Geçen hafta meslektaşım Mark Cassetta, veri sınıflandırmasının bilgi sınıflandırmasını ve korunmasını kolaylaştırmak için nasıl bir araç olarak kullanılabileceğini anlattı. Bu hafta kategorizasyonun nasıl uygulanabileceğini göstermek için bu kavramı genişletmek istiyorum. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) sadece 12 ay uzaklıktadır. Bununla birlikte, GDPR’dan etkilenen kuruluşların sadece yüzde 10’u düzenlemeye (Osterman Research) uymak için “tamamen hazır” olduklarını bildiriyor, kategorizasyonun kullanımını vurgulamanın harika bir örnek olacağı düşünülüyor.
GDPR’in temel amacı, AB sakinleri hakkında hassas kişisel bilgileri kontrol eden veya işleyen herhangi bir kuruluşun verileri de doğru bir şekilde koruduğundan emin olmaktır. Aslında kuruluşlar, veri korumasının veri iş akışına ve süreçlerine temel bir tasarım boyutu olduğunu göstermelidir.
Peki, bu kuruluş nereden başlamalı?
Herhangi bir veri koruma projesi için başlamaları gereken yerle aynı yerden; Söz konusu hassas verileri bulmaları ve açıkça tanımlamaları gerekir. GDPR, her bireyin, kişisel bilgilerin bulunduğu dosyaların konumunu bilmek, görmek, düzenlemek, taşımak veya verilerin silinmesini talep edebilmesini emrediyor.
Sistemleri, ilkeleri, prosedürleri ve kişileri hizalamak için çok az zaman ayırarak, ayrıntılı bir veri sınıflandırma şeması uygulamak pratik değildir – bu iyi! Müşterilerimizle yine de “emekle, yürü, koş” yaklaşımını tercih ediyoruz. Öncelikle, birincil kullanım durumunu (“emekle”) çözmelerine yardımcı oluruz ve bu ilk adımdan memnun olduklarında, diğer iş akışı, güvenlik ve uygunluk engellerini çözmek için sınıflandırma kullanımlarını genişletiriz. GDPR uyumluluğu aşamasını belirlemek için (ve otomatik sınıflandırma pratik değilse),basitçe kullanıcılarına, üstünde çalıştıkları verilerin kişisel olarak tanımlanabilir bilgiler (PII) içerdiğini sorun: Evet veya Hayır.
Bu kadar. Sadece bir soru.
Kullanıcı için basit bir görev, GDPR uyumuna temel bileşen sağlar. Veriler belirlendikten sonra, işletme genelinde uyum politikaları oluşturulmalıdır. TITUS politikaları, kullanıcıların hatalar yapmalarını önlemeye yardımcı olur, ancak sınıflandırma meta verileri, DLP, şifreleme, kayıt yönetimi, raporlama ve içeriden öğrenme tehdidi algılama ve benzeri gibi mevcut veri güvenliği ekosisteminizi de güçlendirebilir. Örneğin, “Evet” cevabı, bilginin paylaşılma şeklini otomatik olarak sınırlandırabilir veya şifrelemeyi tetikleyebilir. Diğer verilerinizin güvenlik sistemlerini, bir kullanıcının “Evet” cevabını verdiklerinde uygun bir şekilde okumalarını ve tepki vermelerini sağlayarak, kuruluşunuzun iş akışı ve veri güvenliği süreçlerine kişisel bilgi veri koruması tasarladınız demektir.
Osterman Research’e göre, örgütlerin sadece% 27’si kayıtları uygun bir şekilde sınıflandırabileceklerine veya işleme sınırlamaları için işaretleyebileceklerine güveniyor. Geriye kalan% 73’ün bir parçasıysanız, TITUS yardımcı olabilir.