مدیریت نگرانی های مربوط به حریم خصوصی داده ها هنگام انتقال به ابر – شماره 7 2022

توسط گری آلمان، MD، کارشناسی ارشد مدیریت داده ها.

گری آلمن.

هر کسب‌وکاری متفاوت است، و داده‌های هر کسب‌وکاری منحصربه‌فرد است، بنابراین هیچ رویکرد یکسانی وجود ندارد که بتواند کار کند، چه به دلایل انطباق یا تجاری و چه اینکه داده‌ها در محل یا در فضای ابری ذخیره شوند. با این حال، یک عامل مشترک که در اکثر موارد نقض و حوادث امنیتی اخیر مشاهده می شود این است که آنها از طریق سوء استفاده از امتیازات مجاز به وجود آمده اند. این یعنی چی؟ این به سادگی به این معنی است که عوامل مخرب به یک نمایه داده دسترسی پیدا کرده اند – از طریق هر وسیله ای، از جمله فیشینگ یا سایر تهدیدات سایبری – که اجازه دسترسی به داده هایی را دارد که نباید به آنها دسترسی داشته باشد.

در حالی که ابر مزایای تجاری بسیاری را ارائه می‌کند، می‌تواند نگرانی‌هایی را در مورد انطباق نیز ایجاد کند، و برخی از سازمان‌ها به همین دلیل رویکرد دور ماندن از ابر را در پیش گرفته‌اند. با این حال، در حالی که قوانینی مانند قانون حفاظت از اطلاعات شخصی (PoPIA) لایه‌ای از پیچیدگی را به مهاجرت ابری اضافه می‌کند، واقعیت این است که این قوانین صرف‌نظر از جایی که داده‌ها ذخیره می‌شوند اعمال می‌شوند و ما به یک سیاست برای کنترل داده‌ها در سراسر جهان نیاز داریم. کل محیط

ما باید سیاست‌هایی را تعریف کنیم که دسترسی به داده‌ها را فقط به مواردی که افراد برای انجام کارشان به آن نیاز دارند، بر اساس فرد و زمینه‌شان در سازمان محدود می‌کند. دسترسی به داده ها را می توان بر اساس نقش، جغرافیا، منطقه خاص و حتی موضوع داده فیلتر کرد و پس از تقسیم بندی می توان آن را در سطح کل محدودتر کرد. سپس، اگر شخصی با قصد مخرب دسترسی پیدا کند، آسیبی که می تواند وارد کند بسیار محدود است.

اکثر موارد نقض داده ها به دلیل دسترسی بیش از حد به داده ها و سوء استفاده از این امتیازات است. این باید مورد توجه قرار گیرد، و در حالی که ابر به وضوح لایه‌ای از پیچیدگی فنی را به این تمرین اضافه می‌کند، اصول یکسان باقی می‌مانند. همه چیز به مدیریت داده ها و حاکمیت داده برمی گردد – اگر داده های خود را تعریف نکرده باشید و آنها را طبقه بندی نکرده باشید، اعمال کنترل دسترسی به داده غیرممکن است.

یک راه حل یکپارچه که فرآیندی سازگار، قابل استفاده مجدد، تکرارپذیر و قابل ممیزی را در چندین پلتفرم ارائه می دهد، پاسخی برای رسیدگی به این پیچیدگی فنی و مدیریت حریم خصوصی داده ها و انطباق با PoPIA، هم در محل و هم هنگام انتقال به فضای ابری است.

مجوزهای داده اغلب بسیار گسترده هستند و دسترسی بسیار زیادی را به شما می دهند. این بدان معناست که اگر شخصی با اهداف مخرب به نمایه کاربر مجاز دسترسی پیدا کند، می‌تواند بیش از آنچه باید ببیند و کارهایی مانند حذف، کپی یا اشتراک‌گذاری داده‌ها را انجام دهد، که همچنین نباید مجاز باشد. امنیت داده ها و حریم خصوصی داده ها هر دو به نیاز به کنترل دسترسی و مجوزهای دقیق تر منجر می شوند.

در یک نشست رسانه ای در اواخر ژوئن، وکیل مدافع لبوگانگ استروم-نزاما، یکی از اعضای تمام وقت تنظیم کننده اطلاعات، اعلام کرد که صبرش در برابر متخلفان به پایان رسیده است. در حالی که موضع تا به امروز برای آموزش بوده است، در آینده، جریمه‌های احتمالی تا 10 میلیون روپیه، همانطور که توسط PoPIA قانونگذاری شده است، نتیجه محتمل‌تری از تخلفات خواهد بود.

بنابراین چگونه حریم خصوصی داده ها را مدیریت کنیم؟

خطر در درون نهفته است

برای کسب و کارها، حفاظت از داده ها فقط مربوط به قانون نیست. انواع داده‌ها در یک کسب‌وکار تولید و نگهداری می‌شوند که در صورت افتادن به دست افراد نادرست می‌تواند مضر باشد، از جمله مالکیت معنوی مانند محصولات جدید و نوآوری‌های تجاری، و همچنین اطلاعات مالی.

وقتی صحبت از انطباق با PoPIA به میان می‌آید، درک این نکته مهم است که قانون دارای چندین طبقه‌بندی از داده‌هایی است که باید محافظت شوند، از جمله داده‌هایی که با کودکان سروکار دارند، اطلاعات حساسی مانند وابستگی مذهبی و سابقه پزشکی، و اطلاعات شناسایی شخصی مانند ID. شماره. همه اینها باید تحت قانون محافظت شوند، اما نحوه انجام آن ممکن است با توجه به طبقه بندی که تحت آن قرار می گیرد متفاوت باشد.

مدیریت نگرانی های مربوط به حریم خصوصی داده ها هنگام انتقال به ابر

شماره 7 2022 امنیت سایبری

برای اطلاعات بیشتر با Master Data Management، +27 11 485 4856 تماس بگیرید، [email protected]، www.masterdata.co.za



منبع: https://www.securitysa.com/18141R

الزامات برای امنیت و حریم خصوصی داده ها تکامل یافته است و ارائه کنترل دسترسی دقیق به سطح فردی، صرف نظر از اینکه داده ها در فضای ابری قرار دارند یا خیر، ضروری شده است. خط‌مشی‌های امنیتی باید اعمال شوند، به‌طور مداوم اندازه‌گیری شوند تا اطمینان حاصل شود که از آنها پیروی می‌شوند، و فرآیندهایی باید برای هشدار دادن به رفتارهای غیرعادی که ممکن است نشانه‌ای از نقض یا فعالیت مخرب باشد، پاسخ به نقض و شناسایی مواردی که به خطر افتاده است، ایجاد شوند.