حاکمیت داده | امنیت حرفه ای

با رخنه‌های روزانه به بزرگ‌ترین برندها، از جمله شرکت‌های فناوری، C-suits هر سازمانی باید متوجه شود که امنیت سایبری نه تنها در مورد فناوری اطلاعات، بلکه در مورد حاکمیت داده‌ها نیز هست. و مسئولیت حاکمیت داده به شدت – و به شدت – بر دوش مدیریت است.

با افزایش گنجاندن و اعمال قوانین تنبیهی برای نقض داده ها، برای c-suite ضروری است که مالکیت مسائل کلیدی حفاظت از داده ها، مانند حق حاکمیت داده ها را در اختیار بگیرد. آیا هیئت مدیره الزامات فعلی برای انتقال داده بین اتحادیه اروپا و ایالات متحده را درک می کند – یا اینکه در معرض جریمه ای مانند جریمه بی سابقه 1.2 میلیاردی متا است، نه به دلیل نقض شبکه بلکه به دلیل نقض قوانین حفاظت از داده اتحادیه اروپا. ? با توجه به نگرانی فزاینده ارائه دهندگان خدمات مدیریت شده (MSP) در مورد مسئولیت داده های خود با توجه به افزایش نقض قوانین و مقررات تنبیهی، آیا C-suite از مذاکرات پیچیده، زمان بر و پرهزینه قراردادی اکنون مورد نیاز است؟

سیمون پامپلین، مدیر ارشد فناوری در شرکت نرم افزار حفاظت از داده ها شبکه های Certes، نشان می دهد کسانی که هنوز رویکرد فناوری اول را برای امنیت سایبری دارند اساساً اهداف مقررات جهانی حفاظت از داده ها را درک نمی کنند – و افراد و مشاغل را در معرض دید قرار می دهند.

مالکیت

با افزایش مقررات جهانی حفاظت از داده ها، مفهوم حاکمیت داده به دغدغه اصلی هر کسب و کاری تبدیل شده است. اساساً، داده ها تابع قوانین و مقررات کشوری است که در آن ذخیره یا پردازش می شود. با این حال، با آخرین مقررات حفاظت از داده ها از پادشاهی عربستان سعودی، این کشور مفهوم حاکمیت داده را گسترش داده است تا استفاده از داده های مربوط به شهروندان و مشاغل سعودی در هر نقطه از جهان را نیز در بر گیرد. و مجازات تخلف از این آیین نامه شامل مجازات حبس است.

شرکت‌ها به‌طور بالقوه نیاز به پیروی از مجموعه‌ای از قوانین حفاظت از داده‌های محلی هنگام مدیریت، ذخیره و انتقال داده‌ها در سراسر مرزها دارند – چیزی که با ذخیره داده‌های بیشتری در ابر و پردازش در بیش از یک کشور، چالش‌برانگیزتر شده است. برای شرکت هایی که از ارائه دهندگان خدمات مدیریت شده (MSP) برای ارائه بخشی یا تمام زیرساخت ها استفاده می کنند، بار مسئولیت می تواند گیج کننده باشد.

آیا کنترل کننده داده (مالک داده) یا پردازشگر داده (مالک زیرساخت) در مواجهه با نقض داده ها مسئول است؟ در واقع، مسئولیت در صورت نقض به عهده هر کسی است که بر حفاظت از آن داده ها کنترل داشته باشد. این می‌تواند مالک داده باشد، اما همچنین می‌تواند ارائه‌دهنده خدمات باشد اگر «پیوندهای ایمن» را که داده‌ها از طریق آن منتقل می‌شوند، ارائه دهند.

گیجی

با این حال این موضوع مسئولیت و مالکیت داده همچنان باعث سردرگمی و هزینه های قابل توجهی برای MSP ها و مشاغل می شود. تحقیقات اخیر از Certes Networks تأیید می‌کند که بسیاری از کسب‌وکارها به سادگی مسئولیت را به یک MSP واگذار می‌کنند – و انتظار دارند که ارائه‌دهنده هزینه مالی را در صورت رخنه‌ای در داده‌ها دریافت کند. شرکت‌هایی که از سازمان‌های شخص ثالث برای ارائه سیاست‌های امنیتی استفاده می‌کنند، انتظار دارند MSPها 48 درصد از هزینه‌ها را در صورت نقض داده‌ها پوشش دهند. شگفت آور است که 73 درصد از MSP ها نیز خود را مسئول پرداخت جریمه و خسارت می دانند و معتقدند که باید 51 درصد از هزینه ها را بپردازند.

با توجه به ادامه افزایش موارد نقض، این وضعیت به وضوح پایدار نیست. در واقع، شواهد فزاینده‌ای وجود دارد که نشان می‌دهد MSPها به دلیل سطح ریسک مرتبط با داده‌های مشتری احتمالی، کسب‌وکار را کنار می‌زنند. این روند باید پرچم‌های قرمز بزرگی را برای کسب‌وکارها برافراشته باشد: اگر یک MSP دارای رتبه برتر از کسب‌وکار خودداری کند، یک شرکت چاره‌ای جز رجوع به MSP دیگر نخواهد داشت که یا برای پوشش ریسک قیمت را افزایش می‌دهد یا نگران‌کننده‌تر، یک رویکرد بسیار کمتر قوی و دقیق برای ارزیابی ریسک و به طور بالقوه مدیریت ریسک.

تفکیک وظایف

موضوع حاکمیت داده ها باید به شیوه ای بسیار متفاوت مدیریت شود تا نه تنها از داده ها بلکه از روابط تجاری نیز محافظت شود. این تنها در صورتی می‌تواند محقق شود که این سازمان‌ها هم تفکیک وظایف را بپذیرند و هم اهمیت قرار دادن امنیت در اطراف داده‌ها را به جای تکیه بر امنیت محیطی تشخیص دهند. با استفاده از رمزگذاری برای اطمینان از اینکه هر PII فقط توسط گیرنده مورد نظر قابل مشاهده است، یک سازمان هر گونه محدودیت یا نگرانی در مورد موقعیت جغرافیایی را حذف می کند. همچنین توجه به این نکته مهم است که دستورالعمل‌های فنی تولید شده توسط اتحادیه اروپا نشان می‌دهد که این کنترل‌کننده داده است که باید کلیدهای رمزگذاری را در اختیار داشته باشد و مدیریت کند، و فشار قانونی به سمت تفکیک وظایف را تقویت می‌کند.

با این رویکرد، یک تجارت تعهدات خود را به عنوان مالک داده (کنترل کننده) برای محافظت از داده های خود می پذیرد. سپس MSP یا هر بخش دیگری از زیرساخت نقش خود را برای ارائه عملکرد بهینه به عنوان مکانیزم حمل و نقل می پذیرد.

ایجاد یک خط مسئولیت روشن به این روش، فوراً بر مذاکرات قراردادی پرهزینه و مصرف کننده منابع غلبه می کند که امروزه هر رابطه MSP را تعریف می کند. بار – و هزینه – را برای یک MSP که تلاش می کند از داده هایی که هیچ کنترل و دانشی روی آنها ندارد محافظت کند، حذف می کند. در عوض، کسب و کار می تواند از رمزگذاری برای قرار دادن داده های آسیب پذیر یا PII در یک لایه امنیتی اضافی استفاده کند. نتیجه کاهش خطر برای MSPها و حفاظت از داده ها برای صاحب داده های دارایی است.

انطباق Schrems II

این تفکیک وظایف همچنین سازمان‌ها را قادر می‌سازد تا بر برخی از مسائل مربوط به حاکمیت داده‌ها غلبه کنند که در حال حاضر با مقررات جهانی حفاظت از داده‌ها مواجه است. این امر به ویژه در اروپا بسیار مهم است، جایی که انتقال داده ها به ایالات متحده برای پردازش و ذخیره سازی همچنان بر اساس مقررات حفاظت از داده های عمومی (GDPR) سردرگمی ایجاد می کند. از 16 جولای 2020، زمانی که دیوان دادگستری اروپا حکم Schrems II را صادر کرد، شرکت ها از نگرانی های احتمالی در مورد انتقال داده ها از اتحادیه اروپا به ایالات متحده آگاه بودند. تصمیم در ماه مه 2023 نه تنها به جریمه 1.2 میلیارد یورویی متا (1.3 میلیارد دلار) بلکه دستور توقف انتقال داده های جمع آوری شده از کاربران فیس بوک در اروپا به ایالات متحده، مسائل بسیار جدی را برای c-suites در سطح جهان ایجاد کرده است. متا هک یا نقض شبکه را تجربه نکرد. این شرکت جریمه شد زیرا تصور می شد PII را از اتحادیه اروپا به ایالات متحده منتقل می کند به گونه ای که می تواند توسط برنامه های نظارتی ایالات متحده خوانده شود و از این رو با الزامات حقوق اساسی برای حفظ حریم خصوصی، حفاظت از داده ها و حفاظت قضایی موثر مطابق تعریف تداخل داشته باشد. توسط ماکس شرمز

شرکت ها نمی توانند برای برجسته کردن چنین موضوعی به ابزارهای نظارت شبکه یا تجزیه و تحلیل تکیه کنند زیرا شبکه مطابق انتظار عمل می کند و داده ها را به طور موثر از یک مکان به مکان دیگر منتقل می کند. این مشکل شبکه نیست، مشکل داده است. نقض GDPR و قضاوت Schrems II تنها در صورتی می‌توانست که شرکت رویکردی مبتنی بر داده را در پیش گرفته باشد و از رمزگذاری مبتنی بر سیاست برای مسدود کردن یا رمزگذاری داده‌های ارسال شده به خارج از کشور استفاده کرده باشد.

با قرار دادن امنیت در اطراف داده ها و استفاده از رمزگذاری برای اطمینان از اینکه هر PII فقط توسط گیرنده مورد نظر قابل مشاهده است، یک سازمان می تواند حق حاکمیت داده های مجازی را ارائه کند و هرگونه محدودیت یا نگرانی در مورد موقعیت جغرافیایی را حذف کند.

نتیجه

با دستیابی به حاکمیت داده ها از طریق حفاظت از داده ها، به جای تکیه بر هر گونه محدودیت فیزیکی یا جغرافیایی، یک کسب و کار به طور موثر مشکلات ایجاد شده توسط Schrems II را برطرف می کند و انطباق با GDPR را تضمین می کند. این سازمان ها را قادر می سازد تا مذاکرات MSP را بر اساس کیفیت و عملکرد زیرساخت آغاز کنند تا اینکه در بحث های گران قیمت بدهی داده ها از مسیر خارج شوند. و به طور حیاتی، C-suite را در برابر خطر فزاینده شخصی و شرکتی مرتبط با نقض داده ها محافظت می کند.