Toen de grote cryptocurrency-bank Ronin in april 2022 werd getroffen door een cyberaanval, was de impact enorm. Ronin verloor $540 miljoen door de cyberaanval. Ze moesten hun klanten het verloren geld terugbetalen en tegelijkertijd het vertrouwen van consumenten probeerden terug te winnen. Dit resulteerde in financiële en reputatieschade. Samen met alle andere recente digitale hacks herinnerde dit incident de directie eraan hoe kwetsbaar hun bedrijven zijn. Zelfs met zeer robuuste beveiligingmaatregelen.
Ondanks dat cybersecurity voor de C-suite top-of-mind is, is de data van veel organisaties nog altijd onvoldoende beveiligd. Goed beheer van bedrijfsmiddelen, zoals computers en harde schijven, is van fundamenteel belang voor effectieve gegevensbeveiliging. Het is daarom belangrijk dat bedrijven hardware en apparaten goed onderhouden en verwijderen of buiten gebruik stellen indien nodig. Thomas Hollander, Secure IT Asset Disposition Director, EMEA, van Iron Mountain legt in dit stuk uit hoe je als bedrijf optimaal Asset Lifecycle Management kan benutten om het beheren van bedrijfsmiddelen te vereenvoudigen.
Beste methode om digitale bedrijfsmiddelen te controleren
Om risico’s te minimaliseren, is voortdurende bewaking, onderhoud en risicobeperking van alle virtuele en fysieke producten essentieel. De sterke toename van het werken op afstand zorgt voor het nog moeilijker beheren van de apparaten die de organisatie in- en uitgaan. De drie ongeschreven regels die elk bedrijf zou moeten uitvoeren, zijn deze:
- Creëer een activaregister – Een activaregister beschrijft het doel van elk stuk hardware en geeft aan wie daarvoor verantwoordelijk is. Bedrijven moeten prestaties en bescherming van de apparaat documenteren, waarbij de beveiligingstoepassingen werken en up-to-date zijn.
- Beveilig alle fysieke activa met een wachtwoord, bij voorkeur met een wachtwoordwijzigingsbeleid dat medewerkers vraagt hun wachtwoord periodiek aan te passen. Ook moeten bedrijven het apparaat frequent updaten. Essentieel is het gebruik van een patchmanagementprogramma dat regelmatig scant op veiligheidslekken in alle bedrijfsmiddelen en alle updates die nodig zijn om de regelgeving na te leven.
- Hanteer beleid voor de end-of-life fase van assets. Het is mogelijk dat kwaadwillende personen oude harde schijven van stortplaatsen halen of gerecyclede IT-apparatuur kopen, met de bedoeling er gegevens uit te halen. Met alle gevolgen van dien. Daarom is het essentieel om een IT-Asset-Disposition-proces te implementeren dat de Chain of Custody volgt, zodat het wissen van data effectief gebeurt bij afgedankte assets.
Hoe veilige IT asset-disposition (ITAD) eruit ziet
Dit asset disposition proces is echter niet zo eenvoudig als het wellicht lijkt. IT Asset Disposition (ITAD) moet een goed gedefinieerd protocol volgen van een betrouwbare Chain of Custody. Dit is het volledig wissen van data en het ontmantelen in componenten voor hergebruik of recycling, of volledige fysieke vernietiging. Dit klinkt simpel, maar in de praktijk is dat het niet. Onterecht denken veel mensen dat met het wissen van bestanden of het formatteren van een schijf alle gegevens volledig verwijdert. Voor de vernietiging van data is echter gespecialiseerde datavernietigingssoftware nodig. Daarnaast moeten bedrijven apparaten fysiek vernietigen om het onmogelijk te maken om er data uit te halen.
Dit verwijderingsproces uitbesteden bij bedrijven die gebruik maken van de juiste software is een slimme optie. De juiste software voor het wissen van data is gecertificeerd volgens de NIST 800-88-norm. Ook is het van belang dat het bedrijf auditrapporten kan overhandigen die het volledig wissen van data controleert. Net als dat zij bewijs leveren van adequate fysieke vernietiging of ontmanteling van het bedrijfsmiddel. Niet-conforme methoden voor het wissen van data maken producten kwetsbaar. Kwaadwilligen kunnen namelijk met software data herstellen en de informatie die ‘verwijderd’ was inzien.
Bovendien moeten deze uitbestedingsbedrijven een veilige en transparante bewaringsproces hanteren. Idealiter omvat dit real-time tracking van activa, waarbij de assets in elke fase van de IATD worden gescand en geregistreerd in een systeem totdat de vernietiging is geregistreerd. Zodra het apparaat is vernietigd, deelt het bedrijf een certificaat van verwijdering en vernietiging. Dit proces vermindert het risico dat apparatuur zoekraakt. Ook geeft het de zekerheid dat het apparaat op de juiste manier is verwijderd, in overeenstemming met de strenge normen die de kwaliteit en ethiek van recycling regelen, zoals eSteward en R2.
Cybersecurity voor bedrijven
Met een alsmaar digitaliserende wereld is cybersecurity een steeds belangrijker onderwerp voor bedrijven. Zelfs bij het gebruik van de meest geavanceerde cyberbeveiligingssysteem blijven risico’s bestaan als het assetbeheer niet goed genoeg uitgevoerd. Asset Lifecycle Management (ALM) vormt de kern van alle facetten van databeveiliging. Elk bedrijf zou hier zorgvuldig mee moeten omgaan om datalekken door onvoldoende bescherming of beheer van de assets met alle gevolgen van dien te voorkomen. Dit kan een organisatie kwetsbaar maken voor enorme verliezen. Dit is niet alleen door kwaadwilligen die misbruik willen maken van gevoelige informatie, maar ook door de zware boetes die wetgevers opleggen op het gebied van databescherming en de reputatieschade die ontstaat door lekken.
