Istnieje wiele danych, które zostały zebrane w różnych, często już zrealizowanych celach, z których nie czerpiesz żadnej wartości, a ich przechowywanie może zwiększać ryzyko. Nie daj się zwieść spadającym kosztom pamięci masowej, myśląc, że przechowywanie danych jest tanie. Koszty przechowywania danych są wyższe, niż myślisz, a korzyści mniejsze. Tak samo, jak istnieje szansa, że coś kiedyś przyda się do jakiejś analizy, jest również szansa, że będzie to szkodliwe. Szansa, że jakieś dane będą przydatne, z czasem maleje, ale wartość szkód pozostaje taka sama. Jeśli zgubisz adres, pod którym ktoś mieszkał pięć lat temu, kontrolerów RODO nie obchodzi, że były to niedokładne dane, których nie chciałeś i w niczym nie pomogły Twojej firmie.
Dlatego warto co jakiś czas przeprowadzać niszczenie danych, których już nie potrzebujesz.
Koszty wezwania sądowego lub wniosku o dostęp do podmiotu są wyższe niż koszty nośników pamięci. Szanse, że coś się wydarzy i że masz jakieś dane, które spowodują, że zostaniesz wciągnięty w ryzykowne działania, są wyższe niż wartość tych danych. Procedury, które musisz wprowadzić, gdy mówisz: „Zamierzam zachować tylko te dane, o których wiem, że mam powód”, stawiają Cię w zupełnie innej sytuacji.
Niszczenie danych wysokiego ryzyka
Około jedna trzecia danych przechowywanych w centrum danych jest prawdopodobnie zbędna, przestarzała lub trywialna. Są to dane, które mają niewielką lub żadną wartość biznesową i najlepszym sposobem ich potraktowania, jest niszczenie danych, zwłaszcza biorąc pod uwagę narażenie danych i poziom ryzyka. Na przykład dane dotyczące byłych pracowników i byłych klientów są bardzo ryzykowne. Mogą one przecież zawierać informacje umożliwiające identyfikację osoby, dlatego warto zachować te dane tylko ze względów prawnych. Dokumentacja finansowa jest szczególnie podatna na ataki hakerów i kolejny przykład wrażliwych danych, którymi należy zarządzać ostrożnie.
Jak przeprowadzać niszczenie danych?
Na początek firmy muszą być w stanie zidentyfikować określone szczegóły w danych, wskazać obszary ryzyka i ich potencjalną wartość. Ważne jest również, aby zrozumieć, co jest przechowywane, kto ma do tych danych dostęp i jak często musi z tego dostępu korzystać. Dopiero wtedy można zrozumieć, jakie dane istnieją i zacząć je klasyfikować na podstawie indywidualnie dostosowanej polityki przechowywania danych. Niszczenie danych zawartych w takich plikach powinno następować co najmniej raz na kwartał.
Są pewne dane, których nigdy nie należy przechowywać do analizy. Każda organizacja, która nadal przechowuje hasła użytkowników w postaci zwykłego tekstu, prosi się o kłopoty.
Usuń dane powiązane z systemami produkcyjnymi, które nie są już używane. Na przykład dane użytkownika, które wyciekły w słynnej aferze firmy Weatherspoon, pochodziły ze starej strony internetowej, więc nie powinny tam nadal być. A naruszenie danych haseł pochodziło również ze starszego, nieprodukcyjnego systemu. Przedsiębiorstwa nie mogą po prostu ignorować systemów, które są przestarzałe lub rzadko używane tylko dlatego, że są częścią starszej infrastruktury IT.
