Kuruluşların ihlal riskini, yeni teknolojiyi ve sınırlı kaynakları yönetmesi nedeniyle gizlilik programları baskı altındadır. ISACA tarafından yapılan küresel bir araştırma, yapay zekanın gizlilik çalışmalarında zemin kazandığını, kullanımın yönetim, finansman ve gizliliğin sistemlere ne kadar tutarlı bir şekilde yerleştirildiğine göre şekillendiğini gösteriyor.
Gizlilik programlarına ilişkin yönetim kurulu görüşü (Kaynak: ISACA)
Yapay zeka kullanımı aciliyeti değil olgunluğu takip eder
Şu anda yalnızca az sayıda kuruluş veri keşfi, risk değerlendirmesi ve izleme gibi gizlilik görevleri için yapay zekayı kullanıyor. Pek çok kişi, genellikle otomasyon ve risk yönetimi konusundaki daha geniş çabaların bir parçası olarak gelecek yıl bunu keşfetmeyi planlıyor. Çalışma, yapay zekanın benimsenmesinin, gizlilik programlarının zaten liderlik desteğine, tanımlanmış rollere ve yerleşik süreçlere sahip olduğu kuruluşlarda ortaya çıkma eğiliminde olduğunu öne sürüyor.
Yönetim kurullarının gizliliğe öncelik verdiği yerlerde yapay zeka kullanımı daha sık ortaya çıkıyor ve belirlenen yönü takip ediyor. Daha büyük şirketler, özellikle de daha geniş risk ve uyumluluk işlevlerine sahip olanlar, daha yüksek alım bildiriyor. Daha küçük kuruluşlarda veya gizliliğin liderlik düzeyinde sınırlı görünürlüğe sahip olduğu kuruluşlarda yapay zekanın benimsenmesi henüz deneme aşamasındadır.
Sistem geliştirme boyunca gizlilik ilkelerini uygulayan ekipler, gizlilik görevleri için yapay zekanın daha fazla kullanıldığını bildiriyor. Bu ortamlarda yapay zeka, yeni yaklaşımlar sunmak yerine devam eden çalışmaları desteklemektedir. Bulgular, yapay zekanın, benimsenmenin otomatikleştirme baskısından ziyade program olgunluğuna göre şekillendiği, mevcut disiplin üzerine inşa edilen bir araç olduğuna işaret ediyor.
Tasarım gereği gizlilik dengesiz kalıyor
Gizlilik ve güvenlik ekipleri, tasarım gereği gizliliğin en azından bazı zamanlarda geliştirme süreçlerinin bir parçası olduğunu söylüyor. Tutarlı kullanım daha az yaygındır. Daha az sayıda ekip, tüm projelerde tasarım gereği gizliliğin uygulandığını bildiriyor ve bu pay, önceki anketlerle karşılaştırıldığında azaldı. Bulgular, kuruluşlar ve geliştirme ekipleri arasında eşit olmayan bir şekilde benimsendiğine işaret ediyor.
Mahremiyetin aktif yönetim kurulu desteğine sahip olduğu kuruluşlarda çalışan katılımcılar, tasarımı gereği mahremiyetin daha tutarlı kullanıldığını bildiriyor. Bütçe istikrarı da benzer bir model gösteriyor; daha iyi finanse edilen ekipler, mahremiyetin tasarım ve mühendislik çalışmalarına daha güçlü bir şekilde entegre edildiğini bildiriyor.
Çalışma aynı zamanda gizliliğin tasarım gereği tek başına ihlalleri durdurmadığını da gösteriyor. İhlallerle karşılaşan kuruluşlar, yaşamayanlarla benzer düzeyde tasarım uygulaması bildiriyor. Veriler, tasarım gereği mahremiyeti esas olarak bir yönetişim ve uyumluluk rolüne yerleştirir ve olayların önlenmesiyle sınırlı bir bağlantıya sahiptir.
İhlaller manzaranın bir parçası olmaya devam ediyor
Gizlilik ihlalleri sektörler ve bölgeler genelinde devam ediyor. Pek çok gizlilik ve güvenlik ekibi geçtiğimiz yıl bir ihlalle karşı karşıya kaldıklarını bildirdi ve gelecekteki olaylara ilişkin beklentiler belirsizliğini koruyor. Bazı kuruluşlar maruz kalmanın devam etmesini beklerken, diğerleri sektörler arasındaki eşit olmayan risk koşullarını yansıtan çok az değişiklik bekliyor.
Yönetişim, ekiplerin bu riski nasıl gördüğünü şekillendirir. Mahremiyetin yönetim kurulu önceliğinden yoksun olduğu kuruluşlardaki profesyoneller, önümüzdeki yıl bir ihlale ilişkin beklentilerin daha yüksek olduğunu bildiriyor. Gizlilik stratejisi ile daha geniş iş hedefleri arasındaki boşluklar, daha yüksek ihlal beklentilerinin yanı sıra ortaya çıkıyor; bu da yapısal uyumun teknik kontroller kadar görünümü de etkilediğini gösteriyor.
Güven, ihlallerle karşılaşan kuruluşlar arasında bile yaygın olmaya devam ediyor. Anket katılımcıları, bir olayla ilgilendikten sonra hassas verileri koruma becerilerine güvendiklerini belirtiyorlar. Bulgular, bu güvenin çoğunlukla resmi kontrolleri ve belgelenmiş politikaları yansıttığını ve bu kontrollerin sürekli baskı altında test edildiğine dair sınırlı kanıt bulunduğunu göstermektedir.
Eğitim boşlukları riske katkıda bulunuyor
Eğitim, gizlilik programlarında ortak bir zayıflık olarak ortaya çıkıyor. Anket katılımcıları sıklıkla yetersiz veya güncel olmayan eğitimin mahremiyet sorununun kaynağı olduğunu belirtiyor. Güncellemeler ve ölçümler farklılık gösterse de kuruluşlar gizlilik farkındalığı eğitimi sunmaktadır.
Gizlilik hedeflerini daha geniş iş hedefleriyle uyumlu hale getiren kuruluşlar, eğitimin etkinliğini daha yakından takip etme eğilimindedir. Bu ekipler, personelin gizlilik yükümlülüklerini ve olay raporlama gerekliliklerini anlayıp anlamadığını değerlendirmek için birden fazla gösterge kullanır.
Uyumlamanın zayıf olduğu yerlerde eğitim gözetimi azalır. Çalışma, bu boşluğu gizlilik personeli arasındaki daha yüksek stres seviyelerine ve artan operasyonel riske bağlamaktadır.
Gizlilik ekiplerine yönelik baskı devam ediyor
Katılımcılar, hızla değişen teknoloji, uyumluluk talepleri ve personel kısıtlamalarına bağlı olarak artan stresi bildiriyor. Yakın zamanda ihlallerle karşılaşan ekipler, vasıflı gizlilik uzmanlarını elde tutmakta daha fazla zorluk yaşadıklarını ve bunun da operasyonel baskıyı artırdığını bildiriyor.
Araştırma, yapay zeka kullanan kuruluşların hâlâ bütçe ve personel ile ilgili stres rapor ettiğini gösteriyor. Yapay zeka, güçlü liderlik desteğine ve istikrarlı süreçlere sahip programlara dahil edildiğinde daha iyi sonuçlar verir.
ISACA gizlilik araştırma analisti Safia Kazi, “Gizlilik profesyonellerinin giderek daha karmaşık hale gelen veri gizliliği tehdidi ortamında ve düzenleyici ortamda karşılaştığı acil zorluklar, kuruluşların hayati çalışmalarında gizlilik ekiplerini desteklemek için gerekli kaynakları ayırmalarının ne kadar kritik olduğunu gösteriyor” diyor.