Veri ihlallerinin Birleşik Krallık’taki birçok insanı nasıl etkilediğine ilişkin bilgileri görün https://www.how-to-sue.co.uk/how-to-sue-for-gdpr-data-breach
Dijital çağa geçiş kaçınılmazdır. Karar vermeden günlük operasyonlara veya geride bırakılma riskine kadar, yenilikçi teknolojileri işin tüm yönlerine yerleştirmek gerekir. Ancak bir kuruluş, teknoloji yatırımlarından değer elde etme kabiliyetini düşürmeden kendisini siber saldırılardan nasıl koruyabilir? Bunu söylemek yapmaktan daha kolay. Sistemleri ve operasyonları modernize etme telaşı, işletme genelinde güvenlik açıkları oluşturabilir ve bu nedenle onu birçok riske maruz bırakabilir. Siber güvenliğin korunması bir zorluk haline geliyor. Bu zorluğa yaklaşmak için kapsamlı bir yaklaşım esastır.
CIO’lar, değer yaratmak ve sürdürmek için siber girişimleri kullanmalıdır. Her şeyden önce, yatırım için veri odaklı bir yaklaşım benimsemek çok önemlidir. Herkese uyan tek bir çözüm yok. Kuruluş, rakiplerin ne yaptığından bağımsız olarak fırsatları güvenlik ihtiyaçları açısından değerlendirmelidir. Fidye yazılımı saldırıları, kritik kuruluşlar arasında yaygındır. Fidye yazılımı saldırısı, korunan bilgilerin güvenliğini ve gizliliğini tehlikeye attığı için kayda değer bir veri ihlali olarak kabul edilir. Önlenebilir bir hack, bir organizasyonu şaşırtabilir ve tüm müşterilerini etkileyebilir.
GDPR Siber Güvenlik için Ne İfade Eder?
Genel Veri Koruma Yönetmeliği (GDPR), açık farkla dünyanın en güçlü veri koruma kuralları dizisidir. Kamu ve özel kuruluşların Avrupa Birliği Üye Devletleri içinde gerçekleşen işlemlerde kişilerin kişisel verilerini ve mahremiyetini korumasını zorunlu kılmaktadır. Kişisel verilerin güvenli bir şekilde işlenmesini sağlamak için teknik ve organizasyonel önlemler uygulanmalıdır. GDPR, hangi inisiyatiflerin alınması gerektiğini belirtmez, bunun yerine kuruluşun uygun eylemi yapmasını bekler. Başka bir deyişle, riski yönetmek çok önemlidir.
Ulusal Siber Güvenlik Merkezi (NCSC) ve Bilgi Komisyonu Ofisi (ICO), aşağıdaki amaçlar doğrultusunda geliştirilen bir dizi GDPR Güvenlik Sonuçları geliştirmiştir:
- Güvenlik riskini yönetin
- Kişisel verileri bir siber saldırıya karşı koruyun
- Güvenlik olaylarını algıla
- Etkiyi en aza indirin
Kuruluşlar, süreci ve kişisel verilerin işlenmesiyle ilişkili güvenlik risklerini dikkatle değerlendirmelidir. GDPR, bireyin zarar görmesi durumunda bir kuruluştan tazminat talep etme hakkı verir. Veri ihlalleri İngiltere’deki birçok insanı etkiliyorbu nedenle son birkaç yılda davalarda birkaç önemli gelişme oldu.
Kuruluşunuz Veri İhlalini Önlemek İçin Önlemler Almalıdır
Siber güvenlik olayları haber olduğunda, bunun nedeni genellikle British Airways, Meta (Facebook) veya Vodafone gibi çok uluslu büyük bir şirkette yaşanmasıdır. Bu, sahte bir güvenlik duygusundan başka bir şey sağlamaz. Gerçekte, küçük işletmeler büyük şirketler kadar veri ihlallerinin hedefidir. Veri ihlalleri çeşitli işletmelerde ve sektörlerde meydana gelebilir. Büyük şirketler kapılarını kapatmak zorunda değiller. Buna karşılık, küçük ve orta ölçekli işletmeler ciddi sonuçlara maruz kalmaktadır. Örnekler, kurumsal markayla ilgili olumsuz arama sonuçlarını, beklenmedik harcamaları ve yeni çalışanlar için daha az çekici hale gelmeyi içerir ancak bunlarla sınırlı değildir.
Kuruluşunuzu korumanın en iyi yolu, ilk etapta mağdur olmaktan kaçınmaktır. Peki, bunu nasıl yaparsın?
Bulutunuzu ve Verilerinizi Koruyun
Ne yazık ki, buluttaki veriler siber saldırılara karşı daha savunmasızdır kuruluşların sunucularında olduğundan daha fazla. Dosyalarınızı hem bulutta hem de bilgisayarlarınızda şifreleyen bir bulut hizmetine geçiş. Kötü niyetli aktörler, verileri çalmak veya bilgi işlem sistemlerine zarar vermek için yetkisiz erişim elde edemez. Daha da iyisi, bir bulut erişim güvenlik aracısı (CSAB) dağıtmayı düşünmelisiniz. Kuruluşlar, bulut hizmeti güvenlik risklerini ele almak ve düzenlemelere uymak için giderek daha fazla CSAB satıcılarına yöneliyor. İş gücü daha mobil hale geldikçe, çalışanların buluta erişimini izlemek ve sınıflandırmak çok önemli hale geldi.
Siber güvenlik tehditlerine karşı korunmak için iki faktörlü kimlik doğrulama, güvenlik duvarları ve kötü amaçlı yazılımdan koruma çözümleri gibi önlemlere başvurun. Ekleyebileceğiniz daha fazla güvenlik katmanı, verileriniz daha güvenli olacaktır. Bundan bahsetmişken, verilerin nerede olduğunu ve gittiğini bilmelisiniz. Veri yaşam döngüsünü ve buna bağlı güvenlik risklerini belirleme konusunda kesin olun. Oluşturulmasından ilk depolamaya kadar, bir bilgi sisteminin verilerinin yaşam döngüsü boyunca akışını yönetmeniz gerekir. Bu açıdan hassas verileri taramak için yenilikçi araçlar kullanabilirsiniz. Yetkisiz konumlarda bulunuyorsa bilgileri silin veya şifreleyin.
Çalışanları Veri Güvenliği İçin En İyi Uygulamalar Konusunda Eğitin
Veri ihlallerinin %90’ından fazlası insan hatasının sonucudur. Tek yapmanız gereken, tüm sisteminize erişmek için bir hatadır. Çalışanların veri güvenliği en iyi uygulamaları hakkında bilgi sahibi olmasını sağlayın. Siber güvenlik konusunda personel eğitimi söz konusu olduğunda birkaç çevrimiçi kurs vardır ve bunların hepsinin ödenmesi gerekmez. Kursu tamamladıktan sonra çalışanların veri güvenliği ile ilgili her şeyi unutması riski vardır. Bu nedenle, güvenlik bilincini akıllarında tutmak için düzenli eğitim oturumları gerçekleştirmelisiniz.
Bir Veri İhlali Olduğunda Ne Yapacağınızı Öğrenin
Bir noktada, organizasyondaki biri bir hata yapacaktır. En iyi önleme tekniklerinize rağmen, kuruluş bir veri ihlali yaşayacaktır. Şimdi soru şu: Bir veri ihlaline nasıl yanıt verirsiniz? Her şeyden önce, olayı rapor etmelisiniz. Bir rapor derleyin ve olayın keşfedilmesinden itibaren 72 saat içinde ilgili denetim makamına gönderin. Etkilenen müşterilere ulaşın ve olanlardan haberdar olmalarını sağlayın. İletişim, siber güvenlik olayının ayrıntılarını, olası etkiyi, nasıl yanıt verdiğinizi ve talihsiz olayın etkisini en aza indirmek için hangi eylemlerin başlatıldığını içermelidir.
Veri ihlali kontrol altına alındıktan sonra çabalarınızı sürekli olarak denetlemeli ve yeniden değerlendirmelisiniz. Sizi olası tüm siber tehditlere karşı koruyacak, uygulayabileceğiniz hiçbir strateji yoktur. Mevcut ve olası tehditlere son vermek için güvenlik politikalarınızı gözden geçirin, verileri düzenli olarak yedekleyin, yazılımı güncelleyin ve yamalayın ve keşfedilen tüm zayıflıkları ortadan kaldırın. En kötüsüne hazırlanmak gerekiyor. Bir siber güvenlik olayının ardından insanların hak ve özgürlükleri risk altındadır.