احمد حاتمی، حسابدار رسمی ، حسابدار مالی خبره CFA
در هفته حریم خصوصی داده ها (24 تا 28 ژانویه) قرار داریم، در راستای یک تلاش بین المللی برای افزایش آگاهی در مورد حریم خصوصی داده های شخصی میلیونها نفر از نحوه جمعآوری، استفاده یا اشتراکگذاری دادههای شخصی خود در جوامع دیجیتالی بیاطلاع هستند. به عنوان یک کسبوکار، داشتن یک استراتژی حفظ حریم خصوصی دادهها برای محافظت از مشتریان و کارمندان و مطابقت با مقررات قابل اجرا مهمتر از همیشه است.
در عصر افزایش ریسک و عدم اطمینان، نیروی کار از راه دور و فناوریهای پیچیده، داشتن خطمشیها و رویههای مؤثر که به آسانی قابل درک و دقیق باشند، برای همگام شدن با چشمانداز نظارت جهانی در حال توسعه امری حیاتی گردیده است.
حریم خصوصی داده چیست و حفاظت از داده ها چرا مهم است؟
حریم خصوصی داده ها مجموعه ای از استراتژی ها و فرآیندهایی است که بر نحوه جمع آوری، پردازش، ذخیره، به اشتراک گذاری، نگهداری و بر از میان بردن داده های شخصی تمرکز می کند، در حالی که حفاظت از داده ها بر امنیت در دسترس بودن و یکپارچگی داده ها و محافظت از دارایی ها در برابر دسترسی های غیرمجاز متمرکز است. استراتژی حفظ حریم خصوصی و حفاظت از داده ها برای هر سازمانی حیاتی است زیرا هدف آن ارائه شفافیت، کنترل بر داده های آن ها و نحوه استفاده از آن ها و محافظت از داده های شخصی در برابر دسترسی و استفاده ناخواسته است. بدون استراتژی حفظ حریم خصوصی و حفاظت از دادهها، سازمان ها ممکن است در برابر شکایات مصرفکننده، تحقیقات نظارتی و جرایم و اقدامات جعلی مانند سرقت هویت، فیشینگPhishing و هکHack آسیبپذیرتر باشد.
اجزای یک استراتژی حریم خصوصی و حفاظت از داده ها
هنگام تدوین یک استراتژی، باید در خصوص حوزه های کلیدی آن آگاهی داشته باشید، بطور نمونه موارد ذیل می تواند مهم تلقی شوند:
کسب و کار
درک صحیح از کسب و کار، کلید برنامه حفاظت حریم خصوصی و داده ها است. هرچه بیشتر در مورد کسب و کار بدانید، بیشتر در مورد انواع داده هایی که پردازش می گردد و سطوح حفاظت مورد نیاز بر آن ها و ...لازم می باشد را در هنگام تدوین استراتژی حریم خصوصی در نظر خواهید گرفت.
داده ها
بسیاری از سازمان ها داده های شخصی را از منابع درون سازمانی و برون سازمانی جمع آوری می کنند. به عنوان مثال، یک بانک، اطلاعات مالی را از مشتریان جمع آوری می کند. یک سازمان مراقبت های بهداشتی، اطلاعات بهداشتی را از مراجعه کنندگان خود جمع آوری می کند. همه سازمان ها داده های شخصی کارکنان خود را جمع آوری و پردازش می کنند. مهم است که دستهبندی دادههای شخصی را شناسایی کنید، زیرا این امر به اطلاعیهها، سیاستها و رویههای حریم خصوصی در زیر گروه های مختلف درون سازمان ها اطلاعرسانی می گردد.
هدف
شناسایی داده ها یک چیز است، اما درک اینکه داده ها چیست و چگونه به اهداف در سازمان هت کمک می کند، کار کاملاً متفاوتی است.در نظر داشتن این امر هنگام ایجاد یک استراتژی حفظ حریم خصوصی و حفاظت از دادهها مهم است زیرا به شما کمک میکند موجودیهای دادههای شخصی و سوابق پردازش خود را (در صورت لزوم یا از نظر قانونی مورد نیاز) مرنفع سازید، فرصتها را برای شناسایی و به حداقل رساندن دادهها بکار گیری کنید، تأیید کنید که دادههای جمعآوریشده متناسب با اهداف است، و پادمان های مناسب را اجرا کنید.
حریم خصوصی ، حفاظت از داده ها و 5 مرحله برای شروع
شناسایی، نحوه استفاده از آن و طبقهبندی دادهها و همچنین تشریح اقداماتی که باید با هر نوع داده انجام شود، کلید حفظ حریم خصوصی دادهها است. در اینجا 5 مرحله کاری وجود دارد که همه سازمانها میتوانند برای شروع یا ارتقای استراتژی حفظ حریم خصوصی دادههای خود انجام دهند:
1-محل استقرار داده ها را مشخص کنید
این می تواند یک کار چالش برانگیز باشد، اما شناسایی محل قرارگیری داده های سازمان ها باید اولین گام برای محافظت از آن باشد. همه داده های سازمانتان کجا هستند و به کجا مخابره می شوند؟ چه نوع داده هایی وجود دارد؟ میزبانی فیزیکی آن کجاست؟ کشف داده های سازمانتان یک کار اساسی است زیرا بقیه استراتژی حفظ حریم خصوصی و حفاظت از داده های سازمانان را اطلاع رسانی می کند.
2- اطلاعات خود را مشخص کنید
نمی توانید از داده های خود محافظت کنید بدون اینکه ابتدا آنچه را که دارید به درستی درک و اهمیت آن را مشخص کرده باشید. پس از شناسایی محل دادهها، گام بعدی این است که فهرستی از دادههای شخصی را ایجاد کنید و کارهایی که با آن دادهها انجام میدهید را ثبت کنید. در این مرحله همچنین می توانید داده ها را با طبقه بندی برچسب گذاری کنید. طبقهبندی دادهها به سازماندهی دادهها در گروهها اغلب بر اساس سطح حساسیت کمک میکند تا حفاظت کارآمد از دادهها را فراهم کند.
همچنین توجه به این نکته مهم است که حفاظت از داده و کشف الکترونیکی دارای همپوشانی عملکردی خاصی هستند و ما شاهد افزایش برنامههای حفظ حریم خصوصی هستیم که از راهحلهای کشف الکترونیکی به عنوان بخشی از استراتژی و مجموعه ابزارهای خود استفاده میکنند. وقتی دادههای شما طبقهبندی میشوند، بررسی دادهها نیز سنگینتر خواهد بود. بنابراین، این دو می توانند به یکدیگر وابسته باشند.
3-تعیین کنید که چه کسی به داده ها دسترسی دارد
چه کسی در حال حاضر به هر نوع داده دسترسی دارد؟ این شامل ذینفعان درون سازمانی و همچنین گیرندگان شخص ثالث مانند ارائه دهندگان خدمات یا شرکا می شود. دانستن اینکه چه کسی دادهها را دریافت میکند یا به آنها دسترسی دارد و در کجا قرار دارند، بر اساس قوانینی است که در مورد دادهها و انتقالها آن ها در استراتژی حریم خصوصی در گام بالاتر وضع کرده اید تأثیر گذار خواهد بود. برخی از قوانین حفظ حریم خصوصی نیز ممکن است برای انتقال دادهها برون سازمانی/مرزی نیاز به محلیسازی دادهها یا پادمانهای فنی، سازمانی و قراردادی اضافی داشته باشند.
4-نحوه اجرای کنترل های حریم خصوصی را تعریف کنید
هنگامی که داده های خود را شناسایی و فهرست کردید، بهتر می توانید خط مشی ها و رویه های حفظ حریم خصوصی را با توجه به نیازهایتان سفارشی کنید. به عنوان مثال، می توانید از فهرست داده های شخصی خود برای راهنمایی مکان ها و نحوه اجرای درخواست موضوع داده/حقوق مصرف کننده و... استفاده کنید. درک و شناخت درست از کسب و کار، فناوریها و نمایه ریسک نیز میتواند به شما کمک کند تا با برنامه طراحی و روششناسی یک حریم خصوصی سفارشیسازی شده ایجاد کنید که کنترلهای حریم خصوصی را در مراحل اولیه چرخه عمر پروژه یا توسعه تعبیه میکند.
5-اجرای کنترل های فنی و سازمانی
استراتژی حفظ حریم خصوصی داده ها بر اجرای کنترل های امنیتی قوی متکی است. این شامل کنترلهای سازمانی یا برنامهای مانند خطمشیها، آموزش و آگاهی، طرحهای پاسخ به حادثه و خطمشیهای رمز عبور و همچنین کنترلهای فنی مانند: الگوهای رمزگذاری، ناشناسسازی(محرمانه سازی از قبیل استفاده از ساختارهایی مانند Block Chain)، احراز هویت چند عاملی(MFA:Multi-factor authentication) و تشخیص آسیبپذیری بهره جست. یکی از اقدامات حفاظتی مهم برای حفاظت از دادهها، پیشگیری از از دست دادن داده ها (DLP: Data loss prevention) است که از نشت غیرمجاز دادهها(DL: Data Leakage) در بیرون از سازمان جلوگیری میکند. پس از طبقه بندی داده ها، پیاده سازی فنی DLP می تواند سیاست هایی را برای هر لایه طبقه بندی ایجاد کند تا از اشتراک گذاری ناخواسته جلوگیری کند. پس از اجرا، به طور مستمر سیاست ها را نظارت و حفظ کنید تا با نیازهای تجاری و الزامات قانونی به روز بمانید
ز بمانید