INFOSEC23 – Londra – Veri koruma gerekliliklerine uyum, siber güvenlik ve risk yönetiminin temel taşlarından biri olmaya devam ediyor, ancak Genel Veri Koruma Yönetmeliğinin (GDPR) beşinci yıldönümünü geride bırakmamızla birlikte, göstergeler bunun BT departmanları üzerinde makul olmayan bir yük haline geldiğine işaret ediyor.
Hornetsecurity tarafından Infosecurity Europe’da bu hafta yayınlanan araştırma, kuruluşların %80’inin uyum konusunda beş yıl öncesine göre daha fazla endişe duyduğunu ortaya çıkardı; ancak, uygun bir uyumluluk düzeyini koruma yükü, işletmelerin yarısından fazlasında (%57) BT departmanına düşüyor.
Yaklaşık 200 kuruluşta BT liderleriyle yapılan anket, kuruluşların üçte birinden fazlasının (%37,5) özel bir uyum görevlisine sahip olmadığını, buna karşın Yanıt verenlerin %69’u, uyumluluğun BT departmanlarının operasyonları üzerinde “orta” ila “aşırı” bir etkiye sahip olduğunu söyledi ve sekiz şirketten biri (%13), muhtemelen bir eksiklik nedeniyle gerekli kontrollerle uyumlu olduklarını hiç doğrulayamadı. kaynakların sayısı.
Bu, uyumun bir risk yönetimi sağlayıcısı olarak görülmekten ziyade, başarılması gereken bir engel olarak algılandığını ve birçoğunun bunu, üstesinden gelmeye hazır olsun ya da olmasın BT departmanına yüklediğini gösteriyor.
Hornetsecurity CEO’su Daniel Hofmann raporda, “Şirketlerin yarısından fazlasının uyum personeli ve politikaları eksikliği nedeniyle BT departmanlarının günlük çalışmalarını engellemesi büyük bir endişe kaynağı” dedi.
Olumsuz Uyum Algısı Var mı?
Hornetsecurity teknik savunucusu Andy Syrewicz, yalnızca teknoloji düzeyinde değil, bir bütün olarak çoğu işletmede uyum yüküne ilişkin olumsuz bir algı olduğuna inandığını söylüyor.
“Pek çok kuruluş uyumluluğu tıpkı vergiler gibi sadece bir ‘iş yapma maliyeti’ olarak görüyor” diyor. “Birçok kuruluş, düzenlemelerin varlığına bakılmaksızın verileri koruma konusunda doğru olanı yapmak ister, ancak sektörde daha küstah bir tavır sergileyenler de var. Bununla birlikte, uyumun ağır yükü giderek BT ekiplerine biniyor – ve işletmeler bununla başa çıkmanın yollarını arıyor.”
Miss IG Geek’in yöneticisi Rowenna Fielding, kuruluşların veri koruma ilkelerini sürdürdüklerini ve verilere saygı gösterdiklerini kanıtlamalarını gerektiren Hesap Verebilirlik İlkesi’nin getirilmesi nedeniyle GDPR’nin iş üzerinde önemli bir etkisi olduğunu söylüyor. -özne hakları ve yönetişim yükümlülüklerini yerine getirme.
“Bu, o zamana kadar büyük ölçüde bir kutu işaretleme alıştırması olarak ele alınan önceki veri koruma yasasındaki bir boşluğu kapattı” diyor. “Ancak bu, kuruluşların ne kadar ‘uygunluk borcu’ taşıdıklarını fark etmelerini sağladı ve önceki 20 yılı yakalamanın yanı sıra yeni, daha katı standartları karşılayabilmek için önemli değişiklikler gerektirdi.”
Fielding, yaşayan insanları iş avantajı elde etmek amacıyla zarar görmekten veya sömürülmekten korumak için var olan sağlık ve güvenlik yasaları veya tüketici hakları düzenlemeleri ile güçlü paralellikler olduğunu ekliyor: bir sorumluluktan daha fazla.”
Anahtar kelime bu: yük. Bir şey bir yükse, o konuda daha az hevesliyiz ve görünüşe göre bu araştırmadaki uyumluluk durumu bu. Fielding, yasaların doğru tarafında kalmak veya daha iyisi kurumsal sosyal sorumluluğu ciddiye almak için açık ve gerçekçi stratejilere ve olanaklara sahip olduklarından emin olmanın iş dünyasının liderlerine bağlı olduğunu söylüyor.
Veri Güvenliği Uyumluluğundan Kim Sorumlu?
Uyumluluk istatistiğinin BT’nin sorumluluğunda olup olmadığı sorulduğunda Fielding, bunun bir felaket reçetesi olduğunu söylüyor. BT’nin sorumluluğu, BT ekipmanı ve hizmetlerinin satın alınması, yapılandırılması, bakımı ve desteğinin bir kuruluşun uyumluluk yükümlülüklerini yerine getirmesini sağlamaktır – tüm kuruluş için çoban köpeği olarak hareket etmemek.
“Her iş birimi, kuruluşun stratejisine uyması için kendi operasyonel parametrelerini belirlemeli ve bu, geçerli uyumluluk gereksinimlerini anlamak ve bunları yürürlüğe koymak anlamına gelir” diyor.
Çözüm, uyum sorumluluğunun en tepeden başlayarak tüm organizasyona yayılmasıdır. Fielding, yasal/sözleşmeli/işle ilgili yükümlülüklerin karşılanabilmesi için kuruluşun geri kalanına parametreler, kaynaklar ve yönlendirme sağlamanın üst yönetimin sorumluluğunda olduğunu söylüyor, ancak çoğu zaman olan şey, bir kuruluşun en üst düzeyinin üst düzey yöneticiler olduğunu varsaymasıdır. bu “uyma”, insanlara bunu yapmalarını söyleyerek (ve yapmazlarsa onları cezalandırmakla tehdit ederek) elde edilebilecek bir şeydir.
“Bu, uyumluluğun teşvik edildiği bir ortam yaratmaz ve bunu başarmak için uygun veya yeterli kaynaklar sunmaz” diyor. “Sonuçta, küçük bir çalışanı uyumsuzluk nedeniyle günah keçisi ilan etmek, bir kültür oluşturup sürdürmekten çok daha kolaydır. sağlar uyma.”