno conservato dati (magari tutto è conservato nel cloud o su un server separato, per esempio), la distruzione potrebbe non essere necessaria. Inoltre, pensando di donare le apparecchiature come parte della vostra campagna di CSR, magari a una scuola, l’'aumento della reputazione e i contenuti che si genererebbero sui social media potrebbero trasformarsi ulteriori vantaggi.
-
7. Scegliere la frequenza di distruzione dei dati
Anche questa è una decisione che bilancia rischi e costi. Distruggere i dati il più spesso possibile è chiaramente preferibile, ma anche più costoso. Allo stesso modo, un volume elevato di dati elettronici può rallentare i server ed essere costoso, aumentando il rischio di violazione dei dati. Alle aziende spesso piace l'idea di una raccolta ad hoc, che si è rivelata particolarmente diffusa durante la pandemia, anche se questa è una pratica ancora allo stato embrionale nel suo pieno utilizzo.
