De harde schijf wissen

Voor wie?

CISO, CIO, Privacy Officer, IT Manager, Data Manager.

Waarom?

• Veiligstellen van bedrijfsdata bij einde levensloop IT assets
• Milieubewust omgaan met IT-afval
• Maximale return on value van IT-assets

De IT life cycle

Als data management verantwoordelijke heeft u oog voor de volledige levenscyclus van de IT-assets en de daarop opgeslagen data die in uw organisatie gebruikt worden. Aan het einde van de levensduur van uw apparatuur dringen volgende vragen zich op:

• Hoe gaan wij onze computers leegmaken?
• Wat gaan we met de oude datadragers doen?
• Zijn we 100% zeker dat dit op een veilige manier gebeurt?
• Hoe doen we dit op een verantwoorde manier?
• Zien wij nog wat van de restwaarde van deze apparatuur?

Met deze vragen worden IT managers, CISO’s, security officers en privacy officers van over de hele wereld geconfronteerd.

NIST 800-88 r1 – datavernietiging en IT Asset Disposition

Wereldwijd zijn er verschillende richtlijnen en aanbevelingen om op een verantwoorde manier met bovenstaande vragen om te gaan.

Idealiter wordt bij de aanschaf van de apparatuur reeds nagedacht over de manier waarop men een harde schijf gaat leegmaken of vernietigen. Deze datavernietiging policies moeten aansluiten op de data security policies van de onderneming. Het National Institute of Standards and Technology (NIST) heeft hiervoor een handige flowchart opgesteld.

Met behulp van deze diagram kan u beslissen om een harde schijf te formatteren, te wissen of te vernietigen.

Harde schijf wissen

In tegenstelling tot formatteren, zorgt het ‘veilig wissen’ ervoor dat de data op een harde schijf niet meer terug te halen zijn. Sommige wipe software voldoet niet aan de eisen van het NIST. Om veilig te wissen moeten immers alle verborgen sectoren zoals de Host Protected Area (HPA), de Device Configuration Overlay (DCO) of de Accessible Max Address gewist worden.

Voor (grote) organisaties zijn volgende aandachtspunten van groot belang bij de selectie van de juiste software voor datavernietiging:

1. Wordt de data echt allemaal vernietigd? Voldoet de software aan de eisen van de NIST?
2. Werkt de tool voor mijn type media? Harde schijven verschillen namelijk van SSD’s.
3. Geeft de leverancier een wiscertificaat? Is er een schriftelijke garantie dat de data gewist is?
4. Levert de software een duidelijke audit trail op? Kunt u ook na enkele jaren aantonen dat de data van de organisatie correct vernietigd werd?
5. Wordt het wisresultaat gecontroleerd? Wissen zonder controle is niet voldoende. Zonder controle heeft u geen sluitende audit trail.
6. Kunt u een grote hoeveelheid datadragers efficiënt en effectief wipen? Hoe lang bent u of uw medewerkers bezig met deze wisoperatie? Kunt u het wissen centraal beheren? Is het resultaat een centrale administratie, of moet u alle documentatie voor uw audit uit diverse Excel sheets sprokkelen? Hoe betrouwbaar vinden auditors dat laatste?
7. Levert het softwarebedrijf ook managed services? Dat kan handig zijn indien u het wisproces wil uitbesteden.

Er zijn verschillende manieren om datadragers fysiek te vernietigen. De meest betrouwbare manieren zijn degaussen (demagnetiseren) en fysiek versnipperen. Als het veiligheidsniveau het voorschrijft, of als softwarematig wipen niet mogelijk is omdat de datadrager defect is, kan een datadrager fysiek vernietigd worden. Levert het softwarebedrijf deze dienstverlening?

Tip: gebruik bovenstaande diagram om te bepalen of de data fysiek of softwarematig vernietigd moet worden.

Stellar producten en diensten

Stellar Data Recovery levert een reeks producten en diensten op het vlak van datavernietiging en IT Asset Disposition.

• Stellar Wipe Verificatie service