Kuruluşlar, kullanılabilirlik, performans ve arızalar hakkında bilgi edinmekten olası siber güvenlik açıklarını ve istismarları belirlemeye kadar birçok nedenle bilgisayar ağlarını izler. Bu süreçte genellikle çalışanlar, müşteriler, potansiyel müşteriler, satıcılar ve daha fazlası hakkında gerçekte ihtiyaç duyulandan daha fazla veri toplarlar. Hakim olan tutum, veriler var olduğu, yakalanması kolay ve saklaması görece ucuz olduğu için, neden toplanmıyor? Ancak günümüz teknolojisinin geniş yetenekleri ve hayatımızın her alanına ne kadar entegre olduğu göz önüne alındığında, kasıtlı veya kasıtsız olarak gereksiz ve özel verilerin toplanması tehlikesi vardır.
Daha Fazla Veri Daha Fazla Risk Demektir
Bu sorun, yalnızca izleme teknolojileri gelişmeye devam ettikçe ve daha geniş perspektifler ve benzersiz kişisel özellikler toplama yeteneğine sahip oldukça artacaktır. Halihazırda şirketler, bireyler hakkında çok sayıda doğrudan veri toplar ve daha eksiksiz ayrıntılar eklemek için üçüncü taraf zenginleştirmeyi kullanır; bunların bazıları gereğinden fazla müdahalecidir. Çeşitli veriler katman katman yakalandıkça, içgörülerin gizlilik sınırlarını giderek daha fazla aşması ve risk oluşturması muhtemeldir.
Finansal bilgiler, iletişimler, fikri mülkiyet, personel dosyaları, sözleşmeler ve diğer gizli materyaller dahil olmak üzere izleme sırasında toplanan tüm veriler, bilgisayar korsanlığı veya insan hatası yoluyla kamu malı olma potansiyeline sahiptir. Yakın tarihli bir uyarıcı hikaye, federal çalışanların e-posta mesajlarını ve hassas kişisel ayrıntılarını ortaya çıkaran bir Savunma Bakanlığı sunucusu yanlış yapılandırmasıdır. Bu bilgiler askeri güvenlik izinleri için gerekliyken, birçok şirket benzer verileri meşru bir ihtiyaç olmaksızın toplayarak gereksiz bir ifşa tehdidi oluşturuyor.
Bilgisayar korsanları, kripto para birimleri sayesinde daha kolay ve daha kazançlı hale gelen siber suçlarından para kazanmalarına olanak tanıyan kimlik doğrulama bilgilerini açmak için kişisel verileri düzenli olarak kullanır. Ayrıca, konumlarını iyileştirmek için fikri mülkiyet elde etmeye çalışan ulus-devlet aktörleri, kurumsal casusluk ve hatta siyasi amaçlı kuruluşlar da var. Bunun tescilli bir şirket sırrı olması gerekmez. Bir süreç, uygulama, mühendislik şeması ve hatta basit metin mesajları arıyor olabilirler.
İzleme Gözetim Gibi Göründüğünde
Aşırı veri toplamanın bir başka endişesi de bunun çalışanlar üzerindeki etkisidir. Şirketler ve satıcılar, temel izleme görevi için gereksiz olan içgörüler elde ettiğinde, çalışanları alarma geçirebilir. Bu, özellikle iş ve ev arasındaki sınırlar birbirine karıştığı ve kişisel cihazları kurumsal veri toplama için giderek daha fazla kullanılabilir hale getirdiği için doğrudur.
Ek olarak, toplanan veriler belirli bir amaca göre izlenemezse, özellikle çalışan izleme araçları uzaktan çalışmanın başlamasıyla daha yaygın bir şekilde kullanılmaya başlandığından, çalışanlar meşru ağ ve güvenlik izlemeyi gözetimle karıştırabilir. Bu araçların, ağ ve güvenlik izleme araçlarından farklı bir amacı vardır, ancak bu, çalışanlar için her zaman net değildir.
Verilerin Kontrolünü Ele Alma
Ağ ve güvenlik izleme söz konusu olduğunda, verileri ayrı bir mikro düzeyde toplamak ve analiz etmek için yapılması gereken güçlü bir durum vardır. Ancak daha kişisel ve gereksiz bilgilerin toplandığı ve diğer veri kaynaklarıyla ilişkilendirildiği makro düzeyde bakıldığında durum geçerliliğini yitirebilir. Bu genellikle, baş bilgi görevlileri (CIO’lar) ve diğerleri, teknolojinin gelişmiş yeteneklerini izlemeye kendilerini iyi niyetlerini gölgeleyecek ve sorgulanabilir sonuçlara yol açacak kadar kaptırdığında olur. Verilerin üstünlüğü ele geçirmesini önlemeye yardımcı olacak birkaç adım:
● Bir kuruluş olarak, verilerin görüntülenme biçimini değiştirmek önemlidir. Birçok lider için her veri noktası, gizlilik perspektifinden değil, bir iş misyonu merceğinden görülür. Anahtar, toplanan her veri noktasını tanımlamak ve bunun bir temel bilgi mi yoksa zenginleştirme bilgisi mi olduğunu belirlemektir. Çoğu durumda, yalnızca zenginleştirme amacıyla toplanan verilerin gerekçelendirilmesi daha zordur.
● Veri analizindeki ilerlemeler göz önüne alındığında, bu sadece sisteme beslenen bilgileri gözden geçirmekle ilgili değildir. Algoritmaların nasıl eğitildiği ve neyin gizli olduğunu ve bu şekilde nasıl tutulacağını tanımlamak için hangi kontrollerin yürürlükte olduğu ile ilgilidir. Bu kontroller olmadan, algoritma gereksiz veri noktalarını kullanabilir ve bu da asla sorulmaması amaçlanan soruları yanıtlayan çıktılarla sonuçlanabilir.
● Bir veri yönetişim ekibi, veri tutarlılığını ve kalitesini iyileştirmenin yanı sıra, neyin izlenip neyin izlenmediği ve neden izlendiği konusunda çalışanları ve diğer kişileri eğitme konusunda paha biçilmez bir değere sahip olabilir. Ayrıca şirket veri politikaları geliştirip uygulayabilir ve gizlilik sınırlarının aşılmasını önlemek için standartlar ve düzenlemelere uyumu sağlayabilirler.
● Satıcılar söz konusu olduğunda, toplanan verilerin sağlanan hizmetlere bağlanması gerektiğine dair açık bir yönerge bulunmalıdır. BT liderleri, satıcılardan şu üç talebi yapmalıdır:
—Toplanan tüm verilerin, nasıl toplandığının, ne sıklıkta toplandığının ve nasıl kullanıldığının ayrıntılı bir hesabını sağlayın.
—Veri toplamak için kullanılan erişim mekanizmasını açıklayın ve gereksiz verilerin toplanmasına izin verip vermediğini ve ne ölçüde izin verdiğini belirleyin.
—Belirli veri noktalarının toplanmasından vazgeçme seçenekleri olup olmadığını ve varsa, alınması durumunda sonuçlanabilecek sonuçları açıklayın.
Veri izleme ve toplama prosedürlerinin kapsamlı bir incelemesi, çoğu kuruluşun aşırıya kaçtığını ve şirketi, çalışanlarını ve müşterilerini riske attığını ortaya çıkaracaktır. Bugün saldırıya uğrama ihtimalinin artık aşırı derecede düşük olmadığını kabul etmenin zamanı geldi. Bu, şirketlerin veri toplama ve izleme stratejilerini yeniden düşünmek ve çalışanların mahremiyetini ve kurumsal bütünlüğünü korumak için en iyi uygulamaları hayata geçirmek için gerekli adımları atması ihtiyacını artırıyor.
