Hiçbir şey, yönetim kurulu odası ve düzenleyici baskılardan, insanlar ve bunları mümkün kılan araçlar da dahil olmak üzere kaynakların dağıtımına kadar, bir iş ve güvenlik organizasyonu olarak sorunlarını dile getirebilen müşteriler ve potansiyel müşterilerle buluşmaktan daha iyi olamaz.
İster büyük bir banka CISO’su ister küresel bir iletişim şirketinden bir güvenlik lideri ile toplantı yapın, her biri kendine özgü odak noktasını ve farklı zorlukları paylaşıyor, ancak veri güvenliği zorluklarını tartışırken genellikle birkaç ortak nokta var. Örneğin, ister C-Suite, ister Yönetim Kurulu, düzenleyiciler veya bunların tümü olsun, genellikle tepeden gelen baskıyı paylaşırlar. Ve seçtikleri stratejilerin tümü ödünleşimleri içeriyor. Her şeyi yapmak ve denemek için sınırsız bütçeleri yok. Genellikle yerel çözümler, satıcı ürünleri ve dış kaynaklı yönetilen güvenlik hizmetlerinden oluşan bir karışımı tartışırlar.
Çoğu kurumsal güvenlik stratejisi ağları, uç noktaları ve kimlikleri korur. Veri güvenliği bir önceliktir ancak genellikle güvenlik planlarının merkezinde yer almaz. GenAI’nin kurumlara agresif bir şekilde tanıtılmasıyla birlikte güvenlik liderleri, GenAI’nin dahili kullanımından başlayarak veri güvenliğine yönelik yaklaşımlarını yeniden değerlendiriyor. Microsoft CoPilot’a ve ortamda birden fazla örnek kullanıldığında yönetilmesi zor olabilen Slack gibi üretkenlik uygulamalarına neredeyse evrensel bir odaklanma var.
Çeşitli sektörlerden CISO’ları dinledikten sonra, en deneyimli güvenlik liderlerinin bile verilerini daha iyi korumaya yönelik planlar oluştururken karşılaştıkları beş veri güvenliği sorununu burada bulabilirsiniz.
- Ortamlarında hangi verilerin bulunduğunu anlama – Bu ilginç bir tanesidir. Şirket içi ortamlarıyla ilgili olarak çoğu kişi, veri ayak izleri hakkında iyi bir fikre sahip olduklarına inanıyor. Ancak SaaS ve genel bulutlar söz konusu olduğunda gerçekten zorlanıyorlar. Veri merkezi konumları için güvendikleri veri güvenliği araçları, kurumsal sınırları dışındaki verileri keşfetmeye ve sınıflandırmaya yardımcı olma konusunda zayıf. Verilerin günümüz işyerlerinde bu kadar demokratikleştiği göz önüne alındığında, verilerin SaaS’a veya genel buluta taşınması durumunda önemli ölçüde açığa çıkacaklarını düşünüyorlar.
- Verilerinin hassasiyetini bilmek – Birçoğu, tüm verilerinin eşit olmadığını kabul ediyor ancak güvenlik operasyonları için hangi verilerin en kritik olduğunu belirlemenin kolay bir yolu yok. Şirket içi çözümleri, yalnızca düzenli ifadeler ve desen eşleştirme üzerine kurulu sınıflandırma motorlarını kullanır, bu da hatalı pozitiflere yol açar ve sınıflandırma için manuel müdahale gerektirir. Dosya veya nesne düzeyine kadar doğru bir şekilde sınıflandıramazlar. Bu, zorunlu ihlal açıklama kuralları çağında giderek daha önemli hale geliyor.
- Verilerin altyapı dağıtımı – Birçok büyük kuruluşun üç büyük genel bulut sağlayıcısının (AWS, Azure ve Google), SaaS’ta (öncelikle bir Microsoft mağazası) ve şirket içinde verileri vardır. Çoğunun, bu ortamlarda ne kadar veri bulunduğuna ve ortamlarında veri kopyalarının bulunup bulunmadığına ilişkin net bir görünürlüğü yoktur. Bu içgörüler, altyapıları etrafında stratejik kararlar alma yeteneğinin kilidini açacak ve potansiyel olarak belirli verileri kaldırmak veya daha ucuz altyapıya geçmek için ek veri hijyeni sunacak ve böylece saldırı yüzeyini ve veri depolama maliyetlerini azaltacaktır.
- Kimlik ve veri arasındaki ilişki – İnsanların, insan gruplarının ve insan olmayan kimliklerin (cihazların) iş verilerine erişim gerektirmesi şaşırtıcı değil. Birçok güvenlik lideri veri erişimi konusunda endişeli. Bu endişe, güvenli erişim, uç nokta güvenliği ve kimlik sağlayıcı alanı bağlamında sıfır güven hakkındaki tartışmayı, atıl durumdaki verilere kadar genişletmeye başlıyor. Sıfır Güven Veri Erişimi ufukta görünüyor.
- Gizlilik Verileri Olayına Müdahale – Veri anormalliklerini tespit etme (kullanıcıların PII verilerine rastgele erişmesi), PII uyumluluğunu sürdürme ve bir veri olayının etkisini en aza indirme yeteneği, güvenlik yöneticileri için en önemli ve açık zorluklardır. İhlal müdahalesinin ilgili düzenlemelerle uyumlu hale getirilmesi ihtiyacı bir zorunluluktur. Bir veri olayının parçası olarak hangi PII verilerinin etkilendiğini kolayca belirleme yeteneği de öyle. Change Healthcare olayı bu gerekliliğin kanıtıdır. Fidye yazılımı saldırısının hangi PII verisi kısmının bilinmemesi, şirketin PII verileri etkilenen müşterilere derhal bildirimde bulunmasını engelledi. Bu, tüm güvenlik liderleri için ufuk açıcı bir gelişmeydi.
Bu zorlukların üstesinden gelmek kapsamlı ve uyarlanabilir bir veri güvenliği stratejisi gerektirir. Bu strateji, görünüşte en bariz olanı ile başlamalıdır: tüm verilerinizin nerede olduğunu her zaman bilmeniz gerekir ve uygun kontrollerin uygulanabilmesi için temsil ettiği riski bilmeniz gerekir. Bu sağlam temel olmadan başka hiçbir şeyin önemi yoktur.
Bırakın Üretken Yapay Zeka çağını, siber güvenlik sektörünün de ilk günlerindeyiz. Veri yönetimi artık işletmeler, düzenleyiciler ve tüketiciler için büyük önem taşıyan bir konudur. Verileri koruma şeklimiz açısından pek çok şeyin değişmesi gerekiyor. Güvenlik liderleri, sürekli gelişen bir tehdit ortamında kuruluşlarının verilerini korumaya yönelik etkili çözümler geliştirmek için içgörülerini paylaşmaya ve işbirliği yapmaya devam etmelidir.
Reklam