PODCAST-TRANSKRIPT:

Datensicherheit und Datenbereinigung sind ein so wichtiger Bestandteil des R2-Zertifizierungsprozesses, dass es sich um ein obligatorisches jährliches internes Audit handelt. Heute werde ich Corey Dehmey, Executive Director von SERI, zu dieser Folge von Ask the R2 Guru interviewen. Ich bin RG von SERI – Champions of Electronics Sustainability.

Corey Dehmey hat mehr als 20 Jahre in der Elektronikbranche verbracht, und sein vielfältiger Hintergrund berührt fast den gesamten Lebenszyklus der Elektronik, einschließlich seiner Arbeit in den Bereichen IT-Support, ITAD, Datenvernichtung, Rückwärtslogistik, Wiederverwendung und Recycling. Es ist dieses breite Erfahrungsspektrum, das Corey einen umfassenden Überblick über die Nachhaltigkeitsherausforderungen in der Elektronik gibt, und es hat ihn zu seiner Rolle als Executive Director von SERI geführt. Als wir darüber diskutierten, wer Gast sein sollte, um über interne Audits für Datensicherheit und -bereinigung zu sprechen, war Corey die perfekte Wahl. Wir werden ihn Ihnen zu Beginn unseres Interviews mehr über seinen Hintergrund erzählen lassen.

*********

Roger Greive:  Corey, danke, dass du bei dieser Episode von Ask the R2 Guru dabei warst. Beginnen wir damit, dass Sie ein wenig über Ihren Hintergrund sprechen und wie er sich auf dieses Thema der internen Audits zur Datensicherheit und -bereinigung bezieht.

Corey Dehmey:  Hallo Roger. Danke für die Einladung. Mein Hintergrund liegt also eigentlich in der IT… Ich habe ein College für IT besucht… Ich habe einen Bachelor in Computerinformationssystemen und ich habe 12 Jahre in der IT-Branche gearbeitet, wo ich Desktop-Support für die Systemadministration gemacht habe. Ich komme also aus einem eher technischen Blickwinkel heraus. Ein Teil meiner Geschichte bestand auch darin, herauszufinden, wie man Datenbereinigung für das Department of the Navy durchführt. All diese Verweise auf DoD 5220.22-M – dort habe ich einige Jahre lang gelebt und geatmet. Also ja, mein Hintergrund liegt in der IT- und Datensicherheit, und das habe ich in dieser Rückwärtslogistik-/Rückgabe-/Recyclingbranche durchgearbeitet.

RG:  Sie sind darin ziemlich gut etabliert. Was haben Sie also im Laufe der Zeit, in der Sie sich damit befasst haben, die wichtigsten Änderungen in der Datensicherheit gesehen?

CD:  Die Menschen sind viel schlauer geworden, und die Daten sind größer geworden … mehr Speicherplatz … mehr Daten … verteilter. Und eines der größten Dinge ist einfach die Anzahl der intelligenten Geräte. Die letzten zehn Jahre wurden also damit verbracht, Menschen und Geräte miteinander zu verbinden, und jetzt befinden wir uns in dieser intelligenten Welt, in der immer mehr Arten von Geräten Daten und Technologie integrieren. Wie zum Beispiel die Verbindung über Ihren Fernseher, der früher ein dummes Gerät war und jetzt ein Smart-TV ist. Das sind also die größten Änderungen, die ich in der Datensicherheit gesehen habe.

Und dann Menschen, die erkennen, wo Daten gespeichert sind. Erinnern Sie sich an einen Tag, an dem wir sahen, wie eine Palette Fernseher in einer Recyclinganlage von der Ladefläche eines Lastwagens kam, die hintere Abdeckung entfernt war und sich auf der Rückseite des Fernsehers eine glänzende Festplatte befand. Und das war das erste Mal, dass mir klar wurde, dass unsere Fernseher jetzt Datenspeicherfunktionen haben. Ich denke also, dass dies die größten Änderungen sind, ebenso wie die Gesetze, die jetzt in Kraft treten. Zum Beispiel konzentrieren sich die DSGVO und ähnliche Gesetze in einigen Bundesstaaten der USA wirklich auf den Datenschutz von Einzelpersonen. Das ist wirklich wichtig und ein wichtiger Grund, warum wir uns der Daten auf all diesen Geräten bewusster sein müssen.

RG: Also, Corey, was sind Ihrer Meinung nach die Hauptprobleme oder Herausforderungen, mit denen R2-Einrichtungen konfrontiert sind, wenn es darum geht, ein internes Audit zur Datensicherheit/Bereinigung durchzuführen?

CD:   Ich denke, wir müssen erkennen, dass dies ein wirklich komplexes Thema mit sehr technischer Natur ist. Aufgrund meines technologischen Hintergrunds ist es für mich sogar komplex, alle Nuancen der Datenbereinigung zu verstehen. Also denke ich, dass wir mit der Erkenntnis angehen müssen, dass es viel zu wissen gibt – mit der Erkenntnis, dass die Geräte immer intelligenter werden, wenn sich die Welt dreht und neue Geräte auf den Markt kommen. Hier spielen viele Faktoren eine Rolle, daher brauchen wir in unseren Einrichtungen wirklich technische Kompetenz, um die Herausforderungen hier wirklich zu verstehen. Dies ist nicht so einfach wie das Schreddern einer Festplatte. Es ist nicht so einfach, eine Festplatte jetzt mit SSDs, mit anderen Arten von Speicher, Verschlüsselung, unverschlüsselten Dateien, CoC zu löschen. Wir sprechen über die Aufzeichnungen, die Rechenschaftspflicht und die Rückverfolgbarkeit während dieses Prozesses. Es gibt hier so viele Faktoren, und ich denke, wir müssen wirklich im Hinterkopf behalten, dass dies ein wirklich komplexes Problem ist. Wir müssen die richtigen Ressourcen dafür einsetzen – und es sind möglicherweise nicht die traditionellen Ressourcen, die wir gewohnt sind. Und wir müssen dies wirklich in den Vordergrund stellen, denn das ist das Wichtigste für die Kunden, mit denen wir sprechen.

RG:  Sie hatten einen großen Anteil am Schreiben der vorherigen Version des Standards, R2:2013, und haben mit dem TAC daran gearbeitet, ihn zu dem Standard zu entwickeln, der viele Jahre verwendet wurde. Was waren Ihrer Meinung nach die Herausforderungen bei dieser Version, da sie für ihre Zeit und in der Branche in Bezug auf die Datenbereinigung stand?

CD:   Mit dieser Version wollten Sie nicht wirklich der Experte für Datenbereinigung sein, da es andere Standards gab, wie zum Beispiel NIST 800-88, was gut und in Ordnung ist. Aber die Herausforderung, die wir bei der Implementierung und Prüfung gesehen haben, besteht darin, dass immer dann, wenn auf etwas anderes verwiesen wird, es nicht unbedingt sehr gut geprüft oder nicht unbedingt sehr gut implementiert wird. NIST 800-88 ist also großartig und enthält viele gute Opferinformationen. Aber wir haben gesehen, wie Leute direkt zu Anhang A gegangen sind – wie lautet der Löschbefehl für verschiedene Geräte? Was gut ist, aber sie haben alle Sicherheitskontrollen vergessen, die in NIST 800-88 spezifiziert sind, um das Produkt zu kontrollieren und diese Kontrollkette während des gesamten Prozesses zu haben.

Ich denke, die Herausforderung bei der Version R2:2013 bestand einfach darin, dass die gesamte Datensicherheit in diesem Verweis auf NIST 800-88 begraben wurde. Und ich denke, das war die Gelegenheit in R2V3 und warum R2V3 so viel spezifischer in Bezug auf Datensicherheit und Datenbereinigung ist. Deshalb bringen wir all diese Anforderungen in den Vordergrund, weil sie so wichtig sind. Und dass wir sicherstellen, dass diese Anforderungen geprüft werden speziell, und dass der Prüfer die Möglichkeit hat, eine Nichtkonformität gegen die spezifischen Anforderungen zu schreiben, die als Teil jeder Datensicherheits- und Datenbereinigungsoperation betrachtet werden sollten.

RG: Wir haben jetzt also den neuen Standard R2v3, der auf der ganzen Welt verwendet wird. Diese Version scheint für die verschiedenen Bedenken hinsichtlich der Datensicherheit noch stärker zu sein als R2:2013, die natürlich stärker war als die ursprüngliche R2:2008-Version. Warum ist dieser neue Standard für die Datensicherheit in Einrichtungen auf der ganzen Welt so wichtig?

CD:  Der neue R2v3-Standard erkennt die Herausforderungen an, über die ich gesprochen habe – Herausforderungen und Kompetenz sowie Herausforderungen in Bezug auf andere Standards. R2v3 hat all das vorangebracht, glaube ich. Also begannen wir mit der Erstellung eines Plans. Und wirklich die Übung, von den Einrichtungen zu verlangen, dass sie alle verschiedenen Arten von Geräten, die sie erhalten, und die angewandten Desinfektionsmethoden auslegen, damit sie über dieses Wissen und wiederholbare Wissen verfügen, um alle verschiedenen Arten und Arten von Geräten anzugehen , nicht nur die Festplatten. Ich denke, das ist hier wirklich wichtig in Bezug auf die Kernanforderungen in (R2)v3. Und dann diese Ebenen von Kontrollen in diesen Prozess einzubauen und sicherzustellen, dass es eine Person gibt, die für die Datenbereinigung verantwortlich ist – der Datenschutzbeauftragte, und all die Dinge, die für den Betrieb notwendig sind, nur um eine sichere Umgebung zu haben.

Aber dann geht Anhang B für diese Einrichtungen noch einen Schritt weiter … und geht wirklich auf die verbesserte Ebene der Datenbereinigung, der logischen Bereinigung oder Löschung von Geräten … und bringt all diese Klarheit und Konzentration in den Vordergrund. Es wird also nicht angenommen – es ist tatsächlich etwas im Detail zu befolgen und zu überprüfen. Deshalb denke ich, dass R2V3 so wichtig ist, um diesen Übergang zu vollziehen.

RG: Lassen Sie uns also in den letzten Minuten hier auch über die praktischen Anwendungen sprechen, während wir diese Reihe von internen Audits besprechen. Die Anforderungen des R2V3-Standards erfordern mindestens einmal jährlich ein Datensicherheits- und Datenbereinigungsaudit. Sie müssen also jemanden finden, der dieses Audit mit diesem Maß an Fachwissen durchführt, aber es kann nicht jemand in der Einrichtung sein, der dies jeden Tag tut. Wie sollten Einrichtungen vorgehen, um jemanden zu finden, der gut genug ist, um diese Ebene der internen Revision für Datenbereinigung und Datensicherheit durchzuführen?

CD:   Ich denke, dass es aufgrund der Größe eine Herausforderung geben könnte, insbesondere für kleinere Unternehmen, die nicht über viele interne Ressourcen verfügen. In einem größeren Unternehmen könnte dies intern mit jemandem erfolgen, der sich mit Datenbereinigung auskennt und diese Kompetenz bewiesen hat, solange er nicht die Person ist, die die Datenbereinigung tatsächlich durchführt oder für diese Funktion verantwortlich ist. Extern müssen wir oft nach einem externen Prüfer oder Berater suchen – jemandem, der in diesem Bereich erfahren ist, eher technischer Natur ist und sich mit Datensicherheit und Datenbereinigung auskennt, eine Schulung abgeschlossen hat oder über die Berufserfahrung verfügt, um dies beurteilen zu können . Es ist wichtig, dass sie unabhängig sind, damit sie objektiv sein können.

Der Prozess der Durchführung dieses internen Audits schützt tatsächlich die Einrichtung. Es schützt sie vor Datenschutzverletzungen, um sicherzustellen, dass es keine Lücken in ihrem Prozess gibt oder wie er implementiert und ausgeführt wird. Und das ist äußerst wichtig, nicht nur für die Einrichtung, sondern auch für die Kunden dieser Einrichtung. An erster Stelle stehen hier die Datensicherheit und das Risiko von Datenschutzverletzungen. Dieser gesamte Prozess der Durchführung interner Audits könnte tatsächlich als Gelegenheit angesehen werden, sicherzustellen, dass Sie keine Schlupflöcher haben, und Bereiche zu identifizieren, die stärker und verbessert werden können, um eine potenzielle Datenschutzverletzung zu verhindern.

RG:  Es scheint, als ob R2 sich im Laufe der Jahre weiterentwickelt hat und von mehr Orten auf der ganzen Welt implementiert wurde, es drei Hauptbereiche gibt, in denen es von Bedeutung ist und in denen R2 hilfreich sein kann – Umweltbelange und Nachhaltigkeit und Kreislaufwirtschaft. dann die Arbeitssicherheit und der Schutz der Gemeinden, in denen sich die Einrichtungen befinden, aber drittens und fast ebenso wichtig sind Fragen der Datensicherheit. Stellen Sie sicher, dass die Unternehmen, die all diese Daten enthaltenden Geräte erhalten, in der Lage sind, die Daten der Personen zu schützen, die sie senden, und vertrauen Sie darauf, dass diese Unternehmen verantwortungsbewusst mit Materialien umgehen. Sehen Sie irgendwelche Änderungen, wenn R2 mit dieser dreiteiligen Sorge um unsere Mission fortfährt?

CD: Nein, ich denke, das sind solide, gute Praktiken, auf die wir uns immer konzentrieren müssen. Ich denke, es ist wirklich wichtig sicherzustellen, dass R2-zertifizierte Einrichtungen den Standard erfüllen, weil dies für die Kunden wichtig ist.

RG: Also noch etwas, Corey. Wie unterscheidet sich ein Auditor für Datensicherheit und Hygiene von einem Auditor für gesetzliche Compliance, wenn ein Unternehmen beispielsweise jemanden für seine internen Audits auswählt?

CD:, Beide erfordern unterschiedliche Kernkompetenzen und können daher nicht unbedingt in einen Topf geworfen werden. Eine Person könnte alle erforderlichen Kompetenzen haben. Oder es kann sein, dass eine Einrichtung eine Person hat, die sich mit Gesundheit und Sicherheit sowie diesen Risiken und Gefahren innerhalb von Einrichtungen auskennt, und eine andere Person, die sich mit der technischen Seite der Dinge und den Prozessen für Datensicherheit und Datenbereinigung auskennt. Ich denke also, dass die Kompetenzen unterschiedlich sind, und das ist wirklich wichtig, wenn man evaluiert, wen man anstellt oder wen man innerhalb der Einrichtung einsetzt. Um das Datenbereinigungsaudit durchzuführen, ist Ihr IT-Leiter möglicherweise besser im Bereich der Datenbereinigung, da diese technischer Natur sind, als Ihr Gesundheits- und Sicherheitsexperte. Ich denke also, dass dies wichtige Unterscheidungen sind, die Sie im Prozess hervorheben sollten, um sicherzustellen, dass Sie die besten Ergebnisse erzielen, nach denen Sie suchen.

RG: Vielen Dank, dass Sie sich heute die Zeit für uns genommen haben, Corey. Wir wissen das sehr zu schätzen und freuen uns darauf, dass die Leute dazu Stellung nehmen und diese Diskussion über dieses wirklich wichtige Thema fortsetzen.

CD: Danke, Roger.

*********

RG: Wie ich bereits erwähnt habe, wissen wir beim SBFI, wie wichtig ein internes Audit-Programm sein kann. Deshalb entwickeln wir zusätzlich zu diesen Podcasts neue Schulungstools, die Ihnen helfen sollen, darunter neue Videos, Informationsblätter und Musterformulare. Neuigkeiten werden auf der Website des SBFI bekannt gegeben. Suche das Kürzlich Hinzugefügt Spalte auf unserer Knowledge Base-Seite.

Das war es für diese Episode von Ask the R2 Guru. Danke fürs Zuhören und nochmals danke an Corey Dehmey und wie immer an das SERI-Team für die Unterstützung bei der Produktion dieses Podcasts. Eine vollständige Abschrift meines Gesprächs mit Corey finden Sie im Podcast-Bereich der R2-Wissensdatenbank auf der Website des SBFI. Das finden Sie auf nachhaltiger Elektronik.org.