Yazan Daniel Barber, CEO, DataGrail
2023 yılı boyunca veri gizliliği, siber güvenlikle ilgili tartışmaların ön planda ve merkezinde yer aldı. Dünyanın her yerindeki tüketiciler, özellikle yapay zeka gibi yeni teknolojilerin yeni riskler yaratması nedeniyle, verilerinin nasıl toplandığı ve kullanıldığı konusunda giderek daha dikkatli oluyor.
CISO’lar kuruluşları için veri gizliliği sorumluluğuna öncülük ediyor. Sürekli değişen bir ortamda, güvenlik liderleri her zaman müşteri güvenini artıracak ve mevzuat uyumluluğunu sağlayacak BT çözümleri arayışındadır. Ve CISO’lar bunu yapmamanın feci sonuçlara yol açabileceğini en iyi biliyor.
2024 yılında CISO’ların yeni risk dalgasına uyum sağlaması gerekecek. Bunların başında yapay zeka, düzenleme ve uygulama ve bizzat CISO’nun rolü ile ilgili zorluklar gelecektir.
- Yapay zekanın geliştirilmesi ve kullanılması çözümler gerektirecektir.
Yapay zeka, siber güvenlik için yeni zorluklar ortaya çıkarıyor ve düzenleyiciler bunun farkına varıyor. Daha geçen hafta, AB milletvekilleri yapay zekayı düzenlemenin temel unsurları üzerinde anlaştılar. Şeffaflık yükümlülüklerine uymak için temel yapay zeka modellerini gerektirecek ve yüz görüntülerinin toplu olarak kazınması da dahil olmak üzere çeşitli yapay zeka kullanımlarını yasaklayacak. Ayrıca “yüksek riskli” yapay zeka kullanan işletmelerin sistemik risklerini değerlendirmesini ve bunlar hakkında rapor vermesini gerektirecek. Eyaletin uygulama kurumu olan Kaliforniya Gizliliği Koruma Ajansı (CPPA), yakın zamanda “otomatik karar verme teknolojisi” (AI tanımı) hakkındaki düzenleyici çerçeve taslağını yayınladı ve Kaliforniyalılara verilerinin başka amaçlarla kullanılmasından vazgeçme hakkı verdi. Yapay zeka modelleri.
Hiçbir işletme yapay zekayı görmezden gelmeyi göze alamaz. Sektörler genelinde teknoloji, uzun vadeli inovasyonun anahtarı olacak. Peki CISO’lar yapay zekanın kurum içinde, satıcılar ve diğer ortaklar tarafından kullanılmasıyla birlikte gelen gizlilik risklerini nasıl önleyebilir?
İlk ve gerekli adım mevcut sınırlamaların farkına varmaktır. Üçüncü tarafların yapay zekayı kontrol etme vaadiyle çözümleri gereğinden fazla satması muhtemeldir, ancak henüz o noktaya gelmedik. CISO’ların kontrolü düşünmeden önce, yapay zekanın işlerinde nerede kullanılacağını ve kullanılacağını öğrenmeleri gerekiyor. Bu noktaları keşfetmek ve bunları izlemek kontrolden önce gelmelidir çünkü hiç kimse üretken yapay zekanın nasıl gelişeceğini gerçekten bilmiyor. Bu nedenle CISO’lar, bu teknolojiden ve bunun potansiyel sonuçlarından yararlanabileceğini iddia eden üçüncü taraf çözümlere karşı dikkatli olmalıdır.
CISO’lar, kontrol yanılsamasına kapılmak yerine, keşif ve izleme çabalarını artırmak için mevcut araç kutularından faydalanmalıdır. Geleneksel araçlar, üretken yapay zeka dünyasında bile hâlâ değer taşıyor. Örneğin, şirketin politikaları uyarınca izin verilmeyen yapay zeka satıcılarına yapılan aramaları bulmak için her yerde bulunan ağ denetiminden yararlanabilirler. Veri eşleme ve algılama, siber güvenlik ekiplerinin yapay zekanın kuruluşlarında tam olarak nerede kullanıldığını bilmelerine ve gölge BT’yi önlemelerine yardımcı olabilir.
- Veri gizliliği düzenlemesi (ve uygulaması) gelişecek.
Daha genel olarak veri gizliliği pazarı söz konusu olduğunda CISO’ların tek bir beklentisi olabilir: değişim.
Bu özellikle düzenleme söz konusu olduğunda doğrudur. Bazı kurumlar teknolojik gelişmeye ayak uydururken uygulama tamamen başka bir konu olmuştur. Veri gizliliği uzmanı Anna Westfelt’in yakın zamanda altını çizdiği gibi, dünyanın dört bir yanındaki düzenleyiciler şu anda felç edici personel sıkıntısı ve muazzam birikmiş işlerle karşı karşıya.
2023’te durum böyle olsa da diğer göstergeler önümüzdeki aylarda ve yıllarda neler beklenebileceğine dair daha iyi fikir veriyor. Özellikle veri sahibi erişim talepleri (DSAR’lar) yıldan yıla artmaya devam ediyor. Bu, tüketicilerin kişisel verilerinin nasıl işlendiğine dair artan endişelerini yansıtıyor; ancak bu aynı zamanda daha sıkı DSAR yaptırımlarının çok yakında olduğunu da gösteriyor.
CISO’lar için bu, veri haritalama ve yapay zeka keşfi ve izleme çözümlerine ek olarak, ister otomatik süreçler ister başka yollarla olsun, tüketicinin veri şeffaflığı taleplerine nasıl verimli bir şekilde yanıt verebilecekleri konusunda ciddi şekilde düşünmeye başlamaları gerektiği anlamına gelir. Bunu yapmak, kuruluşlarını yalnızca düzenleme ihlallerinden kaynaklanan cezalardan korumakla kalmayacak, aynı zamanda tüketicilerin güvenini artıracak ve markalarını güçlendirecektir.
- CISO’lar daha fazla incelemeyle karşı karşıya kalacak.
2023’te CISO’lar önemli riskler ve zorluklarla karşı karşıya kaldı. Bu rolle görevlendirilenler genellikle veri ihlallerinin ve siber saldırıların yükünü taşıyor; bu da genellikle tükenmişlik, işten çıkarılma ve hatta yasal sonuçlarla sonuçlanan bir gerçek. Hal böyle olunca değişim geliyor.
CISO’ların omuzlarında bu kadar çok yük varken, değeri olan CISO’ların daha yüksek tazminat talep etmesi ve alması mantıklıdır. Ayrıca, mutlaka daha iyi tazminat garantileri alacaklar ve kurum kültürünün yarattığı sıkışıklıkları aşmak için organizasyonları içinde daha yüksek bir profile sahip olacaklar. İşlerini gerçekleştirebilecekleri ‘güvenli’ bir alan olmadığında, yeteneklerini başka bir yere taşıyacak gerçekten nitelikli kişileri arayın. Sonuçta neden kendilerini diğer ekip üyelerinin de parmağı olduğu sonuçlardan kişisel ve yasal olarak sorumlu tutan bir konumda kalsınlar ki?
CISO’lar 2024 ve sonrasında riskin meşale taşıyıcıları olarak kendilerini güçlendirecekler; ancak bu ancak doğru koruma, tazminat ve güç karışımı sağlanırsa mümkün olacak.
yazar hakkında
Daniel Barber, modern markaların riski azaltmaya ve güven oluşturmaya yönelik Gizlilik Kontrol Merkezi DataGrail’in Kurucu Ortağı ve CEO’sudur. DataGrail’den önce Daniel, DocuSign, Datanyze (ZoomInfo tarafından satın alındı), ToutApp (Marketo tarafından satın alındı) ve Responsys’te (Oracle tarafından satın alındı) gelir ekiplerine liderlik ediyordu.
Kariyerinin çoğunu veri ürünleri ve üçüncü taraf uygulamaları üzerinde çalışarak geçiren Daniel, toplanan kişisel bilgilerin hacminden ve bu verilerin, onları güvende tutmakla görevlendirilen markalar tarafından nasıl kullanıldığından giderek daha fazla rahatsız olmaya başladı. Gizliliğin bir insan hakkı olduğuna inanarak DataGrail’i buna yanıt olarak kurdu.
Daniel, bakış açısının TechCrunch, VentureBeat, USA Today, Fast Company, Fortune ve CNBC gibi yayınlarda düzenli olarak yer almasıyla veri gizliliği konusunda önde gelen bir ses haline geldi.
Bu alandaki görüşleri aynı zamanda IAPP, CPO Magazine, Consumer Affairs, CIO Dive ve Dark Reading gibi güvenlik ve gizlilik yayınlarında da yayımlanmıştır.
Daniel’e çevrimiçi olarak @gaijindan, https://www.linkedin.com/in/daniel-barber/ adresinden ve şirketin web sitesinden ulaşılabilir: https://www.datagrail.io