Devlet kurumları yeni gizlilik kuralları oluşturmaya devam ederken, son kullanıcılar yanlış uygulamalara ve dolandırıcılıklara kurban gidiyor.
Archive360 Uyumluluk ve e-Keşiften Sorumlu Başkan Yardımcısı Bill Tolson, uzun yıllarını düzenleyici kurumlara danışarak ve işletmelere veri gizliliğini artırmaya yönelik somut adımlar konusunda tavsiyelerde bulunarak geçirdi. Bu Help Net Security röportajında, kuruluşların gizliliğin tasarım sürecine dahil edilmesini nasıl sağlamaları gerektiğini, daha iyi gizlilik için siber güvenlik yatırımlarını ve çok daha fazlasını tartışıyor.
Şirketler, gizliliğin tasarım sürecine uygun şekilde dahil edildiğinden emin olmak için hangi pratik adımları izlemelidir? Bunun uzun vadede ne gibi faydaları olacak?
Önceliklerde süregelen değişimi anlayalım. Geleneksel olarak, belirli yetkilere uymak için belirli kayıtları korumak için süreçler oluşturan kuruluşlar gördük. Bunların kapsamı genellikle sınırlıdır ve şirket içi tüm verilerin/kayıtların belki de %5’ini etkiler. Artık her şey, çalışanların kişisel cihazlarında tuttukları ve/veya kontrol ettikleri bilgiler de dahil olmak üzere tüm kurumsal verilerle ilgili. Ayrıca, kuruluşların farklı eyalet, federal ve yabancı veri gizliliği yasalarına dayalı olarak tüm PII’yi yakalaması, dizine eklemesi, güvenliğini sağlaması ve imha etmesi gerekir.
Veri gizliliği teknolojileri, politikaları ve süreçleri erken devreye alınmadan bunların hiçbiri gerçekleşmeyecek. CISA’dan Jen Easterly’nin belirttiği gibi, tasarım gereği güvenlik ile varsayılan güvenlik arasında ayrım yapmamız gerekiyor.
Bunun popüler teknolojilerle nasıl sonuçlandığını düşünün. Örneğin, Archive360’taki deneyimlerimiz, birçok kuruluşun şirket içi dosya paylaşımlarını Microsoft SharePoint Online aracılığıyla buluta aktardığını gösteriyor. Bu, iki avantaj sağlar: Tamamen buluta geçiş sağlar ve gelişmiş erişim ve veri güvenliği sunar. Bu, kuruluşun SharePoint Online platformunda çalışan bilgisayarlardaki belirli klasörlerin SharePoint dosya paylaşımına kadar otomatik olarak eşitlenmesine izin veren bir dosya paylaşımı oluşturarak etkinleştirilir. Doğru süreçleri başlangıca yerleştirir: İlkeler, yalnızca çalışan verilerinin düzenli olarak SharePoint Online ile eşitlenen çalışanın cihazındaki belirli klasörlerde depolanmasına izin verecek şekilde ayarlanır. Bu veriler, devam eden yönetim için ayarlanmış tutma/elden çıkarma politikalarına sahip olabilir; tüm yeni dosyalar, kimlik bilgileri içeriği için taranabilir ve rol tabanlı erişim kontrolleri uygulansa bile tüm kimlik bilgileri otomatik olarak şifrelenebilir.
Bu bir örnek. Her durumda, teknolojiler ve süreçler, yakalama, tarama, saklama, arama ve almayı basitleştirmek için erken yerleşik süreçlerle tüm verileri kapsayacak şekilde tasarlanmalıdır.
Küresel veri koruma düzenlemeleri, kuruluşları PII’yi nasıl ele aldıklarına daha fazla dikkat etmeye zorlarken, hala büyük ihlaller görüyoruz ve her gün milyonlarca kişi mahremiyetini kaybediyor. Bireyler, bilgilerinin nasıl kullanıldığını kontrol edebilecek mi? Yapabilecekleri bir şey var mı?
Hâlâ idealden uzakta olsak da, veri gizliliğinin bir insan hakkı olarak kutsandığını görmek güzel. Avrupa’daki atası GDPR’den devlet düzeyindeki zorunlulukların (belki) ulusal bir standarda patlamasına kadar, bireylerin hakları ön plandadır.
Bununla birlikte, insan doğasının yasaları, her zaman kötü aktörlerden kötü eylemler alacağımızı dikte eder. Artık farklı olan şey, bireylerin, hangi kuruluşların zayıf PII güvenliği ve ihlalleri geçmişine sahip olduğu ve işlerini başka bir yere götürmeyi seçtiği hakkında daha kolay bilgi edinebilmesidir. Aksi takdirde, şirketleri yenilikçi teknolojilere ve en iyi uygulamalara yatırım yapmaya zorlayan kuralcı veri gizliliği yasaları ve agresif yaptırımlar, gizlilik ihlallerine karşı en iyi çözüm olmaya devam edecektir.
Bu değişim, veri gizliliği haklarının giderek daha fazla bilincine varan bireyler tarafından yönlendirilmektedir. Kamuya açık tartışmaların ülke çapında yeni yasalara yol açması gibi, satıcılar da bireyler hakkında veri toplama ve kullanma biçimlerini değiştiriyor; web sitelerinde çerezlerin bildirimi ve toplanması, daha sağlam gizlilik ayarları vb.
Bilgi güçlü bir silahtır ve yeni veri gizliliği zorunlulukları tüketici cephaneliğine eklenir. Bunlar, uygun güvenlik protokollerini uygulamayan kuruluşlara karşı dava açabilecekleri özel dava açma hakkını; ve bir işletmeden o şirketin kendileri hakkında hangi verilere sahip olduğu ve bunların nasıl kullanıldığı hakkında bilgi isteyebilecekleri veri konusu erişim talebi. Bu önlemler hız kazandıkça ve daha fazla yasal işlem başlattıkça, daha az ihlal ve ihlal göreceğimizi umuyoruz.
Para cezaları yeterince önemli mi? Bazı şirketler için yüz milyonlarca dolarlık ceza ödemek, kullanıcılarının verilerini yanlış yöneterek kazandıklarıyla karşılaştırıldığında hala çok az kalıyor.
GDPR yaptırımlarının (küresel gelirin %4’üne kadar veya 20 milyon avroya kadar) kötü tanıtımın gelgit dalgalarıyla birlikte en büyük kuruluşların bile dikkatini çektiğine dair genel bir fikir birliği var. Bununla birlikte, birçok yeni eyalet yasası olası para cezalarını hafife alıyor ve bunlar gerçek bir değişim sağlamak için yeterli cezayı sağlamıyor.
İhlal tartışmasız farklıdır: Tüketici verileri tehlikeye atılırken, bireysel davalar, marka zararı, hissedar özkaynaklarında kayıp ve işlerde düşüş dahil olmak üzere kuruluşlar da büyük darbe alır.
Diyelim ki bir kuruluş hassas verileri güvenli bir şekilde işlemek istiyor. Ne tür bir siber güvenlik yatırımı peşindeler? Donanım, yazılım, güvenlik farkındalığı vb.
Hiçbir tek yaklaşım tüm tehlikeleri ortadan kaldıramaz; teknolojiler, politikalar ve uygulamaların güçlü bir kombinasyonunu ve yönetim kurulu desteğini gerektirir. Basit bir kimlik avı e-postası en karmaşık savunmaları aşabileceğinden, çalışanların genellikle veri güvenliği zincirindeki en zayıf halkayı temsil ettiğini unutmayın. Güçlü koruma, uygulamalı eğitim ve uygulama ile başlar.
Yönetim ayrıca her stratejinin sağlam bir temel üzerine inşa edilmesini sağlamaya yardımcı olabilir. Birçok kuruluş artık büyük dijital dönüşüm ve buluta geçiş girişimleriyle meşgul. Ancak, bazılarının hala temel soruları yanıtlamak için yardıma ihtiyacı var: Evdeki her veri parçasının nerede olduğunu biliyor muyuz? Ne kadarının PII içerdiğini ve bunlara kimin erişimi olduğunu biliyor muyuz? Veriler bulutta nasıl yönetilir? Ne tür bir şifreleme uygulandı? Şifreleme anahtarları nerede saklanıyor ve bunlara kimin erişimi var?
Yetkilendirmeyle birlikte sıfır güven mimarisini uygulamak, hassas verilere erişimi sınırlamada uzun bir yol kat edebilir. Belirli durumlarda, ağ güvenliği, ölçeklenebilirlik, depolama hesapları, erişim kontrolleri ve daha fazlasının sağlanmasına yardımcı olan yalıtılmış bir ortamda belirli işlevler için yazılım dağıtmak da mümkündür. Bu şekilde, paylaşılan ağ kaynakları yoktur ve gelişmiş güvenlik, şirkete özel bir dağıtım sağlamak için daha fazla esneklikle eşleştirilir; özel ihtiyaçları karşılamak için özel bir bulut kiracısı ve özel yazılım.
Bazıları, bugün uyguladığımız düzenlemelerin çok sert olduğunu veya şirketlerin verilerle çalışması için daha fazla serbestlik sağlaması gerektiğini savunuyor. Bir dizi gerçekçi veri gizliliği yeteneğini ne tanımlar?
Bu öncül kabul edilemez: Mevcut veri gizliliği yasaları yeterince kuralcı değil ve birçok şirketin onları ciddiye almasına yetecek kadar büyük bir olumsuzluk taşımıyor. Veri gizliliği haklarını ihlal etmeden verilerle çalışamayacağımız fikri gülünç, hatta saldırgan.
Daha fazla yaptırıma, bireysel veri konusu dava olasılığına ve daha büyük cezalara ihtiyacımız var. İşini doğru yapan şirketlerin endişelenecek bir şeyleri yok; katı yaptırımlar diğerlerini ikna edebilir.