当组织领导人考虑网络安全时,通常是关于他们需要在堆栈中添加哪些工具和实践电子邮件保护、防火墙、网络和端点安全、员工意识培训、人工智能和机器学习技术。不常考虑的是应该拿走哪些物品。

几乎与组织的安全姿势一样重要的是数据销毁,或者在公司不再需要数据的数据销毁......或者当它落入错误的手中时。

数据销毁究竟是什么?

“破坏”一词并不总是携带积极的内涵。如果设备失败,一个人可能会担心数据销毁,并且它们尚未正确备份或不存储云中的数据。但是,组织必须在几乎每天销毁数据,无论是删除电子邮件,通过倾倒旧的,无更长的相关文件,可以在数据库中清除收件箱或在数据库中进行空间。

在昔日的日子里,摧毁数据是一个相当简单的任务。拿旧纸张并穿过碎纸机。然后倾倒在回收设施中,擦拭手,并在空文件柜上微笑。

现代数据销毁更为复杂。在丢弃、重新使用或出售旧设备之前,必须清除存储在磁带、磁盘、硬盘驱动器、USB和其他物理硬件上的数据。为了组织相关数据并防止其落入犯罪分子手中,存储在网络和云中不再使用的数据应该被系统地销毁。

这是一项阶梯,每当他们停止使用持有信息的东西时必须采取。彻底的数据销毁过程涉及使以前在电子存储设备上的内容不可读的内容。企业必须这样做,无论他们打算出售旧存储介质还是将其扔掉。

数据破坏的主要类型是什么?

要真正销毁数据,仅删除文件不足。虽然文件可能无法在特定文件夹中可见,但它仍然可能存储在设备的硬盘驱动器或内存芯片中。因此,组织必须采取额外的步骤来确保操作系统或应用程序无法再读取数据。

在决定正确销毁数据时,公司有一些主要选择:

  • 消磁
  • 覆盖
  • 物理破坏存储介质

消磁需要使用称为Degausser的特殊工具,并选择专为特定存储设备设计的工具。Degausser删除或减少与存储盘相关联的磁场,这使得易读和不可恢复的数据呈现。

覆盖意味着用新的替换旧数据。此方法仅适用于存储介质未损坏和可写 - 当然当组织计划继续使用媒体而不是将其投掷或转售时。

物理地摧毁存储硬件通常意味着用锤子撞击或将其带入与棒球蝙蝠的领域,办公空间风格.这是一种昂贵的数据销毁方法,但一个人提供了极高的信心,即某人稍后无法访问信息。

在这些更广泛的类别中还有其他类型的销毁选择。例如,数据擦除是覆盖的一种形式,而擦除是另一个例子。

哪些网络安全风险数据销毁解决?

违规是网络安全大多数人在考虑由于数据破坏不足可能发生的情况时,可能会想到威胁。例如,大多数组织收集和存储有关其员工和客户的敏感或个人识别信息。然而,一旦这些员工或客户离开,企业可能会保留他们的数据一段时间,但最终会希望将其从系统中删除,这样他们就不必为违规带来的后果负责。

正是出于这个原因,网络犯罪分子希望损害组织;而且,他们的工作并不局限于组织积极使用的数据。静止的、存储的和传输的数据都有风险。而威胁行为者知道,用户和组织通常会在没有完全清除数据的情况下自行清除物理设备。据BBC报道,每10个二手硬盘中就有一个是二手硬盘仍然包含用户的旧信息.

获得数据也可能是无辜的。个人可以从第三方来源购买USB驱动器,并注意当将设备插入计算机时仍然有关它的信息。一个人还可以通过注意到一家公司在易于访问的垃圾箱中丢弃一些硬盘,并以稍后将磁盘从容器中取出敏感数据。

在数据泄露之外,组织可能会被罚款,以便在护理中误解信息。一旦监管机构得出结论,企业会在罚款中产生数百万美元的罚款,他们没有满足数据保管的最低标准。

一家IT公司名为probrand进行了一次数据销毁调查一般数据保护条例(GDPR)生效后几个月。结果显示,71%的英国贸易部门企业没有官方议定书,以摆脱旧电脑设备。然后,47%的受访者承认他们不知道组织中的哪个人有关数据毁坏。

公司无法单独查看数据销毁和网络安全。他们走在一起,如果一个组织不认真对待它,它的网络安全计划很短,特别是在维护信息方面。企业应该考虑自上而下的方法保护和处理数据时,尤其是当GDPR或其他法规适用于数据时。

在选择销毁方法时,组织应该考虑什么?

虽然上面提到的数据销毁技术包括组织可用的主要选项,但并不意味着公司或者应该只选择一个选项并为所有情况使用它。反而,他们需要思考时间、成本以及与每种方法相关的验证和认证。

时间发挥作用,因为某些技术比其他技术需要更长的时间来确保旧信息完全消失。组织的设备数量或驱动器的数量也需要或需要立即销毁。例如,如果公司只需要从一个或两个端点删除数据,那么与处理数百台机器相比,就会对时间更短的需求。

如果企业打算再次将硬盘用于不同的目的,或者其财务资源有限,那么成本是一个主要的因素。也许他们的预算不允许更换电脑,这使得物理破坏硬盘驱动器成为不可能。

验证和认证是相关的。他们解决了公司如何使用能够验证其方法的数据销毁服务提供商,并在完成工作后提供认证。拥有证书帮助业务显示其合规性。

有关在哪些方法的建议,其中国家技术(NIST)国家标准研究所(NIST)发表了数据卫生准则。组织不法行为遵循本美国商务部的报告部门提出的标准,但他们有助于概述保护数据免受渗透,滥用,滥用,盗窃和转售数据的最佳实践。

销毁数据应该是重中之重吗?

IT高管在网络安全克服越来越多的挑战。其中一些可能想知道数据毁坏(或缺乏其)是真正确认的风险还是仅仅是理论上的风险。实质性证据表明,公司不能忽视数据毁坏,因为他们熨烫了他们的网络安全计划。

马特·马龙是一名垃圾桶潜水员,他证实了这一点发生了许多黑客和身份临时当人们经历某人的垃圾时。马龙经常瞄准零售商的垃圾箱,并表示离职时间的活动比他的日常工作更多的钱。

还有一家名为Stellar的科技公司进行了剩余数据研究2019年,分析了311设备剩余的信息。它发现,超过71%的人包含个人身份信息(PII)。此外,222台设备还向二级市场转到二级市场,没有原始所有者首先进行适当的信息删除程序。

美国国家信息销毁协会的一项早期研究表明40%的设备接收二手他们身上有PII。研究人员对250多个项目进行了研究。

此外,2015年发布的研究强调了需要与其落后于其结果的信誉良好的数据销毁公司。研究检查了122个二手设备从电子商务网站上购买。除了包含剩余数据的48%的硬盘,35%的手机有信息,如呼叫和文本日志,图像和视频。

更糟糕的是,以前的删除尝试发生在大多数设备上——75%的硬盘和57%的手机。近距离观察告诉研究人员,人们试图用广泛可用但不可靠的数据销毁方法删除信息。从中吸取的教训是,在委托可靠的公司丢弃信息之前,权衡每种选择的利弊至关重要。

数据毁坏不应被忽视

网络安全是组织的热门话题,这些组织越来越受到网络犯罪分子的目标为了他们的宝藏。对于组织来说不再有用的数据仍然是威胁参与者的金矿。俗话说:一个人的垃圾是另一个人的财富。

虽然企业可能会花费大量资金来保护其活动数据,使其不致落入坏人之手,但经常被忽视的是,非活动或旧数据的安全性或破坏程度如何。清除所有旧数据的痕迹对于避免消费者继续被利用非常重要,此外,它还向犯罪分子发出一个信息,即您的组织甚至在其垃圾箱周围都有严密的防御。