GDPR ile uyumluluk için bilgi yönetişimi ve veri sınıflandırması ihtiyacı

Kodlama kuralları! PHP geliştirmeyi hızlandırmak için bunları takip edin

Mayıs 2018’den itibaren geçerli olan yeni Genel Veri Koruma Yönetmeliği’ne (GDPR) yaklaşırken, Avrupa’da yerleşik veya Avrupa’da ikamet eden kişilerin kişisel verilerine sahip şirketler, kuruluştaki en değerli varlıklarını bulmak için mücadele ediyor : gizli verileriniz.

Yeni düzenleme, kuruluşların herhangi bir kişisel tanımlayıcı bilgi (PII) verilerinin ihlalini önlemesini ve herhangi biri tarafından talep edilmesi halinde herhangi bir veriyi silmesini gerektirmektedir. Tüm PII verilerini sildikten sonra, şirketlerin bu kişi ve yetkililerin tamamen kaldırıldığını göstermesi gerekecektir.

Günümüzde çoğu şirket sorumluluk ve uygunluk gösterme yükümlülüklerini anladı ve bu nedenle yeni düzenlemeye hazırlanmaya başladı.

Gizli verilerinizi korumanın yolları hakkında o kadar çok bilgi var ki, kişi bunalabilir ve hedefi hassas bir şekilde vurmayı umarak farklı yönlere işaret etmeye başlayabilir. Verilerinizin yönetimini önceden planlıyorsanız, yine de son tarihe uyabilir ve cezalardan kaçınabilirsiniz.

Başta bankalar, sigorta şirketleri ve üreticiler olmak üzere bazı kuruluşlar, hızlandırılmış bir hızda veri ürettikleri, dosyaları değiştirdikleri, kaydettikleri ve paylaştıkları, dolayısıyla terabaytlar ve hatta petabaytlarca veri oluşturdukları için muazzam miktarda veriye sahiptir. Bu tür şirketler için zorluk, hassas verilerini milyonlarca dosyada, yapılandırılmış ve yapılandırılmamış verilerde bulmaktır ve bu, ne yazık ki çoğu durumda gerçekleştirilmesi imkansız bir görevdir.

Aşağıdaki kişisel olarak tanımlanabilir veriler, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından kullanılan tanıma göre PII olarak sınıflandırılır:

o Tam adı

o Ev adresi

o E-posta adresi

o Ulusal kimlik numarası

o Pasaport numarası

o IP adresi (bağlandığında, ancak ABD’de tek başına PII değil)

o Araç tescil plaka numarası

o Sürücü belgesi numarası

o Yüz, parmak izleri veya el yazısı

o Kredi kartı numaraları

o Dijital kimlik

o Doğum tarihi

o Doğum yeri

o Genetik bilgi

o Telefon numarası

o Oturum açma adı, ekran adı, takma ad veya tanımlayıcı

Avrupa vatandaşlarından PII’ye sahip olan çoğu kuruluşun, herhangi bir PII veri ihlalini tespit etmesi ve bunlara karşı koruma sağlaması ve PII’yi (genellikle unutulma hakkı olarak anılır) şirket verilerinden kaldırması gerekir. Avrupa Birliği Resmi Gazetesi: 27 Nisan 2016 tarihli Avrupa Parlamentosu ve Konseyi’nin 2016/679 Tüzüğü (AB) şunları beyan etmiştir:

“Denetim makamları, kişisel verilerinin işlenmesiyle ilgili olarak gerçek kişileri korumak ve ücretsiz veriyi kolaylaştırmak için, hükümlerin bu Tüzük uyarınca uygulanmasını izlemeli ve Birlik çapında tutarlı bir şekilde uygulanmasına katkıda bulunmalıdır. kişisel verilerin iç pazarda dolaşımı “.

Avrupa vatandaşlarından PII tutan şirketlerin Avrupa pazarında serbest bir PII akışını kolaylaştırmasına izin vermek için, verilerini tanımlayabilmeli ve organizasyon politikalarının hassasiyet düzeyine göre sınıflandırabilmelidirler.

Veri akışını ve piyasaların zorluklarını şu şekilde tanımlarlar:

“Hızlı teknolojik ilerlemeler ve küreselleşme, kişisel verilerin korunması için yeni zorluklar ortaya çıkardı. Kişisel verilerin toplanması ve paylaşılmasının ölçeği önemli ölçüde arttı. Teknoloji, hem özel şirketlerin hem de kamu otoritelerinin yararlanmasını sağlıyor. Kişisel verilerin faaliyetlerini yürütmek için benzeri görülmemiş bir ölçekte toplanması. Bireyler, kişisel bilgileri giderek daha fazla kamuya ve herkese açık hale getiriyor. Teknoloji hem ekonomiyi hem de sosyal hayatı dönüştürdü ve Kişisel verilerin yüksek düzeyde korunmasını sağlarken, Birlik içinde kişisel verilerin serbest akışını ve üçüncü ülkelere ve uluslararası kuruluşlara aktarılmasını daha da kolaylaştırmak. “

Aşama 1: veri keşfi

Bu nedenle atılması gereken ilk adım, PII verilerinizin kuruluşta nereye atıldığını anlamaya yardımcı olacak ve karar vericilerin belirli veri türlerini tespit etmelerine yardımcı olacak bir veri kökeninin oluşturulmasıdır. AB, büyük miktarda veriyi işleyebilen ve otomatik olarak tarayan otomatik bir teknoloji edinilmesini önermektedir. Ekibiniz ne kadar büyük olursa olsun, bu, çeşitli alanlarda (bulutta, yerel depolarda ve masaüstlerinde) gizlenmiş milyonlarca farklı dosya türüyle karşılaşıldığında manuel olarak ele alınabilecek bir proje değildir.

Bu tür kuruluşlar için temel endişe, veri ihlallerini önleyemezlerse, yeni AB GDPR yönetmeliğine uymayacakları ve ağır cezalarla karşılaşabilecekleridir.

Öncelikle teknoloji çözümleriyle ilgilenen bir Veri Koruma Görevlisi (DPO), bir Bilgi Yönetişimi Direktörü (CIGO), genellikle uyumdan sorumlu bir avukat gibi tüm süreçten sorumlu olacak belirli çalışanları belirtmeleri gerekir ve / veya bir Uyum Riski Yetkilisi (CRO). Bu kişinin tüm süreci bir uçtan diğerine kontrol edebilmesi ve yönetim ve yetkililere tam şeffaflık sağlayabilmesi gerekir.

“Kontrolör, kişisel verilerin niteliğine, önerilen işleme operasyonunun veya operasyonlarının amacına ve süresine ve ayrıca menşe ülkedeki, üçüncü ülkedeki ve nihai varış ülkesindeki duruma özel dikkat göstermelidir. ve gerçek kişilerin kişisel verilerinin işlenmesine ilişkin temel hak ve özgürlüklerini korumak için yeterli güvenceler sağlamalıdır. “

PII verileri yalnızca PDF ve metin belgelerinde değil, aynı zamanda görüntü belgelerinde de bulunabilir, örneğin taranmış bir çek, IP’yi içerebilen bir CAD / CAM dosyası bir ürün, taslak, kod veya gizli ikili dosya vb. ». Günümüzde yaygın teknolojiler, dosyalardan veri ayıklayabilir, bu da metinde gizli verilerin bulunmasını kolaylaştırabilir, ancak üretim gibi bazı kuruluşlarda en hassas verilere sahip olabilecek diğer dosyalar görüntü dosyalarında. Bu tür dosyalar doğru bir şekilde tespit edilemez ve metin dışındaki dosya biçimlerindeki PII verilerini tespit edebilen uygun teknoloji olmadan, bu önemli bilgiler kolayca kaybolabilir ve kuruluşunuza önemli ölçüde zarar verebilir.

Aşama 2 – Verilerin sınıflandırılması

Bu aşama, otomatik bir sistem tarafından oluşturulan perde arkası veri madenciliği eylemlerinden oluşur. DPO / kontrolör veya bilgi güvenliği karar vericisi, belirli verileri izleme, engelleme veya bir veri ihlali uyarıları gönderme konusunda karar vermelidir. Bu eylemleri gerçekleştirmek için verilerinizi ayrı kategorilerde görüntülemeniz gerekir.

Yapılandırılmış ve yapılandırılmamış veri sınıflandırması, ölçeklenebilirliği korurken eksiksiz veri tanımlamasını gerektirir – tüm veritabanını “okyanusu kaynatmadan” etkin bir şekilde tarar.

DPO ayrıca, verilerin birden fazla kaynaktan görünürlüğünü korumalı ve belirli bir kişiyle ilgili tüm dosyaları, örneğin ad, doğum tarihi, kredi kartı numarası, sosyal güvenlik numarası, telefon gibi belirli varlıklara göre hızlı bir şekilde sunmalıdır. , e-posta adresi vb.

Bir veri ihlali durumunda RPD, doğrudan kontrolörün veya işlemcinin en üst yönetim kademesine veya bu ihlali ilgili makamlara bildirmekten sorumlu olan bilgi güvenliği görevlisine rapor verecektir.

AB GDPR’nin 33. Maddesi, bu ihlalin 72 saat içinde yetkililere bildirilmesini gerektirmektedir.

DPO verileri tanımladıktan sonra, bir sonraki adım dosyaları kuruluş tarafından tanımlanan hassasiyet seviyesine göre etiketlemek / etiketlemek olmalıdır.

Uyumluluk uyumluluğunun bir parçası olarak, kuruluşun dosyalarının doğru bir şekilde etiketlenmesi gerekir, böylece bu dosyalar şirket içinde ve hatta kuruluşun dışında paylaşıldığında izlenebilir.

3. Aşama – Bilgi

Veriler etiketlendikten sonra, kişisel bilgileri hem yapılandırılmış hem de yapılandırılmamış ağlar ve sistemler arasında eşleştirebilir ve kolayca izlenebilir, kuruluşların hassas verilerini korumasına ve son kullanıcılarının aşağıdaki dosyaları kullanmasına ve paylaşmasına izin verir. güvenli yol, böylece veri kaybını artırır. önleme.

Dikkate alınması gereken bir başka husus, gizli bilgilerin içeriden gelen tehditlerden korunmasıdır: kredi kartları, iletişim listeleri vb. Gibi gizli verileri çalmaya çalışan çalışanlar. veya bir miktar fayda elde etmek için verileri manipüle edin. Bu tür eylemlerin otomatik izleme olmadan zamanında tespit edilmesi zordur.

Bu zaman alıcı görevler, çoğu kuruluş için geçerlidir ve onları, kararlarını bilgilendirebilmeleri için iş verilerinden içgörüler elde etmenin verimli yollarını aramaya teşvik eder.

İçsel veri modellerini analiz etme yeteneği, kuruluşun iş verilerini daha iyi görmesine ve belirli tehditleri tespit etmesine yardımcı olur.

Bir şifreleme teknolojisinin entegrasyonu, denetleyicinin verileri etkin bir şekilde izlemesini ve izlemesini sağlar ve dahili bir fiziksel ayırma sistemi uygulayarak, kişisel verilerin, coğrafi uzayların / çapraz alanların ayrıştırma tanımları aracılığıyla bir coğrafi veri çiti oluşturabilir ve kural ihlal edildiğinde paylaşımın ihlal edildiğini bildirir. Bu teknoloji kombinasyonu ile kontrolör, çalışanların aşırı kilitlenmeden organizasyon genelinde, doğru departmanlar arasında ve organizasyonun dışında güvenli bir şekilde mesajlar göndermesini sağlayabilir.

4. Aşama – Yapay Zeka (AI)

Veriler tarandıktan, etiketlendikten ve izlendikten sonra, kuruluş için daha yüksek bir değer, hassas verilerin atipik davranışını otomatik olarak algılama ve bu olayların bir veri ihlali olayı haline gelmesini önlemek için koruyucu önlemleri etkinleştirme becerisidir. Bu ileri teknoloji “Yapay Zeka” (AI) olarak bilinir. Burada, AI işlevi genellikle güçlü bir örüntü tanıma bileşeninden ve makinenin bu kararları almasına veya en azından veri koruma görevlisine tercih edilen eylem planını önermesine izin veren bir öğrenme mekanizmasından oluşur. Bu zeka, her tarama ve kullanıcı girişi veya veri haritalama değişikliğinde daha akıllı olma yeteneğinizle ölçülür. Son olarak, AI işlevi kuruluşların veri koruma, uyumluluk ve veri yönetimi etrafındaki ham veriler ile iş akışları arasında temel katman haline gelen dijital ayak izini oluşturur.



KaynakYaniv Avidan

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir