Wikileaks. Sikkerhed og sletning af følsomme data

I en tidligere blog fokuserede vi på datasikkerhed, og i denne blog vil vi se på, om virksomheder har en ordentligt og relevant politik for at slette følsomme data fra gamle computere og harddiske. Mangel på en sådanpolitik gør nemlig virksomheder meget modtagelig for brud på datasikkerheden.

Tilsyneladende er det lykkedes for en ung militæranalytiker at lække en ny omgang hemmelige dokumenter. Denne gang drejer det sig om 251.287 fortrolige dokumenter, som afslører en lang række politiske pinligheder og fortrolige diplomatiske oplysninger fra 274 amerikanske ambassader og konsulater over hele kloden.

Ifølge en undersøgelse foretaget af Kroll Ontrack anfører kun 49 procent af mere end 1.500 adspurgte virksomheder verden over, at deres virksomheder systematisk sletter data på en forsvarlig måde. Blandt denne gruppe er der alligevel 75 procent, som alligevel ikke sletter data sikkert, ifølge samme Kroll undersøgelsen.

Hvad er risikoen?
En anden Kroll undersøgelse udsendt tidligere på året afslørede, at de fleste amerikanske virksomheder lider under mindst et sikkerhedsbrud per år. Den seneste undersøgelse af Ponemon Institute anslår, at brud på datasikkerheden koster amerikanske virksomheder i gennemsnit 6,75 millioner dollars.

Både databeskyttelse og dataopbevaring er afgørende for at reducere risikoen for sikkerhedsbrud.

Der findes andre undersøgelser som viser, at op til tre fjerdedele af de virksomheder, som enten sletter filer, omformaterer eller ødelægger drev, ikke ved, om sletning af følsomme data foretages forsvarligt. Ingen af de ovennævnte metoder sikrer, at følsomme oplysninger ikke længere findes på de pågældende drev.

Simpel sletning af filer fra en harddisk markerer kun, at filer kan skrives om; omformatering fjerner kun poster i indekset eller indholdsfortegnelsen. Data kan med noget besvær gendannes fra alvorligt beskadigede drev, så selv fysisk ødelæggelse af et drev kan ikke garantere fuld beskyttelse.

Ukrypteret backup fil
Hvis man skal tag ved lære og oprette de mest fundamentale sikkerheder og kontroller kan det være følgende:

-Hvis det er ikke muligt at spærre for kopiering til andre medier så skal der være kompenserende kontroller, som hindrer eller hæmmer download(s) med revisionsspor. Noget tyder på, at der end ikke har været de mest elementære kontroller ud over en basal login, som gav uspecificeret adgang. Eller er lækken lokaliseret i driftsfunktionen? - en ukrypteret backup fil måske, som man skulle have passet bedre på?
- løbende kontrol over hvilken brugerkonto, der har downloadede dokumenterne?
- dokumenterne skal være indekseret på en måde, så de kun kunne downloades enkeltvis?
- særligt fortrolige dokumenter sikret med yderligere sær-kontroller? – Alle ovennævnte kontroller kan gennemføres for ganske små midler.

25 % effektivitetsforøgelse.
Ledelsen som betragter IT som et afgørende strategisk aktiv har forståelse for både de risici og de muligheder IT systemer giver. Med den rette strategi, risikomapping, indbyrdes broforbindelse til systemer, opdelt efter teknisk område, IT-arkitektur som ikke er silo-orienteret men tværfunktionel, dokumenterede og opdaterede politikker og procedurer m.m. kan virksomhedens nervesystem bidrage med op til 20-30 procent effektivitetsforøgelse.

Massachusetts Institute of Technology mener, at virksomheder som forstår at anvende IT strategisk korrekt er 21 procent mere profitable end de, der især ser på IT som en nødvendig udgiftspost.