PII
Dünyanın birçok bölgesinde artık kişiyi tanımlamak için kullanılan bilgilerin (PII) işlenmesini ve saklanmasını düzenleyen yerel yasalar bulunmaktadır. Bu yasalar, herhangi bir şekilde AB’de yerleşik kişilerin verilerini kullanan her şirketin uyması gereken GDPR’nin (Genel Veri Koruma Yönetmeliği) ekidir.
Büyük işletmeler, tüm bu yasalara ve düzenlemelere uymak için nispeten daha açık stratejilere sahiptir. Genel olarak, bir çalışana — bir veri koruma sorumlusu (DPO) — kişisel verilerin işlenmesine ilişkin kurallara uyumu sağlama sorumluluğunu verirler ve iç düzenlemelerin geliştirilmesine ve düzenli denetimlerin yürütülmesine büyük bütçeler ayırırlar. Ancak kaynak eksikliği, bu yasalara uyum konusunda küçük işletmeleri zorlayabilir.
İnsan faktörü
Sorun çoğunlukla, başkalarına ait kişisel veriler konusunda gerektiği kadar dikkatli olmayan çalışanlarla ilgilidir. Bu dikkatsizlik, kasıtlı olmayan sızıntılara neden olabilir.
Sıkça karşılaşılan bir senaryoyu düşünelim: Günlük olarak kişisel verilerin yer aldığı PII belgeleri tarayıp ortak alanda saklayan çalışanlar. Onlar açısından bakıldığında yaptıkları şey sadece şirketin OneDrive veya SharePoint dizinlerine veri yüklemek. Açıkçası, yaptıkları şey herhangi bir sızıntı oluşturmasa da verileri, bu tür bilgilerle çalışmak için uygun şekilde eğitilmemiş ve bu nedenle bunlara erişimi olmaması gereken iş arkadaşları için erişilebilir hale getiriyorlar.
Sorun, bu iş arkadaşlarının mutlaka bir veri sızıntısının oluşmasına neden olacak olması da değildir. Ancak herhangi bir aşırı kritik veya gizli bilgiye erişimlerinin olmadığını düşünerek, zaman zaman yanlışlıkla iş için kullandıkları dizüstü bilgisayarlarını denetimsiz bırakabilirler. Ayrıca, işletmenin alakasız bir veri sızıntısı olayı yaşamasının ardından veri işleme ve saklama uygulamalarıyla ilgili sürpriz bir denetim — ve bu denetimin sonucunda potansiyel olarak, müşterilerin veya çalışanların kişisel verilerine kapsamlı çalışan erişimine izin verildiği için ağır para cezaları — söz konusu olabilir.
Kişisel verilerin ortak erişimli klasörlerde saklanması riski nasıl en aza indirilir?
Kişisel verileri ortak erişimli klasörlerin dışında tutmanın en basit yolu, çalışanların bu tür verileri iletmek için iş birliği araçlarını kullanıp kullanmadığını izlemektir. Başka bir deyişle, çalışanların tam olarak ne paylaştığını, bilgileri nerede sakladıklarını ve işletme dışından herhangi biriyle bağlantı paylaşıp paylaşmadıklarını bilmeniz gerekir. Teorik olarak, bunu yapmak için ayrı bir DLP çözümüne ihtiyacınız olsa da tüm işletmelerin tek bir DLP çözümü için ayırabileceği kaynağı yoktur. Yine de bunun bir alternatifi vardır.
En güncel [KES Cloud placeholder]Kaspersky Endpoint Security Cloud[/KES Cloud placeholder] çözümümüzdeki Data Discovery özelliği, işbirliği amacıyla Microsoft 365 hizmetlerini kullanan tüm işletmeler için mükemmel bir seçenektir. Data Discovery, PII veya banka kartı verilerini içeren dosyaları algılar, konumunu net bir şekilde gösterir ve bilgilerin yapılandırılmış ya da yapılandırılmamış şekilde saklanmasından bağımsız olarak bu dosyalarla ilgili ek içerik sağlar.
Bu özellik şu anda yalnızca Almanca, İtalyanca ve Amerikan belge biçimleriyle çalışsa da, özelliği geliştirmeye devam ediyoruz. Ürünün yakın gelecekte diğer ülkelere ait belgeleri de algılamasını umuyoruz.
Alternatif işbirliği araçlarının denetimi
Çalışanların bazen daha ileri gidebileceğini ve önemli kurumsal bilgileri üçüncü taraf bulut hizmetlerine yükleyebileceğini biliyoruz. Başka bir deyişle, BT güvenlik biriminin kontrol etmediği yerlerde ve araçlarla veri depoluyor olabilirler.
Bu nedenle işe, çalışanlarınıza gizli veya hassas veriler için üçüncü taraf bulut hizmetlerini kullanmamaları gerektiğini açık bir şekilde açıklayarak başlamanızı öneriyoruz. Ardından, çalışanların tüm bulut hizmeti kullanımını izleyin ve gerektiğinde engelleyin. Burada size Kaspersky Endpoint Security Cloud içindeki başka bir özellik — Cloud Discovery — yardımcı olabilir.
Cloud Discovery ve Data Discovery özellikleri, çözümümüzün standart koruma mekanizmalarını tamamlar. Böylece şirketleri yalnızca harici siber tehditlerden korumakla kalmaz, aynı zamanda kişisel veri koruma yasa ve yönetmeliklerine uyumunu da kolaylaştırır.
İpuçları