Hiába van adathordozó-fertőtlenítési szabályzat, ha ritkán alkalmazzák

A Blancco kutatása szerint a nagyvállalatok döntő többségének van adathordozó-fertőtlenítési szabályzata, de azt nem mindig vagy nem úgy alkalmazzák, ahogyan kellene. Pedig komoly adatszivárgási incidensektől tudnák megvédeni magukat az érintettek.

Az emberek, vállalatok és kormányzati szervezetek egyaránt irdatlan mennyiségű adatot generálnak minden egyes nap. Például a Facebook közösségi platformon naponta több mint 100 milliárd magán- és vállalati üzenet születik. És ez csupán egy szolgáltatás. Az eredmény egy olyan adatóceán, melyből a vállalatok komoly üzleti értéket vonhatnak ki, így jobb üzleti döntéseket tudnak hozni. Az új digitális gazdaságban ez egy alapvető forrás, azonban az adatokat tárolni, fenntartani és mozgatni kockázattal és komoly felelősséggel jár.

Menedzseljük az adathegyeket

Az adathegyek menedzselésében a szabályozók szerte a világban törvényeket hoztak, direktívákat és kormányzati előírásokat fogalmaztak meg. Így született meg a General Data Protection Regulation (GDPR), vagy ennek mintájára a California Consumer Privacy Act – COPA.

Fontos, hogy ezek a szabályozások a helyükön legyenek, azonban, amikor megkapirgáljuk a csillogó felszínt, kiderül, hogy komoly szakadék van a létező szabályzatok és azok kommunikálása, gyakorlati betartása és betartatása között. Ez azt jelenti, hogy a megfelelő folyamatok és megoldások még nem kristályosodtak ki.

A Blancco és a Coleman Parkes 2019 augusztusában végzett felmérése szerint a nagyvállalatok többségének (96 százalék) van adatfertőtlenítési szabályzata, azonban ezt kevesen ismerik vállalaton belül, nem biztos, hogy a legjobb ember hajtja végre, és vegyesen felelnek is érte a vezetők.

Mi is az az adatfertőtlenítés?

A Gartner tanácsadó vállalat szerint az adathordozó-fertőtlenítés azt a szabályozott folyamatot írja le, amikor tudatosan, véglegesen és visszafordíthatatlanul eltávolítják vagy megsemmisítik egy adathordozón lévő adatokat úgy, hogy azokat nem lehet visszanyerni. Az adathordozók fertőtlenítése a garancia arra, hogy a vállalatok nem teszik ki magukat szükségtelen kockázatoknak. 

Az adathordozó-fertőtlenítés nyilvánvalóan követelmény a vállalatok számára, ahogy azt a fentebb említett 96 százalékos eredmény is mutatja. Azonban a kérdést közelebbről megvizsgálva, a felmérés kiderítette, hogy a válaszadók 44 százaléka érzi csupán azt, hogy adathordozó-fertőtlenítési szabályzatukat megfelelően alkalmazzák és megfelelően kommunikálják vállalatszerte. Vagyis ezt az jelenti, hogy a többség szerint szervezetük nem tesz meg mindent, hogy oktassa az alkalmazottakat a meglévő fertőtlenítési szabályokról, azok értelméről.

Nem a megfelelő ember kezeli az adatokat

A kutatás azt is feltárta, hogy az érzékeny adatokat valószínűleg a nem megfelelő ember kezeli életciklusuk végén. Amikor egy alkalmazott elhagyja a szervezetet, akkor a felmérés szerint az esetek 22 százalékában a közvetlen felettes felel azért, hogy a kolléga eszközén lévő adatokat a szabályzatnak megfelelően kezeljék. Az esetek másik 22 százalékában pedig maga az alkalmazott felelős ezért a tevékenységért. Míg teljesen érthető és logikus ez a feladat mindkét szerepkör esetében, kockázatot jelent, hogy ők nem mindig tudják, pontosan mi is a teendőjük az adatokkal.

A tipikus eset az, hogy oktatás hiányában a régi kolléga vagy felettese simán törli az adatokat a merevlemezről, holott az ilyen nem tanúsított, és visszafordítható adatmegsemmisítés egyáltalán nem felel meg a szabályzatban leírtaknak. Még ha a régi számítógép nem is kerül vállalaton kívülre, hanem a szervezeten belül újrahasznosítják, belső adatvédelmi incidens kockázatának teszi ki magát a vállalat.

A külsős emberekben nem bíznak, mégis rájuk bízzák a feladatot

Még tovább bonyolítja a kérdést, ha a közvetlen felettesek vagy volt alkalmazottak nem belsős emberek. A vállalatok egyharmada azt gondolja, hogy a rugalmas munkavégzésben foglalkoztatott alkalmazottak tartják be legkevésbé az adatfertőtlenítési szabályokat, míg 40 százalékuk szerint a szabadúszó partnerek azok, akik fittyet hánynak ezekre az előírásokra.

Nem tisztázott, ki felel az adatfertőtlenítésért 

Eléggé tarka kép rajzolódott ki, amikor a felmérésben arra kérdeztek rá, hogy pontosan ki is felelős az adatfertőtlenítési szabályok vállalati szintű betartásáért. A felelősség megoszlik a compliance osztály vezetője (az esetek 30 százalékában őt jelölték meg a szervezetek), az IT-osztály vezetője (15 százalék), a működésért felelős vezető (14 százalék), a jogi vezető (11 százalék) és az adatvédelmi biztos, DPO (9 százalék) között.

Míg a vállalatok döntő többségének van adatfertőtlenítési szabályzata, úgy tűnik, hogy a szabályok célja és a szerepkörök nem mindig tisztázottak. Ez valahol logikus is, hiszen a kutatás szerint azoknál a vállalatoknál, amelyeknél van adatfertőtlenítési szabályzat, 89 százalékuknak kevesebb mint 12 hónapjuk volt megismerkedni vele. Vagyis még nem volt elegendő idejük arra, hogy az új szabályzatot megszokják, a gyakorlatban használják. 

Hiányzik a kommunikáció

És ez a kutatás által feltárt negyedik problémára is rávilágít: a kommunikáció hiányára. A megkérdezett vállalatok 31 százaléka szerint a szabályzatot még nem kommunikálták a szervezeten belül, és 20 százalékuk azt véli, a szabályzat még nincs is teljesen kész, vannak hiányosságai. Tehát a cégek több mint felének nincs egy olyan adatfertőtlenítési szabályzata, melyről rendszeresen kommunikálnak vállalatszerte.

A kutatásról

A felmérést a Coleman Parkes Research végezte 2019 augusztusában 1850 szenior döntéshozó megkérdezésével, közöttük compliance vezetőket, pénzügyi vezetőket, IT-vezetőket, CIO-kat, IT-alelnököket, adatvédelmi biztosokat és ügyvezetőket kérdeztek. A kutatásban több mint 5000 alkalmazottal rendelkező nagyvállalatok szerepeltek az Amerikai Egyesült Államokból, Kanadából, Nagy-Britanniából, Németországból, Franciaországból, Japánból, Indiából, Szingapúrból és Ausztráliából.

A Blancco nemzetközi weboldalán a teljes kutatás ingyenes regisztráció után letölthető.