2018년에 GDPR이 도입되면서 조직은 삭제 정책을 면밀히 검토해야 했습니다. GDPR은 '잊혀질 권리' 그 이상입니다. 또한 EU 내에서 또는 EU 회사와 외부에서 비즈니스를 수행하는 모든 기업의 데이터 유출 방지에도 적용됩니다. 그러나 올바른 데이터 삭제 프로토콜과 관련하여 여전히 많은 혼란이 있는 것으로 보이며, 이로 인해 조직이 데이터 유출에 노출될 수 있습니다. 이 블로그에서는 활성 환경에서 데이터를 지울 때 비즈니스가 규정을 준수하도록 하는 방법을 살펴봅니다.
제32조
제32조에서 GDPR에는 회사가 "회사 내 개인 데이터 처리의 안전을 보장하기 위해 기술적 및 조직적 조치의 효과에 대한 정기적인 검토 및 평가를 유지하는 절차를 도입"해야 한다고 명시되어 있습니다. 적절한 절차를 구현했는지 확인하는 것은 데이터 처리뿐만 아니라 사용 중인 IT 솔루션(소프트웨어 및 하드웨어 모두)의 선택 및 조달 프로세스에도 유효합니다.
GDPR:어떻게 했어야 했나?
모든 회사 IT 담당자는 개인 데이터가 회사 외부로 유출되지 않도록 필요한 모든 조치를 취해야 합니다. GDPR에 따라 취했어야 하는 몇 가지 단계는 다음과 같습니다.
- 개인 데이터의 가명화 및 암호화,
- 처리와 관련된 시스템 및 서비스의 기밀성, 무결성, 가용성 및 탄력성을 영구적으로 보장하는 능력
- 물리적 또는 기술적 사고 발생 시 개인 데이터의 가용성 및 액세스를 신속하게 복원하는 능력
- 처리의 안전성을 보장하기 위한 기술적 및 조직적 조치의 효과를 주기적으로 검토하고 평가하는 프로세스
제32조의 또 다른 중요한 사항은 다음과 같습니다.
"특히 처리와 관련된 위험, 특히 전송, 저장 또는 기타 방식으로 개인 데이터의 부주의 또는 불법 또는 무단 공개 또는 무단 액세스 여부에 관계없이 파괴, 손실 또는 변경은 적절한 수준을 평가할 때 고려되어야 합니다. 보호합니다."
간단히 말해서, 32조는 조직이 개인 데이터를 보유하는 기술을 사용할 때 모든 위험을 고려해야 한다고 요구합니다. 조직에서 미디어를 사용하여 민감한 데이터를 보관하기 전에 책임 있는 직원은 데이터 보호 영향 평가를 완료해야 합니다. 개인의 (데이터) 권리에 대한 위험을 확인하기 위해.
회사에서 발생하는 모든 데이터 유출은 유출 발생 후 72시간 이내에 보고되어야 합니다. . 그렇지 않은 경우 과태료 개인 데이터의 무단 사용과 동일:최대 2천만 유로 또는 전 세계 연간 매출의 4%(둘 중 더 큰 금액)의 벌금이 부과됩니다.
보안 삭제는 여전히 문제
구현한 지 2년이 지난 지금도 일부 기업은 데스크톱 컴퓨터, 랩톱, 외부 드라이브 및 서비스에서 기존 파일을 지우는 것을 계속 간과하거나 잊어버리고 있습니다. 이는 종종 올바른 데이터 삭제 방법에 대한 오해와 활성 IT 환경에서 데이터를 삭제할 수 있는 효과적인 도구에 대한 액세스 부족으로 인해 발생합니다. 따라서 많은 조직의 민감한 데이터가 위태로운 위치에 남아 있고 침해에 취약합니다.
많은 조직에서 데이터 삭제는 여전히 IT 부서의 최우선 보안 우선 순위가 아닙니다. 오늘날의 디지털로 연결된 세계에서 사이버 공격이 불행한 현실이 되었다는 것은 놀라운 일이 아닙니다. 그러나 위에서 논의한 바와 같이 GDPR은 조직이 올바르고 안전한 데이터 파기 관행을 마련하도록 하는 법적 요구 사항입니다.
그럼에도 불구하고 많은 IT 부서에서는 '삭제'와 '삭제'의 차이에 대한 지식과 교육이 부족합니다. Blancco에서 수행한 연구 - '삭제 vs 지우기':활성 환경에서 파일을 지우는 방법에 따르면 응답자 400명 중 절반 이상(51%)이 휴지통을 비우면 데스크톱 컴퓨터에서 데이터를 지울 수 있다고 생각하는 것으로 나타났습니다. 영구적으로 노트북. 마찬가지로 걱정스럽게도 51%는 컴퓨터 전체 드라이브의 빠른 포맷이나 전체 재포맷을 수행해도 데이터를 영구적으로 파괴하기에 충분했습니다.
데이터 삭제에 대한 적절한 전문 지식과 지식이 없으면 조직은 민감한 데이터를 잠재적인 데이터 침해 위험에 빠뜨리고 있습니다.
조직의 데이터 위생을 강화하고 전반적인 데이터 관리 및 데이터 삭제 관행을 개선하기 위해 활성 환경에서 데이터를 삭제하는 데 도움이 되도록 아래 팁을 정리했습니다.
1. 능동 보안 삭제 자동화
각 사용자는 시스템에서 로그오프할 때 휴지통에서 이 작업을 수행해야 합니다. 이 프로세스를 자동화함으로써 조직은 데이터 및 파일의 영구적이고 안전한 삭제를 확인하는 데 필요한 실사 단계를 수행하고 있습니다. 이렇게 하면 사용자의 랩톱이나 데스크톱에서 데이터를 안전하게 삭제하는 것과 관련된 불확실성이나 위험이 완화됩니다.
2. "사용 가능한 디스크 공간 파쇄" 작업 예약
조직에서 소유하고 사용하는 각 랩톱 및 데스크톱 컴퓨터에는 서비스 기간이나 패치가 예약되어 있는 경우 이 단계가 포함되어야 합니다. 이를 실행하면 시스템 사용자가 부적절하거나 불완전하게 삭제한 느린 애플리케이션 데이터(및 기타 데이터)를 지속적으로 대상으로 삼게 됩니다.
3. 임시 파일 자동 삭제
삭제 프로세스를 자동화하면 정기적으로 수행되어 최적의 보안이 보장됩니다. 이러한 방식으로 브라우저 캐시와 같이 시스템에 축적되어 남아 있을 수 있는 사용자 데이터를 대상으로 삼을 수 있으며 여기에는 민감한 정보가 저장될 수 있습니다.
4. 로컬에서 생성 및 저장된 사용자 파일 삭제
로컬에서 생성된 사용자 파일을 지속적으로 삭제하고 작업자가 중앙 저장소에 데이터를 보관하도록 권장하면 데이터 침해 가능성을 방지할 수 있습니다. 이것은 많은 조직의 IT 팀을 오랫동안 괴롭혀온 지속적인 데이터 관리 투쟁입니다.
5. '고급 사용자'에게 활성 삭제 권한 부여
IT 정책에서 종종 감독되는 자산은 시스템에서 파일을 능동적으로 삭제할 수 있는 권한이 있는 조직 내 "고급 사용자" 그룹을 선택하고 할당하는 것입니다. 특히 개인이 중요한 데이터를 잘못된 위치에 저장하는 경우 회사 보안에 중요한 역할을 할 수 있습니다. "고급 사용자"는 잘못 저장된 데이터를 대상으로 하고 즉시 영구적으로 삭제해야 합니다.
6. 규정 준수를 위해 파일 삭제를 확인하는 인증서 받기
데이터의 안전하고 영구적인 삭제를 증명하는 인증서 및 감사 추적이 있는지 확인하면 조직에서 데이터 보존 정책 및 규정 요구 사항을 준수하고 있음을 보여줄 수 있습니다. Erasure Verification Services는 조직에서 데이터 삭제 전략을 확인하는 데 도움이 될 수 있습니다.
회사 환경에서 데이터를 안전하게 삭제하는 방법에 대한 자세한 내용은 데이터 삭제 전문가에게 문의하세요.
사진 저작권:MichaelGaida / pixabay.com
https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/
CC0 라이선스