Nonostante le aziende e gli individui siano sempre più consapevoli dell’importanza della sicurezza informatica, una nuova analisi ha rivelato che lo smaltimento inadeguato di dati e dispositivi digitali rappresenta una minaccia potenzialmente catastrofica.
Sono finiti i giorni in cui un buon distruggidocumenti era sufficiente per nascondere documenti e informazioni da occhi indesiderati. I dati e la loro archiviazione ora vanno direttamente al nucleo di qualsiasi attività commerciale, il che significa che, nelle mani sbagliate, i dati possono essere distruttivi.
La semplice eliminazione dei dati dal disco rigido di un dispositivo prima dello smaltimento non è sufficiente, secondo l’analisi della società di servizi professionali Alvarez & Marshal (A&M).
Hanno condotto un’analisi forense approfondita su sei dispositivi usati acquistati su un mercato online. L’analisi ha rilevato dati sensibili e altamente personali sull’80% dei dispositivi.
L’obiettivo del progetto era quello di esporre i pericoli di uno smaltimento inadeguato dei dati in contesti aziendali e privati e dimostrare come il mancato smaltimento corretto delle apparecchiature IT ridondanti possa portare a violazioni dei dati, che non solo violano le leggi sulla protezione dei dati, ma possono anche provocare frodi finanziarie, con impatti devastanti sulle finanze e sulla reputazione delle aziende.
A&M è stata in grado di recuperare 5.875 documenti generati dagli utenti sui sei dispositivi. La maggior parte di questi elementi proveniva da dati scolpiti (cioè dati cancellati sui dischi rigidi dei laptop), con alcuni documenti ancora presenti sui dischi rigidi, non cancellati.
La stragrande maggioranza dei dati recuperati dal team di A&M conteneva informazioni altamente personali e sensibili; come scansioni di passaporti validi, nonché vari moduli di valutazione e moduli di domanda di lavoro che dettagliano dettagli di identificazione personale inclusi nomi completi, numeri di previdenza sociale, indirizzi, e-mail, data di nascita e altri dati sensibili. Inoltre, 366 file analizzati sui dispositivi dal team A&M includevano parole chiave di business.
Graeme Buller, Direttore di A&M, spiegato:
“L’aumento del Bring Your Own Device (BYOD) e del lavoro a distanza stanno sempre più offuscando i confini tra l’uso personale e aziendale dei dispositivi, aggravando le preoccupazioni sulla sicurezza dei dati e sulla gestione del ciclo di vita delle risorse IT. Sebbene solo il 6% dei file recuperati nella nostra analisi contenesse informazioni relative al business, il fatto stesso che siano riusciti a raggiungere questi dispositivi personali è sinceramente preoccupante. Se rilasciati nelle mani sbagliate, anche quelli che sembrano piccoli e innocui possono avere un impatto devastante su un’azienda”.
Altri approfondimenti dal recupero dei documenti includevano:
- 155 documenti contenevano riferimenti al termine “fattura”.
- 100 documenti contenevano riferimenti al termine “tribunale”.
- 84 file recuperati contenevano la parola chiave “report”.
- 23 file recuperati riportavano la parola “valutazione”.
- Sono state trovate immagini che consistevano in carte d’identità dell’edificio sul posto di lavoro, stipendi dei dipendenti, fatture e altra corrispondenza commerciale interna.
- Dei 5.875 documenti recuperati dai PC, 366 file includevano parole chiave relative al lavoro e il 4% conteneva dati residui che erano stati cancellati in modo improprio.
- Gli elementi relativi al Web rappresentavano il 16% dei dati complessivi.
- Sono stati trovati 2.111 elementi di posta elettronica.
Buller ha continuato:
“Quello che potrebbe essere scioccante per molti è che i dati che abbiamo acquisito sono stati ottenuti utilizzando un software che in realtà è pubblicamente disponibile a chiunque. Ciò evidenzia quanto siano realmente vulnerabili i nostri dispositivi (anche quando riteniamo che siano “puliti”) e dimostra il rischio che i truffatori e altri attori malintenzionati con competenze forensi moderate rappresentano oggi. La chiave qui è assicurarsi che tutti i dispositivi vengano cancellati correttamente e osservano un rigoroso processo di gestione dell’eliminazione dei dati”.
A&M ha condiviso cinque suggerimenti di best practice per quanto riguarda la gestione dello smaltimento dei dati:
- Applicare con forza le politiche di sicurezza dei dati: Per evitare che i dati sensibili vengano trasmessi al di fuori di ambienti protetti, le e-mail e i documenti aziendali dovrebbero idealmente essere conservati in un luogo sicuro e mai salvati localmente su una macchina o dispositivo.
- Stabilire e mantenere una politica di distruzione dei dati sicura: Dovrebbero essere in atto politiche e procedure relative alla distruzione sicura dei dati. Dovrebbe esserci allineamento tra i dipartimenti Legale, Rischi, Risorse Umane e IT per garantire un flusso coerente di informazioni e per fornire chiarezza su ruoli e responsabilità per coloro che sono coinvolti in questo processo.
- Adattare le politiche alla nuova realtà aziendale: Le politiche di smaltimento dei dati devono essere aggiornate per riflettere l’attuale ambiente di lavoro a distanza. Nuove considerazioni dovrebbero includere come garantire che i dispositivi vengano restituiti quando un dipendente lascia l’azienda o come cancellare da remoto le risorse IT se si rifiutano di restituire il dispositivo o in caso di smarrimento/furto/sostituzione. Un’alternativa è creare percorsi incentivati affinché il personale possa smaltire responsabilmente.
- Assicurati che tutti i dati vengano cancellati in modo sicuro ed efficace: L’eliminazione e la formattazione, inclusi i ripristini di fabbrica, non rimuovono permanentemente i dati dai dispositivi. Dovrebbero essere introdotte pratiche di sanificazione dei dati, incluso l’uso di software specializzato, per garantire che tutti i dati vengano cancellati correttamente e non possano essere recuperati dagli hacker.
- Garantire la formazione a livello aziendale: È fondamentale assicurarsi che tutti i dipendenti ricevano una formazione sufficiente sulla distruzione dei dati e siano effettivamente formati sul modo corretto per salvare i dati. Questa dovrebbe essere una formazione generale e aggiornata regolarmente per ricordare ai dipendenti le procedure corrette, soprattutto perché la tecnologia continua ad evolversi.
Unisciti a quasi 5.000 altri praticanti – iscriviti alla nostra newsletter