Suy nghĩ lại về ITAD: các cạm bẫy phải tránh

Khi mua điện thoại hoặc máy tính xách tay đã qua sử dụng, doanh nghiệp đôi khi phát hiện thấy chúng chứa nhiều thông tin cá nhân từ những người sử dụng trước đây.

Hoặc bạn từng nghe tin những công ty lớn nhất toàn cầu bị phạt hàng triệu đô la Mỹ vì tiêu hủy tài sản Công Nghệ Thông Tin của họ chưa đúng cách.

Hoặc bạn cảm thấy rất lo ngại khi xem tin tức về các bãi rác đầy thiết bị điện tử bị loại bỏ, chất thành đống cao ở các nước đang phát triển, tàn phá những khu vực đang thải ra chúng và trở thành mục tiêu hấp dẫn cho bọn tội phạm mạng vì chúng biết rằng những đống rác này chứa thông tin có giá trị.

Mặc dù việc mua tài sản Công Nghệ Thông Tin thường được chú trọng nhất trong bất kỳ chiến lược kinh doanh nào có sự hỗ trợ công nghệ, nhưng những tài sản Công Nghệ Thông Tin đã đến cuối vòng đời và vẫn còn chứa thông tin của doanh nghiệp và khách hàng thì vẫn thường chưa được coi trọng.

Cân nhắc quy trình Tiêu Hủy Tài Sản Công Nghệ Thông Tin (ITAD) và xem đó là công việc cần chú trọng khi chu kỳ sản phẩm ngắn dần, công nghệ phát triển với tốc độ nhanh hơn và nhiều công ty chuyển sang sử dụng dịch vụ điện toán đám mây. Bạn sẽ cần tiêu hủy tài sản Công Nghệ Thông Tin ngày càng tăng với số lượng lớn khi chúng đến cuối vòng đời và việc lựa chọn chiến lược ITAD đúng đắn sẽ giúp bạn hạn chế rủi ro trong kinh doanh và bảo vệ môi trường.

Rác thải điện tử: nguồn rác thải tăng nhanh nhất

Chúng ta thải ra khoảng 53 triệu tấn rác thải điện tử mỗi năm trên thế giới và Liên Hiệp Quốc dự báo rằng con số này sẽ tăng hơn gấp đôi vào năm 2050. Điều này khiến chất thải điện tử trở thành dòng chất thải tăng nhanh nhất trên thế giới. Công nghệ thông tin không chỉ đề cập đến vấn đề tiêu thụ năng lượng mà còn nói về phần cứng, hiện nay là nguyên nhân chính gây ảnh hưởng đến môi trường. Và những kim loại nặng như thủy ngân, chì, cadmium và nhiều kim loại khác trong các thiết bị này có thể thải nhiều độc tính vào hệ sinh thái, gây ra hàng loạt vấn đề. Không có gì ngạc nhiên khi ngày càng có nhiều quốc gia từ chối tiếp nhận các loại rác thải điện tử, cụ thể là Thái Lan sẽ ngưng tiếp nhận rác thải điện tử vào tháng 9 năm 2020.

An toàn dữ liệu và những thách thức về mặt pháp luật

Rác thải điện tử cũng đặt ra các vấn đề pháp lý và an toàn dữ liệu ngay lập tức. Khoảng 25 tiểu bang và Quận Columbia đã thông qua các luật yêu cầu thực hiện việc tái chế đồ điện tử ở một mức độ nào đó và đã đưa ra các hình phạt đối với trường hợp quản lý sai quy trình. Tại Ontario, Canada các quy định mới về rác thải điện tử đã bắt đầu được thực thi, với tỷ lệ tái chế mục tiêu là 70%. Và có nhiều pháp luật và quy định về quyền riêng tư và bảo vệ dữ liệu có ảnh hưởng rộng rãi đến việc xử lý tài sản công nghệ thông tin bao gồm cả pháp luật quốc tế. Ví dụ: theo Quy Định Chung Về Bảo Vệ Dữ Liệu (GDPR), các công ty không tuân thủ phải đối mặt với mức phạt nặng, có thể lên tới € 20 triệu hoặc 4% doanh thu toàn cầu hàng năm, tùy thuộc vào mức độ nghiêm trọng và trường hợp vi phạm.

Những sai lầm thông thường khi thực hiện ITAD

Cần có các quy trình rõ ràng để thực hiện ITAD an toàn, bảo mật, nhưng bạn rất dễ mắc sai lầm. Dưới đây là một số sai lầm thông thường cần tránh.

Suy nghĩ quá đơn giản.

Nhiều doanh nghiệp không coi trọng quy trình tuy hủy phần cứng Công Nghệ Thông Tin đã cũ, chỉ dọn sạch thiết bị và thải bỏ. Nhưng không may, quy trình này không đơn giản như vậy. Quy trình dọn sạch, xóa bỏ và khử từ đòi hỏi phải hoạt động hiệu quả và được chứng minh. Việc chỉ xóa, định dạng lại hoặc cài đặt lại có thể không thực sự xóa dữ liệu. Nếu dữ liệu không được dọn sạch đúng cách hoặc nếu phương tiện không được tiêu hủy đúng quy trình thì vẫn có nguy cơ vi phạm dữ liệu.

Giao trách nhiệm thực hiện ITAD cho bộ phận công nghệ thông tin

Mặc dù bộ phận Công Nghệ Thông Tin sẽ chịu trách nhiệm thực hiện ITAD nhưng nếu doanh nghiệp không có đội ngũ này thì cũng không sao. Quy trình xử lý an toàn và bảo mật thiết bị công nghệ thông tin liên quan đến các khía cạnh kỹ thuật, pháp lý, hậu cần và hành chính mà bộ phận Công Nghệ Thông Tin của bạn có thể có hoặc không có các bộ kỹ năng cần thiết, bao gồm:

• Phối hợp với những cá nhân và bộ phận làm việc với những dữ liệu đó và các thiết bị đã đến cuối vòng đời
• Thực hiện các quy trình cụ thể cần thiết để xóa hoàn toàn mọi dữ liệu hiện có
• Đánh giá xem có biết chính xác chuỗi hành trình sản phẩm hay không (kiểm tra dấu vết những người đã từng truy cập vào thiết bị và thời điểm)
• Đánh giá thông tin xác thực về môi trường và bảo mật dữ liệu của nhà cung cấp bên thứ ba

Rõ ràng, bộ phận Công Nghệ Thông Tin đóng vai trò chính, nhưng các quản trị viên, phòng ban và quản lý cấp cao khác cũng có những vai trò nhất định.

Đánh giá thấp trách nhiệm pháp lý.

Cùng với lượng rác thải điện tử ngày càng tăng, pháp luật và quy định về quản lý rác thải điện tử cũng như các mức phạt do không tuân thủ cũng tăng theo. Một nhà cung cấp dịch vụ tài chính gần đây đã bị phạt 60 triệu đô la vì không tuân thủ quy trình xử lý rác thải điện tử khi ngừng hoạt động hai trung tâm dữ liệu. Và tiền phạt không phải là cái giá duy nhất phải trả.

Và vấn đề không chỉ là các pháp luật và quy định về quản lý rác thải điện tử mà bạn cần phải quan tâm. Như được nêu ở trên, rác thải điện tử cũng nằm trong phạm vi áp dụng của GDPR, các tiêu chuẩn ngành như PCI-DSS, luật bảo mật của tiểu bang như Đạo Luật về Quyền Riêng Tư của Người Tiêu Dùng California (CCPA) và các quy định rộng hơn như HIPAA, Đạo Luật MEGABYTE và Sarbanes- Oxley (SOX).

Tin dùng dịch vụ miễn phí.

Nhiều công ty cung cấp dịch vụ ITAD miễn phí hoặc với giá rất thấp và họ thường tuyên bố rằng chi phí dịch vụ được gói gọn trong số tiền thu được từ việc bán lại thiết bị của bạn. Theo lẽ thường, dịch vụ được cung cấp theo giá tiền bạn trả. Có nhiều người đã sử dụng nhà cung cấp dịch vụ ITAD miễn phí hoặc với chi phí rất thấp này và có khả năng nhà cung cấp dịch vụ đó sẽ thực hiện một hoặc nhiều điều sau:

• Thu lợi đáng kể từ việc tái chế thiết bị của bạn, vì vậy dịch vụ này hoàn toàn không miễn phí
• Bỏ qua những việc làm trong như chuỗi hành trình an toàn hoặc xác minh đầy đủ rằng dữ liệu đã bị tiêu hủy trên tất cả các thiết bị. Thải bỏ thiết bị của bạn theo những cách thiếu trách nhiệm với môi trường (chẳng hạn như vận chuyển ra nước ngoài hoặc đổ tại các bãi chôn lấp tại địa phương)

Nói tóm lại, trước mắt là bạn tiết kiệm được tiền nhưng bạn lại đặt công việc kinh doanh của mình vào rủi ro và góp phần gây ra những tác động tiêu cực đến môi trường mà việc tái chế cần phải tránh.

Bỏ qua chuỗi hành trình.

Bạn có thể không hiểu rõ chuỗi hành trình sản phẩm có liên quan gì với ITAD về mặt pháp lý, nhưng đó thực sự là chìa khóa để thực hiện đúng. Cho dù bạn tự thực hiện quy trình ITAD hay sử dụng một bên thứ ba, bạn sẽ cần biết đầy đủ về nơi các tài sản công nghệ thông tin của bạn sẽ được xử lý và đối tượng nào sẽ sử dụng để đoan chắc rằng quy trình ITAD đã được thực hiện một cách có trách nhiệm và tuân thủ, cả về mặt môi trường lẫn quan điểm bảo mật dữ liệu. Ngoài ra, các thực hành chuỗi hành trình sản phẩm an toàn còn có một lợi ích khác, đó là ngăn chặn hành vi trộm cắp. Việc các thiết bị bị lấy cắp trong quy trình ITAD có thể là một vấn đề nghiêm trọng. Một vật càng nhỏ và càng có giá trị thì càng có nhiều khả năng biến mất và người lấy trộm ít có ý định lấy cắp một tài sản mà chúng biết là đang được theo dõi.

Trên đây là tất cả những sai lầm mà ngay cả những tổ chức cẩn thận nhất cũng có thể mắc phải. Nhưng sai lầm lớn nhất là ra quyết định muộn màng cho việc xử lý tài sản công nghệ thông tin cuối vòng đời.

Thay vào đó, hãy coi việc xử lý tài sản công nghệ thông tin cuối vòng đời như một phần quan trọng trong chu kỳ quản lý thông tin liên tục của bạn, cần thiết để bảo vệ thông tin nhạy cảm và môi trường.

Brooks Hoffman là thành viên của đội ngũ Quản Lý Sản Phẩm cho dịch vụ Xử Lý Tài Sản Công Nghệ Thông Tin An Toàn của Iron Mountain (“SITAD”). Trước khi gia nhập Iron Mountain, Brooks Hoffman là nhà đồng sáng lập và giám đốc tài