Araştırmaya göre, veri ihlallerinin sayısı her geçen yıl artmaktadır. Daha da kötüsü, işletmeler için, veri kaybı bir BT olayı ile ilişkili en önemli maliyet olmayabilir – bu, müşterilerden, yatırımcılardan, çalışanlardan veya verilerinin ihlalde ortaya çıkan bir davaya neden olabilir. Böylece, birçok işletme sorumluluklarını nasıl azaltabileceklerini merak ediyor.
BT yükümlülüğündeki zorluklar
Ne yazık ki, veri ihlalleri gibi meseleler söz konusu olduğunda sorumluluğu anlamak kesilmiş ve kuru değildir. Tabii ki, yanlış yapıcı olay için birincil suçludur, ancak verilerin korunmasından sorumlu kuruluş da sorumlu tutulabilir. Birçok durumda, bir kuruluşun ve çalışanlarının eylemleri (veya eksikliği) bir ihlalin şiddetine katkıda bulunur ve bu nedenle en azından kısmen sorumlu tutulurlar.
Son teknolojik gelişmeler, sorumluluğu daha da karmaşık hale getirmiştir. Uzak ve hibrit çalışma yapılarındaki artış, ağlara daha fazla erişim noktası ve güvenlik açığı getirmiş olsa da, yapay zeka teknolojisi aynı anda siber saldırganların saldırılarında daha karmaşık hale gelmesine izin verdi. Bu, işletmelerin, herhangi bir siber saldırının sonuçları için yasal ve finansal olarak sorumlu olmamalarını sağlamak için özellikle uyanık olması gerektiği anlamına gelir.
Birçok durumda, ihmal, bir işletmenin bir veri ihlali için ne ölçüde sorumlu tutulacağının temel belirleyicisidir. Müşteri verileri satan şirketler istisnası dışında, bir veri ihlaline neden olmak için nadiren bir işletme eylemi veya kasıtlı olarak bir veri ihlaline neden olur. Çoğu zaman, bir veri ihlali, müşterilerini ve verilerini koruma sorumluluğunu yerine getiremeyen bir işletmeden kaynaklanır.
İşletmeler siber güvenlik yükümlülüklerini azaltmak için ne yapabilir?
Temel düzeyde, işletmelerin temel siber güvenlik en iyi uygulamalarını uygulamaları beklenebilir. Örneğin, erişim kontrolü, kötü amaçlı yazılım önleme yazılımı ve veri şifrelemesi, her işletmenin minimum olarak alması beklenen standart önlemlerdir. Bir işletme, en temel korumaları bile uygulayamayarak müşterilerinin verilerinin güvenliğini tam ve tamamen göz ardı etmişse, neredeyse kesinlikle veri ihlalinin sonuçlarından sorumlu bulunacaktır.
Üçüncü taraf yüklenicilerle çalışan işletmeler, potansiyel ortakları denetlerken özellikle dikkatli olmalıdır, çünkü bu yüklenicilerin hataları kendilerini sözleşmeli olan işi olumsuz yönde etkileyebilir. Bir yüklenici işe alınırken kişinin durum tespiti yapmamak kendi başına bir ihmal biçimidir, yani üçüncü bir taraf uygun siber güvenlik önlemlerini uygulamazsa ve bir veri ihlaline neden olursa, servis sağlayıcı sonuçlardan sorumlu tutulabilir.
İşletmelerin kendilerini veri güvenliği ihlallerinden kaynaklanan potansiyel sorumluluğa karşı korumak için kullanabileceği bir araç vardır: sözleşmeleri. Sözleşmeler siber güvenlik ile ilgili açık hükümler içermelidir, çünkü bu hem işletmenin sorumluluklarının hem de müşterinin haklarının tanımlanmasını sağlar. Hizmet sözleşmelerinde belirtilmesi gereken veri güvenliği hükümlerine örnek olarak, sözleşme sonlandırıldıktan sonra da dahil olmak üzere, veri depolarken hangi şifreleme standartlarının kullanılacağını ve verilerin ne kadar süre depolanacağıdır.
Sözleşmeler ayrıca, belirli durumlarda veri güvenliği ihlalleri için ücretsiz işletmelerin sorumluluk işlerinden feragat edebilir. Örneğin, bir işletme, üçüncü tarafın eylemlerinin veya ihmalinin neden olduğu bir güvenlik ihlali durumunda üçüncü taraf yüklenicilere karşı yükümlülüğü tanımlayan bir sözleşmeye bir madde içerebilir. Bazı sözleşmeler, işletmeyi veri ihlalleriyle ilgili tüm sorumluluklardan serbest bırakan hükümler bile içerebilir.
Son olarak, işletmeler veri güvenliği ile ilgili geçerli yasa ve düzenlemelerle güncel kalmalarını sağlamalıdır. Yapay zeka gibi ortaya çıkan yeni teknolojilerle – birkaç yeni milletvekilinin göreve girdiği gerçeğinden bahsetmiyorum – bu düzenlemeler sürekli değişiyor. Bununla birlikte, düzenlemelere uyumun sürdürülmemesi, bir işletmenin sadece düzenleyicilerden gelen para cezaları ve cezalarla değil, aynı zamanda düzenlemelere uymadıkları için davalarda sorumlulukla da karşılaşmasına neden olabilir.
Bir veri ihlali bir işletme için pahalı bir durum olabilir, ancak bir işletmenin sorumluluğunu en aza indirmek için alabileceği korumalar vardır. Temel siber güvenlik önlemlerinin uygulanması, yükümlülüğü en aza indirmek için sözleşmelerin dikkatle yazılmasını ve yürürlükteki düzenlemelere ve yasalara uygun olarak kalmasını sağlayarak, siber saldırı durumunda finansal ve yasal risklerini azaltabilir.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!