Geçtiğimiz hafta siz ve kişisel bilgileriniz için, AB'de yaşıyor olsanız da olmasanız da önemliydi.
AB vatandaşlarının kişisel bilgilerinin nasıl toplanıp işlendiğiyle ilgili kılavuz ilkeler belirleyen Genel Veri Koruma Yönetmeliği GDPR şimdi resmidir. Bu harika bir fikir - bilgilerinizin nasıl toplandığı, nasıl saklandığı ve nasıl geri alabileceğiniz konusunda düzenli kurallar çok geç kalmıştır. GSYİH ile ilgili neyin iyi, kötü ve çirkin olduğuna dair pek çok tartışma oldu (ve olmaya da devam edecek), ancak bilgi güvenliğinde çalışan çoğu insan, amaçların iyi niyetli olduğu ve hepimizin ihtiyaç duyduğumuz korumaları sağlayacağı konusunda hemfikirler. 21. yüzyıl
GDPR ile uyumlu olmadığınız için pek çok popüler web sitesi Avrupa ziyaretçileri tarafından kullanılamıyor.
Bununla birlikte, GSYİH’nın bireysel makaleleri evrensel olarak övülmedi. 25 Mayıs Cuma günü yürürlüğe girdikten sonra halihazırda felaket görüyoruz: New York Daily News, Chicago Tribune, LA Times ve diğer yüksek profilli web siteleri artık GDPR düzenlemeleri kapsamında olan ülkelerde kullanılamıyor çünkü yeni kurallara hazır değillerdi. Diğer pek çok web sitesi ve çevrimiçi hizmet, kullanıcıları kabul edecek yeni terimlerle bombardıman etti ve Google ve Facebook’un kayda değer devleri Google ve Facebook’a karşı şikayette bulundu;
Dahası: Google, topladığı kullanıcı verilerini anlama ve yönetmeyi kolaylaştırıyor {.cta.large}
Bu gibi konular şaşırtıcı değil. Infosecurity Europe 2018 katılımcılarının yarısının yakında olacağını düşündüğü GDPR neticesinde bulut tabanlı hizmetlerin gelirlerini kaybedeceği ve fiyatları yükseltmek zorunda kalacağı düşüncesi de yok. Ayrıca, küçük kuruluşlar uyumlu olması için gerekli altyapıyı karşılayamayacakları için GSYİH'nın yeniliği boğacağını da düşünüyorlar. Bu, tartışması gereken insanlar tarafından iyi bir tartışma. Daha iyi gizlilik, doğru olması için gereken ileri ve geri saatlerine değiyor.
Ancak GSYİH’nın bir bölümden daha iyiye daha fazla zarar vereceğini düşünüyorum - Madde 33’ün 72 saatlik raporlama kuralı. Metnin tamamını buradan okuyabilirsiniz, ancak bunun esas nedeni, AB vatandaşlarının kişisel kimliğini koruyan bir şirketin, gerekçesi ne olursa olsun, herhangi bir güvenlik ihlalinden tamamen sorumlu olduğu ve 72 saat içinde bir denetim kuruluna tam açıklama yapması gerektiğidir. ihlali. Bu kural için mükemmel olan hiçbir şey yoktur, ancak iki bölüm sorumlu sağlayıcılara bildirmekten ziyade veri ihlallerini kapsayan servis sağlayıcılara yol açacaktır.
Bunlardan ilki, denetim komitesidir. Farklı ülkeler vatandaşlarını yönetmenin farklı yollarına sahiptir, ancak hepsinde ortak olan tek şey herhangi bir resmi komite oluşturma ve işe alma söz konusu olduğunda tercihli muameledir. Öğrenci adayı arkadaşı ya da sadaka istemekten vazgeçemeyen üçüncü kuzeni, herhangi bir komite koltuğu için birinci dereceden adaylardır ve ana hedef kullanıcı verilerini korumak olduğunda, sadece en kalifiye bireyler düşünülmelidir. Umarım burada tam olarak bu yapılır ve düzenlemeler yürekten en iyi çıkarlarımıza sahip ve kalifiye olan insanlar tarafından uyarlanabilir ve uygulanabilir.
Tam bir ihlal soruşturması yapmak için gerekli kaynakları olmayan küçük şirketler, onları kapsamayı seçebilir.
Daha büyük bir sorun da zorunlu 72 saatlik raporlamadır. Tam kadrolu bir Fortune 500 kuruluşu bile, bir devlet kurumu ile rapor vermeye başlamak için veri ihlali konusunda yeterince bilgi sahibi olmayacak. Bu kadar kısa bir süre göz önüne alındığında, bir şirketin bilgi güvenliği görevlisinden bir ihlal olduğunu söyleyenlerden biraz daha fazlasını bekleyin ve henüz herhangi bir ayrıntıdan emin değiliz. Bu, katılan herkes için zaman kaybından biraz daha fazlasıdır ve bunun yerine, herhangi bir tür veri ihlali nedenini, nasıl, ne zaman ve kim olduğunu bulmak için harcanmayı tercih ederim.
Zaten GSYH uyumluluğunu yerine getirmek için mücadele edebilecek küçük bir şirket, ihlali içerip içermediğini ve zararları rapor etmeden tek başına hafifletip hafifletemeyeceğini araştırmaya özendirilecektir. Baskı altında olduğunuzda ve yetersiz olduğunda, bir örtbas işlemi doğru seçenek gibi görünebilir.
Açıkçası, asla. Ancak, büyük ve küçük şirketlerin, kabloya geldiğinde tekrar tekrar yanlış seçenek seçtiği bilinmektedir. Kullanıcıları zayıf kararlar veren şirketlerden korumak için tasarlanan herhangi bir düzenleme, onları tam da yapmaya zorlayacak bir kural olmadan daha iyidir.
Bir veri soygununun sorumlu ve hızlı raporlanması bir zorunluluktur. Verilerimizi toplayan ve saklayan şirketleri doğru olanı yapmaya zorlamak, onsuz çok işe yaramaz. Ayrılmaların nasıl ele alınacağını gözden geçirmek için doğru insanlarla dolu doğru gözetim komitesi oluşturmak - veya gerçekleştiğinde yardım önermek - GDPR'yi dünyanın geri kalanı için bir şablon haline getirmek için uzun bir yol kat edecektir.
