Sự ra đời của GDPR trở lại vào năm 2018 đã buộc các tổ chức phải xem xét kỹ lưỡng các chính sách xóa bỏ của họ. GDPR không chỉ là 'quyền được lãng quên'; nó cũng áp dụng để ngăn chặn rò rỉ dữ liệu của tất cả các doanh nghiệp kinh doanh trong Liên minh Châu Âu hoặc từ bên ngoài với một công ty thuộc Liên minh Châu Âu. Tuy nhiên, dường như vẫn còn nhiều sự nhầm lẫn trong việc điều chỉnh các giao thức xóa dữ liệu, điều này đang khiến các tổ chức dễ bị vi phạm dữ liệu. Trong blog này, chúng tôi khám phá cách bạn có thể đảm bảo doanh nghiệp của mình vẫn tuân thủ khi xóa dữ liệu khỏi môi trường đang hoạt động.
Điều 32
Trong Điều 32 của GDPR, nó tuyên bố rằng các công ty phải "đưa ra một quy trình để duy trì việc xem xét và đánh giá thường xuyên về hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an toàn cho việc xử lý dữ liệu cá nhân trong công ty." Việc đảm bảo bạn đã thực hiện một quy trình thích hợp không chỉ có giá trị cho việc xử lý dữ liệu mà còn cho quá trình lựa chọn và mua sắm các giải pháp CNTT (cả phần mềm và phần cứng) đang được sử dụng.
GDPR:Điều gì nên được thực hiện?
Mọi đại diện CNTT của công ty nên thực hiện tất cả các biện pháp cần thiết để đảm bảo rằng không có dữ liệu cá nhân nào có thể bị rò rỉ ra bên ngoài công ty. Một số bước đáng lẽ phải được thực hiện theo GDPR là:
- Bút danh và mã hóa dữ liệu cá nhân,
- khả năng đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống và dịch vụ liên quan đến quá trình xử lý vĩnh viễn;
- khả năng khôi phục nhanh chóng tính khả dụng và quyền truy cập vào dữ liệu cá nhân trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật;
- một quy trình để xem xét và đánh giá định kỳ hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo sự an toàn của quá trình xử lý.
Một điểm quan trọng khác của Điều 32 là:
"Cụ thể, các rủi ro liên quan đến quá trình xử lý - cụ thể là phá hủy, mất mát hoặc thay đổi, cho dù vô tình hoặc bất hợp pháp hoặc tiết lộ trái phép hoặc truy cập trái phép vào dữ liệu cá nhân được truyền, lưu trữ hoặc theo cách khác - phải được tính đến khi đánh giá mức độ thích hợp của bảo vệ. "
Tóm lại, Điều 32 yêu cầu các tổ chức phải tính đến mọi rủi ro khi sử dụng bất kỳ công nghệ nào có dữ liệu cá nhân. Trước khi bất kỳ tổ chức nào sử dụng phương tiện để lưu giữ dữ liệu nhạy cảm, nhân viên có trách nhiệm phải hoàn thành đánh giá tác động bảo vệ dữ liệu để xác định bất kỳ rủi ro nào đối với quyền (dữ liệu) của các cá nhân.
Mọi rò rỉ dữ liệu xảy ra trong một công ty phải được báo cáo trong vòng 72 giờ kể từ khi xảy ra rò rỉ . Nếu không, tiền phạt sẽ rất nặng và tương tự như đối với việc sử dụng trái phép dữ liệu cá nhân:bị phạt lên đến € 20 triệu hoặc 4% doanh thu hàng năm toàn cầu (tùy theo mức nào lớn hơn).
Xóa an toàn vẫn là một vấn đề
Hai năm kể từ khi triển khai, một số doanh nghiệp tiếp tục bỏ qua hoặc quên xóa các tệp hiện có khỏi máy tính để bàn, máy tính xách tay, ổ đĩa ngoài và các dịch vụ. Điều này thường do sự hiểu nhầm về các phương pháp xóa dữ liệu chính xác và thiếu quyền truy cập vào các công cụ hiệu quả cho phép họ xóa dữ liệu trong môi trường CNTT đang hoạt động của họ. Do đó, dữ liệu nhạy cảm của nhiều tổ chức bị đặt ở vị trí dễ bị xâm phạm và dễ bị vi phạm.
Đối với nhiều tổ chức, việc xóa dữ liệu vẫn không phải là ưu tiên hàng đầu về bảo mật của bộ phận CNTT của họ; điều này không có gì đáng ngạc nhiên khi các cuộc tấn công mạng đã trở thành một thực tế đáng tiếc trong thế giới kết nối kỹ thuật số ngày nay. Tuy nhiên, như đã thảo luận ở trên, GDPR trở thành một yêu cầu pháp lý đối với các tổ chức để đảm bảo họ có các phương pháp hủy dữ liệu chính xác và an toàn.
Tuy nhiên, nhiều bộ phận CNTT đang thiếu kiến thức và giáo dục về sự khác biệt giữa "xóa" và "tẩy". Trong một nghiên cứu được thực hiện bởi Blancco - 'Delete vs Erase':Cách xóa tệp trong Môi trường hoạt động, nó phát hiện ra rằng hơn một nửa (51%) trong số 400 người được hỏi cho rằng việc dọn sạch thùng rác của họ là đủ để xóa dữ liệu của họ khỏi máy tính để bàn / máy tính xách tay vĩnh viễn. Đáng lo ngại không kém, 51% khác cho rằng thực hiện định dạng nhanh hoặc định dạng lại toàn bộ ổ đĩa máy tính của họ là đủ để phá hủy dữ liệu của họ một cách tốt đẹp.
Nếu không có kiến thức và kiến thức chuyên môn phù hợp về việc xóa dữ liệu, các tổ chức đang đặt dữ liệu nhạy cảm của họ vào nguy cơ vi phạm dữ liệu tiềm ẩn.
Để giúp tăng cường vệ sinh dữ liệu của tổ chức bạn và cải thiện hoạt động quản lý dữ liệu tổng thể và thực tiễn xóa dữ liệu, chúng tôi đã tổng hợp các mẹo bên dưới để hỗ trợ bạn khi làm sạch dữ liệu từ một môi trường đang hoạt động.
1. Tự động hóa xóa an toàn đang hoạt động
Mỗi người dùng nên thực hiện việc này trên thùng rác của họ sau khi đăng xuất khỏi hệ thống. Bằng cách tự động hóa quy trình này, tổ chức của bạn đang thực hiện các bước thẩm định cần thiết để xác nhận việc xóa dữ liệu và tệp vĩnh viễn và an toàn. Làm điều này sẽ giảm thiểu bất kỳ sự không chắc chắn hoặc rủi ro nào liên quan đến việc xóa dữ liệu một cách an toàn khỏi máy tính xách tay hoặc máy tính để bàn của người dùng.
2. Lên lịch thao tác "chia nhỏ dung lượng đĩa trống"
Mỗi máy tính xách tay và máy tính để bàn do tổ chức của bạn sở hữu và sử dụng phải bao gồm bước này khi có các cửa sổ dịch vụ hoặc các bản vá được lên lịch. Bằng cách thực hiện điều này, bạn sẽ liên tục nhắm mục tiêu dữ liệu ứng dụng còn tồn tại (cũng như các dữ liệu khác) đã bị người dùng của hệ thống xóa không đúng cách hoặc không hoàn toàn.
3. Tự động xóa các tệp tạm thời
Tự động hóa quy trình xóa sẽ đảm bảo quy trình này được thực hiện thường xuyên, đảm bảo tính bảo mật tối ưu. Bằng cách này, bạn có thể nhắm mục tiêu dữ liệu người dùng có thể đã được tích hợp và vẫn còn trong hệ thống, chẳng hạn như bộ nhớ cache của trình duyệt, nơi có thể lưu trữ thông tin nhạy cảm.
4. Xóa tệp người dùng đã lưu và tạo cục bộ
Việc liên tục xóa các tệp người dùng được sản xuất cục bộ và khuyến khích nhân viên của bạn lưu trữ dữ liệu của họ trong một kho lưu trữ trung tâm có thể ngăn ngừa vi phạm dữ liệu có thể xảy ra. Đây là một cuộc đấu tranh quản lý dữ liệu đang diễn ra từ lâu đã làm phật lòng các nhóm CNTT trong nhiều tổ chức.
5. Cho phép "người dùng thành thạo" thực hiện thao tác xóa đang hoạt động
Nội dung thường được giám sát đối với các chính sách CNTT của bạn là việc lựa chọn và chỉ định một nhóm "người dùng quyền lực" trong tổ chức được ủy quyền để thực hiện xóa chủ động các tệp khỏi hệ thống. Chúng có thể là công cụ bảo mật cho công ty của bạn, đặc biệt nếu các cá nhân đang lưu trữ dữ liệu nhạy cảm ở sai vị trí. "Người dùng thành thạo" nên nhắm mục tiêu dữ liệu được lưu trữ không chính xác và xóa vĩnh viễn dữ liệu đó ngay lập tức.
6. Nhận chứng chỉ xác minh tính năng xóa tệp để đảm bảo tuân thủ quy định
Đảm bảo bạn có chứng chỉ và dấu vết kiểm tra chứng minh tính an toàn và xóa vĩnh viễn của dữ liệu sẽ có nghĩa là tổ chức của bạn có thể cho thấy rằng tổ chức của bạn đang tuân thủ các chính sách lưu giữ dữ liệu và các yêu cầu quy định. Dịch vụ xác minh xóa có thể giúp tổ chức của bạn xác minh chiến lược xóa dữ liệu của mình.
Để biết thêm thông tin về cách xóa dữ liệu một cách an toàn khỏi môi trường công ty của bạn, hãy liên hệ với một trong những chuyên gia hủy dữ liệu của chúng tôi.
Bản quyền hình ảnh:MichaelGaida / pixabay.com
https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/
Giấy phép CC0