Bu podcast’te Vigitrust CEO’su Mathieu Gorge ile 2024 yılının önümüzdeki yılına bakıyoruz.
Yaklaşan güncellemeler ve PCI, NIST, AB veri koruma düzenlemeleri gibi yasa ve düzenlemelerde yapılacak değişiklikler, Birleşik Krallık’ın ICO’su ile Avrupa arasındaki Brexit sonrası farklılıklar, DORA için artan küresel ilgi ve dünya çapında 60 büyük seçim hakkında konuşuyoruz.
Gorge ayrıca kurumsal veri koruması için bu tür değişken beklentilerin ne anlama geldiğini ve kurumsal verilerin denetlenmesi ve anlaşılmasının temel rolünü, bunların nerede tutulduğunu ve maruz kaldığı riskleri anlatıyor.
Antony Adshead: 2024’te yasa ve mevzuatta BT’yi etkileyecek önemli gelişmeler nelerdir?
Mathieu Boğazı: 2024’ün mevzuat açısından çok yoğun bir yıl olacağını düşünüyorum.
PCI 4.0 bu yıl yürürlüğe girecek. Üye devletlerdeki Avrupa veri koruma düzenlemelerinde, GDPR gerekliliklerinin ötesine geçen bir dizi güncelleme görüyoruz.
Daha da önemlisi, ICO’nun (Birleşik Krallık’taki Bilgi Komiserliği Ofisi) diğer Avrupa ülkelerinden çok farklı bir yöne doğru ilerlediğini gördüğümüzü düşünüyorum. Birleşik Krallık AB’den ayrıldı, dolayısıyla ICO artık AB veri koruma kuruluna rapor vermiyor.
Bu, isterlerse kendi yollarına gidebilecekleri anlamına geliyor ve buradaki endişelerden biri de Birleşik Krallık GDPR ile AB’nin geri kalanı arasındaki yeterliliğin, olması gerektiği gibi 2025’e kadar sürmeyeceğidir. Bu sadece Birleşik Krallık merkezli işletmeler için değil, Birleşik Krallık ile iş yapan ve veri alışverişi yapan herkes için akılda tutulması gereken bir husustur.
Akılda tutulması gereken bir diğer konu da, şu anda dünya çapında büyük ilgi gören ve yalnızca Avrupalı şirketleri değil küresel şirketleri de etkileyen DORA – Dijital Operasyonel Dayanıklılık Yasası -. Ve bunun yanı sıra, NIS2’nin ortaya çıkışı [the EU Network and Information Security Directive].
Buna ek olarak, işleri biraz daha baharatlı hale getirmek için, yaklaşık 60 büyük seçimimiz var, bunların arasında dünyanın en kalabalık yedi ülkesi de var, sanırım asıl olan ABD’dir.
Hükümetlerin her değiştiğinde veri korumaya yaklaşımlarının, bulut güvenliğine yaklaşımlarının, ne sıklıkta denetlenmeniz veya değerlendirilmeniz gerektiği, verileri ne kadar süreyle saklamanız gerektiği gibi konuların değişebileceğini ve çoğu zaman bazı değişikliklerin olabileceğini biliyoruz. Uygulama açısından dikkate değer değişiklikler – mutlaka düzenlemenin kendisi açısından değil, nasıl uygulandığı açısından.
2024’te nerede iş yaptığımız, verilerimizin nerede olduğunu, verileri nerede sakladığımız konusunda çok dikkatli olmamız ve bu değişikliklerin çevremiz üzerindeki potansiyel etkisini anlamaya çalışmamız gerektiğini düşünüyorum.
Önümüzdeki birkaç ay ilginç olacak. Sanırım sonuçları 2024’ün çok ötesine geçecek, ancak şimdi verileri nerede sakladığınızı, verileri nereye aktardığınızı ve bulut, depolama ve depolama konularında uyumlu olup olmadığınızı görmek için masa üstü bir alıştırma yapmanın zamanı geldi. veri koruması.
Reklam kafası: Bunlar önümüzdeki dönemde depolamayı, yedeklemeyi ve veri korumayı – özellikle – nasıl etkileyecek?
Geçit: Tekrar ediyorum, çevrenizi anlamanız gerektiğini düşünüyorum. Aldığınız, işlediğiniz, sakladığınız veya ilettiğiniz verinin türünü, nereden aldığınızı, nereye gönderdiğinizi, kullandığınız bulut sağlayıcıların türünü anlamanız gerekir.
Yeni bir müşteri aldığınızda ISO 27001 testinden geçtiniz mi, CMMC uyumlu musunuz diye sorduklarını giderek daha fazla fark edeceksiniz. [Cybersecurity Maturity Model Certification] ABD’de şuna bakıyor musunuz? [CSA Cloud Controls Matrix]yapay zekayla ve yapay zekanın veri toplama ve oluşturma şekliniz üzerindeki etkisiyle ilgili olabilecek herhangi bir şeyi dahil ediyor musunuz?
Dolayısıyla Ocak ayı, temel konulara geri dönmek, topladığınız, oluşturduğunuz, sakladığınız verilerden oluşan iş ortamınızın haritasını çıkarmak ve geçerli olan çeşitli düzenlemeleri ve standartları anlamak için her zaman iyi bir zamandır.
Genel olarak konuşursak, ISO tabanlı veya NIST tabanlı herhangi bir şey, bulut ortamlarınızı yönetmenize ve uygulamaya koymanız gereken uyumluluk çabalarını yönetmenize kesinlikle yardımcı olacaktır.
Bir sonraki şey doğru araçları kullanmaktır. Belki bir yönetim, risk uyumluluk aracı, bulut depolama yönetimi araçları, veri tanımlama araçları ve şifreleme araçları kullanabiliriz.
Araç sıkıntısı yok, ancak ortamınızı anlayana ve neyi korumanız gerektiğini, onu nasıl koruyacağınızı, neyi saklamanız gerektiğini ve neyi tutamayacağınızı anlayana kadar araçlara bakmanın bir anlamı yok.
Şimdi temel bilgilere geri dönmenin, ortamınızın haritasını çıkarmanın, bir veri sınıflandırma alıştırması yapmanın ve ardından verileriniz için geçerli olan depolama, güvenlik, bulut ve veri korumayla ilgili çeşitli uyumluluk gereksinimlerini haritalandırmaya çalışmanın tam zamanı.