Yıllar önce Mark Eggleston, ulusal bir sağlık hizmeti sağlayıcısı için bir gizlilik programı oluşturmakla görevlendirildiğinde, işlevler arası işbirliğinin önemini ilk elden gördü.
“HIPAA Gizliliği, NPRM’yi tartışmak için hukuk uzmanlarına ihtiyacım vardı [Notice of Proposed Rulemaking]Eggleston, “CISO’lar teknik kontroller uygulayarak bu prosedürlere verimlilik ve güven getirebilirler.” diye anımsıyor.
Şu anda iş yönetimi ve uyumluluk çözümleri sağlayıcısı olan CSC’de bilgi güvenliği şefi (CISO) olarak görev yapan Eggleston, artık bu işbirliğinin ortaya çıkan daha büyük bir eğilimin altını çizdiğinin farkında: CISO’lar kuruluşlar içindeki gizlilik konusunda giderek daha fazla sorumluluk alıyor. Buna göre IANS’tan araştırmaCISO’nun gizlilik sahipliği oranı son beş yılda %35’ten %47’ye çıktı. Bu büyüyen rol şu şekilde ortaya çıkıyor: gizlilik yönetimi ve siber güvenlik düzenleyici baskılarla daha da iç içe geçmiş hale gelmek; ile ilgili gelişen soru ve endişeler yapay zeka (AI) gibi belirli teknolojiler; ve bir veri ihlalinin kurbanı olmaktan kaçınmaya yönelik her zaman mevcut arzu.
Geleneksel olarak gizlilik ve güvenlik bir kuruluş içinde ayrı alanlar olarak görülüyordu. Gizlilik, hukuk veya uyumluluk ekiplerinin sorumluluğundayken CISO’lar kurumu siber tehditlerden korumaya odaklandı. Ancak bu iki alan arasındaki çizgi bulanıklaşıyor ve daha fazla CISO’nun gizlilik işlevlerini üstlenmesi isteniyor.
The Privacy Professor’un CEO’su ve IANS öğretim üyesi Rebecca Herold, “Bir CISO risk değerlendirmesi yaptığında veya veri akışına baktığında, zaten bu bilgiyi nasıl koruyacağını düşünüyor demektir” diyor. Role mahremiyet eklemenin çoğu durumda zaten yapmakta oldukları şeyi resmileştirdiğini söylüyor.
NTT Data Americas’ın kıdemli yöneticisi ve veri koruma sorumlusu Yunique Demann, kariyerine güvenlik pozisyonunda başladı ve ardından gizlilik pozisyonuna geçerek kendisine her iki disipline de bakış açısı kazandırdı.
“Hukuk, risk veya uyumluluk işlevleriniz dışındaki veri ihlalleri, düzenlemeler ve düzenleyici incelemelerdeki artışla birlikte, CISO’lar gizlilik kontrollerini denetlemek için doğal bir seçim haline geliyor” diyor. “Gizlilik, bir CISO’nun rolünü etkileyen birçok alandan biridir.”
CISO’lar Neden Gizlilik Rollerini Üstleniyor?
Sorumluluk değişiminin ardındaki bir diğer etken ise sürekli değişen düzenleyici ortamdır. Avrupa’daki Genel Veri Koruma Yönetmeliği (GDPR) ve ABD’deki Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi gizlilik yasaları, kuruluşların kişisel verileri koruma konusunda daha fazla talepte bulunmasını sağlıyor. Bu düzenlemeler, kuruluşların sağlam gizlilik kontrollerine sahip olmasını gerektirir ve çoğu durumda CISO, bu çabaların denetlenmesine yardımcı olmanın ayrılmaz bir parçası olarak görülür. Hem CISO hem de baş gizlilik sorumlusu (CPO) rollerini üstlenen CSC’den Eggleston, CISO’ların gizliliğin de önemli olduğu diğer departmanlarla çalışmak zorunda kalması nedeniyle bu değişimin yıllardır devam ettiğini söylüyor.
“Çoğu CISO zaten insan kaynakları ve hukuk ekipleriyle güçlü bir şekilde çalışıyor ve hem İK hem de hukuk, gizlilik konularıyla temel ilgiye sahip olduğundan, gizliliğe odaklanmak bunu sürdürmeyi çok önemli kılıyor” diyor. “NIST Siber Güvenlik Çerçevesi bile artık gizliliği kendi yönergelerine entegre ediyor.”
CISO’ların daha fazla gizlilik görevi üstlenmesiyle birlikte, bu sorumlulukları geleneksel siber güvenliğe odaklanmalarıyla dengeleme ihtiyacı da artıyor. Demann, çıkar çatışması potansiyelinin de bulunduğunu söylüyor.
“Ancak bu, operasyonel gizlilik sorumluluklarının bir DPO’ya verilmesiyle gerçekleştirilir. [data protection officer]raporlama hattını güvenlik altında tutarken” diyor.
Düzenleyici baskılara ek olarak, yapay zekanın yaygın olarak benimsenmesi gibi teknolojideki ilerlemeler, CISO’ların gizlilik yönetimindeki rolünün genişlemesine katkıda bulunuyor. A son anket Uluslararası Gizlilik Profesyonelleri Birliği’nden (IAPP) yapılan bir araştırma, gizlilikten sorumlu başkanların %69’unun artık yapay zeka yönetişimi konusunda ek sorumluluğa ve %37’sinin siber güvenlik düzenlemelerine uyum konusunda ek sorumluluğa sahip olduğunu tespit etti. Bunun da haklı bir nedeni var, diyor Demann, çünkü yapay zeka etrafındaki birçok alan hem gizlilik hem de güvenlik açısından daha fazla inceleme gerektiriyor.
“Yapay zekanın kullanımı bu temellerle çeliştiğinde, şeffaflıktan yoksun olduğunda ve sürece önyargı kattığında gizlilik riskleri ortaya çıkıyor” diyor. “Çünkü yüksek lisansınız [large language model] Çok büyük miktarda veri noktası kullanabilir, bu, özellikle verilerini kullandığınız kişilerin izni olmadan kullanılması gerektiği anlamına gelmez. Rıza açık ve net olmalıdır. Ne yazık ki rızanın gizlendiği çok fazla durumla karşılaşıyoruz.”
Gizliliği Yönetmek İçin Yeniden Beceri Kazanma
Gizlilik yönetimi için gereken beceriler de gelişiyor ve CISO’ların buna uyum sağlamaya hazır olması gerekiyor.
Demann, “Gizlilik temel olarak bireylerin haklarını korumak ve kişisel verilerin işlenmesinin geçerli yasalara uygun olarak gerçekleştirilmesini sağlamakla ilgilidir” diyor. “Bu, yasal, etik ve düzenleyici çerçevelerin daha derinlemesine anlaşılmasını ve veri yönetişimi, izin yönetimi ve şeffaflığa odaklanmayı gerektirir.”
CISO’ları gizlilik topluluklarıyla etkileşime geçmeye, gizlilik liderleriyle işbirliği yapmaya ve gizlilik sorunlarına ilişkin bilgilerini genişletmek için aktif olarak fırsatlar aramaya teşvik ediyor.
CISO’lar için CPO’lar ve hukuk departmanlarıyla işbirliği, kuruluşlarında hem güvenlik hem de gizlilik uyumluluğunu sağlamanın anahtarıdır. Demann, mahremiyet ve güvenliğe birleşik bir yaklaşım oluşturmak için düzenli iletişim ve birleşik masa üstü tatbikatlar ve sektör sunumları gibi ortak girişimler önermektedir.
“Ne kadar çok gizlilik ve güvenlik lideri bir arada ortaya çıkarsa kuruluşun stratejik bir yaklaşıma sahip olması o kadar kolay olur” diyor.
Eggleston, düşünce kuruluşlarının özetleri, hukuk firmalarından gelen gizlilik güncellemeleri ve yargı personeliyle devam eden tartışmalar yoluyla bilgi sahibi olmanın önemini vurguluyor.
“Birçok EMEA ülkesinin mahremiyet konusunda çok daha ayrıntılı ve daha güçlü gereksinimleri var” diye belirtiyor, alıntı yaparak Lüksemburg’un Mesleki Gizlilik yükümlülüğü örnek olarak.
İleriye bakıldığında, CISO’ların, gizlilik kendi yetki alanlarında olsun ya da olmasın, ortaya çıkan gizlilik trendlerini yönlendirmeye hazırlıklı olmaları gerekmektedir. Görev genişledikçe gizlilik yasalarına ilişkin bilgilerini geliştirmeye ve hem şirket verilerini hem de bireylerin haklarını korumak için departmanlar arasında işbirliği yapmaya devam etmeleri gerekecek.
Eggleston, “Güvenlik gizlilikle ilgilidir ve mahremiyet de temelde gizlilikle ilgilidir” diye bitiriyor. “Gizlilik ve güvenlik birlikte daha güçlüdür.”