Veri Gizliliğinin Yönetimi

Düzenlemelerin karmaşıklığı arttıkça, şirketlerin kişisel verileri yönetme, ilgili ekiplerinin güvenlik ve gizlilik olayları ile potansiyel gizlilik ihlallerine müdahale etmek için uyumluluk sağlama konusunda sorumluluğu da artıyor.

IBM ile American Cyber Security Management’in güvenlik ve gizlilik uzmanları, mevcut düzenleyici ortamı tartışarak gizlilik süreçlerinin yönetilmesi ve gizlilikle ilgili siber güvenlik tehditlerine yanıt vermeye hazır olma esaslı en iyi uygulamaları paylaştı. Bu makalede söz konusu uygulamalara ilişkin önemli çıkarımlar bulabilirsiniz.

Temel gizlilik uygulamaları kurumların değişimi yönetmesine yardımcı oluyor

Uzmanlar, değişimin bir adım önünde olmak ve etkilerini yönetmek için kurumların temel bir gizlilik politikası kullanması gerektiği tavsiyesinde bulunuyor. Güçlü bir gizlilik stratejisinin getirileri arasında, veri gizliliği ile ihlal bildirimi gerekliliklerini yönetmeye yardımcı olacak sağlam politikalara, süreçlere ve araçlara sahip olmak yer alıyor.

Bu noktada çalışanlar, kendilerini etkileyebilecek eğitim veya değişiklikler hakkında düzenli olarak bilgilendirilmeli. Örneğin, küresel sağlık krizi nedeniyle çalışanlar bir gecede uzaktan çalışmaya geçtiğinde, kişisel verileri içeren çıktıları ve basılı kopyaları işlemek için yeni protokollerin hızla uygulanması gerekiyordu. Bu tür değişiklikleri belirlemek ve iletmek için ilgili süreçlere ve araçlara sahip olmak, ekiplerin hızla uyum sağlamasına yardımcı olabilir.

Küresel sağlık krizinin bir sonucu olarak, kişi izleme uygulamaları, teletıp ve ağ termometreleri gibi kişisel ve sağlık verilerinin yeni ortaya çıkan kullanımları halen tanımlanma safhasında. Değişikliklerden haberdar olmak ve uyum sağlamak için veri toplama, saklama ve imha etme ile gizlilik ihlali gereklilikleri ve bildirimlerini yönetmeye dönük araçlara/süreçlere sahip olmak gerekli. Uzmanların temel bir gizlilik uygulaması oluşturmaya yönelik önerileri arasında uygun teknolojilerin benimsenmesi, güvenlik/gizlilik ekiplerinin doğru yönetilmesi ve gizliliğin stratejik bir farklılaştırıcı olarak kabul edilmesi yer alıyor.

Güvenlik ve gizlilik ekiplerinin yönetimi

Uzmanlara göre, “Veri gizliliği yönetimi bir takım sporudur.”

Güçlü, temel bir gizlilik uygulaması, güvenlik ve gizlilik ekipleri arasındaki siloları yıkmanın önemini esas alır.

Bu iki ekibin genellikle farklı bakış açıları vardır: Güvenlik, verilerin güvenliğini sağlamakla ilgilenirken, gizlilik ekibi toplanan verilerin türünü, nasıl depolandığını ve ne zaman ve nasıl kaldırılması gerektiğini anlamaya odaklanır.

Farklı bakış açıları, gizlilik ihlali hazırlığı/müdahalesinin verimli ve zamanında ele alınması için gereklidir. Düzenlemelerin her zaman daha fazla versiyonunun ortaya çıkmasıyla birlikte uzmanlar, iş birliği ve koordineli bir yanıt sağlamak için güvenlik/gizlilik ekiplerinin doğru yönetilmesini tavsiye ediyor. En önemlisi de ekipler, büyük bir gizlilik ihlaline müdahale etmeden önce iş birliği için bolca egzersiz yaparak birlikte çalışmayı deneyimlemeli.

İhtiyaçlara uygun teknolojiler tercih edilmeli

Çok iyi tanımlanmış ihtiyaçları karşılamak için ‘nokta-çözüm’ sıkıntısı yoktur. Ancak uzmanlar, kurumların bir sorun yerine çok sayıda sorunu çözen araçlara yatırım yapmaları gerektiğinin altını çizerek gelecekteki ihtiyaçları proaktif şekilde ele almaya yönelik bir platform sağlanması için teknolojiye daha geniş kapsamlı bir yaklaşımla bakmalarını öneriyor. Uzmanlar, gelecekteki ihtiyaçları proaktif olarak ölçeklendirmek ve ele almak için bütünsel bir yaklaşım benimsemeyi tavsiye ediyor.

Gizlilik ihlali yanıt sürelerini iyileştirmek isteyen kurumlar, gizlilik ve güvenlik ekipleri için tutarlı, tekrarlanabilir süreçler için uygun bir platform sağlama adına düzenleme ve otomasyon özelliklerinden yararlanıyor. Şirketler, Veri Sahibi Erişim İsteklerine (DSAR’lar olarak bilinir) yanıt vermeye yardımcı olmak için otomasyondan yararlanarak tepkilerini daha iyi koordine edebilir, ekipler arasında iş birliği yapabilir ve süreçleri otomatikleştirerek yanıt sürelerini hızlandırabilir. Güvenlik Düzenleme, Otomasyon ve Müdahale çözümü gibi otomatize edilmiş bir çözümün kullanılması, ayrıca bir kayıt ve denetim izi sistemi sağlar.

Gizlilik, stratejik bir öncelik…

Veri gizliliğini yönetmek için yönetici desteği ve liderlik, sağlam bir gizlilik uygulamasına yönelik en önemli gerekliliklerden biridir. Yönetici odaklı bir yaklaşım, tüm organizasyona nüfuz eden tonu belirler, departmanlar arasında iş birliğini teşvik eder ve mahremiyete gereken özeni sağlar.

İK, hukuk, uyumluluk, güvenlik ve Bilişim Teknolojileri (BT); mahremiyetten etkilenen ve “bu masada oturması” gereken ekiplerden sadece birkaçıdır.

Öte yandan ekipler arası temsile sahip bir yönetişim, risk ve uyumluluk (GRC) komitesinin kurulmasının gizliliğin görünür olmasını ve departmanların sorumlu tutulmasını sağlayan en iyi uygulama olacağı kaydediliyor.

Ek olarak her yıl bir değerlendirme yapmak, gizlilik programınızın güçlü ve zayıf yönlerini belirlemenize yardımcı olabilir; boşlukları ve iyileştirme alanlarını vurgulayabilir.

Lider yöneticilik ve yerinde gözetim ile gizliliğe stratejik bir şekilde yaklaşmak, şirketlerin yalnızca mahremiyet duruşlarını geliştirmelerine yardımcı olmakla kalmayacak, aynı zamanda bunu rekabetçi bir şekilde farklılaşmak için kullanma fırsatları da sağlayacaktır.