Пять шагов для создания программы ITAD

Большинство предприятий признают тот факт, что вывод из эксплуатации ИТ-активов (ITAD) подразумевает не только управление электронными отходами. Владельцы компаний не понаслышке знают, что для уменьшения риска утечки конфиденциальных данных, снижения совокупной стоимости владения (TCO), а также обеспечения устойчивых бизнес-процессов требуется комплексный подход к жизненному циклу ИТ-активов, с целью их эффективного управления, опираясь на специфику деятельности и действующую политику в сфере информационных технологий.

Как показывает практика, рекордный рост количества ПК и спроса на современные устройства, в сочетании с показателем распределённой рабочей силы, способствует ощутимому увеличению уровня риска.

При ведении деятельности предприниматели вынуждены своевременно подстраиваться под быстро растущие и часто меняющиеся государственные нормы, а также отраслевые стандарты, направленные на обеспечение конфиденциальности и устойчивости данных, которые являются причиной возникновения больших последствий для руководства по управлению выводом из эксплуатации ИТ-активов.

Организации хорошо осведомлены о существующих штрафах, судебных процессах, репутационных рисках и других исходах при несоблюдении действующих норм. Не удивительно, что недавний опрос, проведённый «IDG and Iron Mountain» показал, что безопасность данных становится одной из главных проблем в списке того, каким вопросам отдают предпочтение ИТ-лидеры в процессе управления выводом оборудования из эксплуатации.

В данном аспекте также стоит отметить о необходимости соблюдения местных, государственных, федеральных и отраслевых правил. Возможно, многие бизнесмены владеют информацией о последствиях и ставках, но не все знают с чего начинать разработку официальной программы ITAD.

На сегодня около 60% компаний среднего бизнеса не имеют программу ITAD. Больше половины предприятий эксплуатируют ИТ-активы до окончания жизненного цикла, и что ещё хуже, почти 1/4 предприятий не ликвидирует данные из этих активов, согласно IDG.

С чего стоит начинать процесс создания программы ITAD?

Наиболее важной частью построения программы ITAD является разработка структуры и процесса управления списанных активов, которые обеспечивают безопасную цепочку действий – зарегистрированный документ, устанавливающий процедуры контроля, передачи, окончательного расположения всего оборудования и магнитных носителей.

Это является основополагающим фактором успеха ITAD, поскольку обеспечивается соблюдение требований, снижение рисков и облегчается управление затратами. Начиная с этого момента программа ITAD полностью отвечает потребностям вашего бизнеса, успешно объединяя все цели организации, связанные с устойчивостью развития, экологической ответственностью, конфиденциальностью данных и соблюдением отраслевых и государственных стандартов.

Основные шаги для реализации программы ITAD:

1. Сбор команды для разработки, запуска и обслуживания программы. Привлекайте в свою команду единомышленников: отделы закупки, цифровой и охранной безопасности, юристов, экологов, финансов и управление складами (где хранятся старые ноутбуки и телефоны). Команда специалистов разрабатывает:

• политику, определяющую типы активов, которые должны контролироваться;
• требования для отслеживания IT-активов;
• соответствующие методы утилизации.

После процесса создания необходимо назначить эксперта из числа команды, который организует обучение для сотрудников, с целью разъяснения составляющей программы, её специфики, возможностей и необходимости использования. Важно также донести до каждого участника коллектива о возможных последствиях при несоблюдении правил программы.

2. Внутренний контроль.

Одной из распространённых проблем является отсутствие достоверной информации о том, где располагаются все ИТ-активы и ПО, особенно те, которые больше не эксплуатируются.

Созданная программа определяет поэтапный процесс отслеживания активов, с учётом инвентарных номеров, предназначенных для идентификации. Эта информация должна быть доступна в централизованной системе, позволяющая пользователям определять местоположение и статус активов, начиная от первоначальных закупок, весь период обслуживания и до окончательного местонахождения.

Внутренний контроль также должен предусматривать меры по предотвращению доступа к устройствам, которые выводятся из эксплуатации и ещё содержат неуничтоженные данные. Управление полным жизненным циклом ИТ-активов предусматривает необходимость стирания или физического уничтожения носителя данных.

3. Ликвидация сведений.

Увеличение количества нарушений по сохранности конфиденциальности данных в сочетании с проблемами соответствия нормативным требованиям привели к тому, что организации требуют, чтобы все средства хранения данных были уничтожены или стёрты до того, как они покинут территорию предприятия.

Независимо от того, производится стирание данных на месте или вне компании, вы должны использовать учётные списки и отчёты для аудита поставщиков, чтобы подтвердить, что в процессе вывода активов из эксплуатации ничего не упущено и соблюдены соответствующие правила.

4. Что происходит, когда ИТ-активы вывозятся с территории предприятия?

Транспорт — это критическая точка в безопасной цепочке вывода активов из эксплуатации. Если ваш поставщик ITAD использует сторонние компании (3PL's) для перевозки списанных активов, то на практике могут возникнуть проблемы.

Все автомобили должны быть опечатаны, охраняться и контролироваться системой GPS. Водители в обязательном порядке проходят проверку на причастность к криминалу. Транспортировка должна проводиться на безопасном уровне, с целью обеспечения своевременного прибытия активов в определённую точку для прохождения полноценного процесса передачи/перепродажи/переработки/ликвидации.

5. Повышенное внимание к сертификатам переработки.

Сертификат переработки представляет собой документ (E-стюарды, R2), подтверждающий факт того, что выводимое из эксплуатации оборудование обработано в соответствии с экологическими стандартами, правилами здравоохранения, действующих для сотрудников, а также законами о безопасности данных.

В то время как сторонние сертификаты предоставляют дополнительную гарантию соответствия ITAD действующим правилам. Также вы должны провести собственную независимую экспертизу с целью того, чтобы понимать, как поставщик выполняет свои обязательства по передаче активов.

После такой проверки формируется подробная аудиторская отчётность, которая содержит информацию по марке, модели, весу, серийному номеру каждого обработанного ИТ-актива. По необходимости можно предварительно собрать отзывы о репутации партнёра.

По актуальной статистике I квартал 2020 года за последние 20 лет стал самым интенсивно растущим периодом для рынка ПК. На 2021 год был дан прогноз об увеличении роста продаж смартфонов на 11%. По данным U.N. к 2030 году вес всех электронных отходов достигнет 74 млн. тонн. Этот показатель почти в два раза больше, по сравнению с 2014 годом.

Подытоживая вышесказанное, стоит отметить, что ITAD будет всё больше и больше становится важной частью управления ИТ-активами, процесса реализации безопасности данных, а также экологических, социальных и государственных стратегий.

Сделайте уверенный шаг уже сегодня и станьте лидером ITAD! У вас остались вопросы? Специалисты Компании «ITAM2.ru» будут рады предоставить развёрнутое консультирование!

Об авторе: Брукс Хоффман (Brooks Hoffman)

Брукс Хоффман занимает должность руководителя команды Iron Mountain’s Secure IT Asset Disposition (SITAD). Он несёт ответственность за координацию SITAD в Iron Mountain’s в 27 странах мира.

Брукс обладает более чем 17-летним опытом работы в ITAD, ранее сотрудничал и был CFO LifeSpan, национальной фирмы ITAD в Денвере, Колорадо. Брукс Хоффман является членом руководящего совета E-стюардов и частым докладчиком, а также автором по вопросам уничтожения данных, сертификации и передовой практики ITAD.

Ссылка на оригинал статьи: https://iaitam.org/five-steps-to-building-an-itad-program/

Сергей Ефимов, ITAM2.RU Project, руководитель проектов