Son yirmi yılda veri ihlallerinin sıklığı ve büyüklüğü artıyor. Aslında Kimlik Hırsızlığı Kaynak Merkezi (ITRC), 2005 ile 2020 yılları arasında yalnızca ABD’deki veri ihlali olaylarının 57’den 1001’in üzerine çıktığını ve 2023’ün ilk yarısındaki toplamın şu anda 1393 olduğunu tespit etti.
Gizlilik koruma düzenlemeleri, Avrupalı ve ABD federal yasa koyucularının bu ihlallere yanıt vermek için kullandığı birincil mekanizmadır. Gizlilik filtrelerine yönelik bu düzenleyici yanıt, devlet kurumlarına, politika yapıcılara, kamu otoritelerine, denetleyici otoritelere ve en sonunda gizlilik ve veri koruma girişimlerinin mevzuata uygunluk gereklilikleri olarak yansıtıcı bir şekilde şekillendirildiği kuruluşların kendilerine kadar uzanır.
Gizliliğe yönelik düzenleme odaklı bu yaklaşımın zorluklarını ele alalım:
Hız – ya da daha spesifik olarak hız eksikliği
Mevzuat genellikle tepkiseldir ve yürürlüğe girdiğinde teknolojinin gerisinde kalır.
Örneğin, Genel Veri Koruma Yönetmeliği (GDPR), 2016 yılında Avrupa Birliği (AB) tarafından onaylanıp iki yıl sonra yürürlüğe girmeden önce dört yıldır tartışılıyordu. GDPR, IoT cihazlarına izin verilmesi, LLM’ler kullanılarak silinme hakkının kullanılmasıyla ilgili sorunlar, dijital etik, veri yönetimi gibi on yıl önce çok fazla mevcut olmayan zorlukları ele almaya çalışırken, artık kendimizi GDPR’nin yanı sıra bir dizi düzenlemeyle de karşı karşıya buluyoruz. ve benzeri.
Veri ihlallerinin artan maliyeti
Bir veri ihlalinin ortalama maliyeti 2020’de 3,86 milyon dolardan %15,3 arttı. 2023’te 4,45 milyon dolar.
Düzenleyici odak, potansiyeli gözden kaçırıyor iş liderleri ve gizlilik liderleri için gizliliği hem pazarda farklılaştırıcı hem de rekabet avantajı olarak kullanmak.
Bu neden önemli? İş dünyası ve gizlilik liderleri, bir uyumluluk sorunu olarak gizliliğe odaklandıklarında, gizlilik faaliyetlerinin, içinde faaliyet gösterdikleri ekonomi, çevre ve toplum da dahil olmak üzere geniş paydaş topluluğu üzerindeki gerçek etkisini anlamama riskiyle karşı karşıya kalırlar.
Bu nedenle kuruluşlar farkında olmadan kendi pazarlarını ve geniş paydaş topluluklarını (örneğin yatırımcılar, düzenleyiciler, denetleyici otoriteler, politika yapıcılar, savunuculuk grupları, STK’lar ve en önemlisi tüketiciler) olumsuz yönde etkileyen gizlilik girişimleri yürütüyor olabilir. Daha da kötüsü, bu toplulukları olumlu yönde etkileyecek faaliyetler yürütme fırsatlarını kaçırıyor olabilirler.
Gizlilik hakkında düşünmenin yeni bir yolu
Güçlü bir uyumluluk ve yönetim stratejisi uygulayarak verilerimizi daha iyi tanır, kullanımını en üst düzeye çıkarır, iş riskini azaltır, saklamayı (ve dolayısıyla olası veri kaybını) en aza indirir ve cezalardan kaçınırız.
Bu uyumluluğu, genellikle aşağıdakilerin bir kısmının veya tamamının uygulamaya konmasından oluşan gizlilik yönetimi programlarımız aracılığıyla sağlıyoruz:
- Üst düzey yönetim için kabul edilebilir gizlilik risk iştahı düzeyini belirleyen kurumsal bir yapı. Gizlilik riski yönetimi çerçevesi şunları içerir: risk kaydı
- Politikaları ve prosedürleri içeren bir gizlilik yönetim sistemi
- Belgelenen ve iletilen bir dizi gizlilik rolü, sorumluluk ve sorumluluk
- Devam eden bir gizlilik farkındalığı programı
- Bir gizlilik uyumluluğu izleme çerçevesi (gizlilik yasalarının devam eden bir değerlendirmesi).
- Gizlilik olaylarına müdahale planı
Uyumluluğun hedef olduğu bu “yönetim” yaklaşımını benimsemek yerine, farklı gizlilik girişimlerinin daha geniş ekonomi, çevre ve kuruluşların faaliyet gösterdiği toplum üzerindeki uzun vadeli, daha sürdürülebilir etkisine de odaklansak ne olur?
Gizliliğin çevresel, sosyal ve yönetişim (ESG) gündemine dahil edilmesi
Siber ve gizlilik endüstrisindeki birçok kişi için ESG terimlerinin çoğu zaman biraz “yoğun” görünebileceğinin farkındayım. Ancak gizlilik alanında ESG oldukça açıktır ve önemi giderek artmaktadır.
Gizliliğin sürece katılımı Yönetim ÇSY ile ilgili endişeler son on yılda yavaş yavaş ortaya çıktı. 2012 yılında gizlilik yönetimine ilişkin ilk önlemler ESG raporlama ölçümlerinde (örneğin, Küresel Raporlama Girişimi) ortaya çıktı. Gizlilik yönetişimi geleneksel olarak BT yönetişimi veya kurumsal yönetişim çerçeveleriyle birleştirilmiştir, ancak son zamanlarda çeşitli gizliliğe özgü çerçeveler ve standartlar ortaya çıkmaktadır (örneğin, ISO 27701, NIST Gizlilik Çerçevesi).
Gizliliğin dahil edilmesi çevresel ÇSY endişeleri nispeten yeni bir gelişmedir. BT perspektifinden bakıldığında birçok kuruluş, veri merkezlerinin, ofislerinin ve sunucu çiftliklerinin inşası ve/veya işletilmesiyle ilgili olarak nasıl enerji tasarrufu yapabileceklerini araştırıyor.
Ancak son zamanlarda işverenler, her gün işe gidip gelen çalışan sayısını azalttığı ve çalışanların egzersiz yapmak, ders çalışmak veya vakit geçirmek için daha fazla zamana sahip olmasını sağladığı için, kirliliği azaltan ve sağlığı geliştiren bir yöntem olarak tam veya kısmi evden çalışma pozisyonlarını şekillendirmeye başladı. aileleriyle birlikte.
Bunlar gizliliğe özgü olmasa da, veri yönetimi teknolojisi gelişmeye devam ettikçe şirketlerin elektronik atıklar ve özellikle veri saklama konusunda gizlilik uygulamaları için daha çevre dostu seçeneklere sahip olmaları muhtemeldir.
Gizlilik ve güvenlik ekipleri, hibrit ve uzaktan çalışma modellerinin uygulanması gibi kurumsal girişimlerle yoğun olarak ilgilenmektedir ve bu girişimlere katılımları izlenmeli, takip edilmeli ve raporlanmalıdır.
Gizliliğin sürece katılımı sosyal ESG’nin endişeleri, Kurumsal Sosyal Sorumluluk (KSS) gibi on yılı aşkın bir süredir iyice yerleşmiştir.
KSS girişimleri artan tüketici güveniyle ilişkili olduğundan, bir gizlilik stratejisi oluştururken gizliliğe özgü KSS faaliyetleri son derece önemlidir. Tüketici güvenindeki %1’lik bir artışın şirket değerinde yaklaşık %3’lük bir artışla sonuçlandığı tespit edildiğinden bu önemlidir.
Gizliliğe özgü bazı KSS girişimleri, rekabet avantajı sağlayabilir, risk yönetimini iyileştirebilir, yeniliği teşvik edebilir, finansal performansı artırabilir, müşteri sadakati oluşturabilir ve çalışanların ilgisini çekebilir/ilgilendirebilir. Yatırımcılar, yatırım kararlarını bildirmek için kuruluşların mali olmayan açıklamalarını (sürdürülebilirlik raporları gibi) giderek daha fazla kullandıklarından, bu faaliyetler aynı zamanda yatırımcıların da ilgisini çekmektedir.
Örnek olarak, yapay zeka için halka açık kılavuzlar yayınlayan bir kuruluşu düşünün. Bu sosyal motivasyonlu gizlilik faaliyetinin kurumsal itibarı ve tüketici güvenini artırması muhtemeldir. Başka bir örneği düşünün: Veri sahibi haklarının genişletilmesi için lobi faaliyeti yürüten bir kuruluş. Böyle bir girişim, yardımseverliğin sinyalini verecek ve böylece tüketici güveninin artmasını sağlayacaktır. Sosyal motivasyonlu gizlilik girişimleri de izlenmeli ve kurumsal yayınlarda raporlanmalıdır.
Çözüm
Gizlilik girişimlerini ESG programlarına dahil eden bir kuruluş, çeşitli şekillerde fayda sağlayabilir.
Birincisi, tüketiciler ve çalışanlar, kuruluşun yürüttüğü gizlilik girişimleri hakkında fikir sahibi olabilir ve böylece güven ve itimat artar.
İkincisi, yatırımcılar, bir kuruluşun değerini değerlendirirken, FTSE 4 İyi endeksi gibi endekslerin de yaptığı gibi, bu faaliyetleri dikkate alır ve dahil ederler.
Üçüncüsü, gizlilik girişimlerinin bir ESG yayınında sunulması, gizlilik ekibinin ve liderinin çalışmalarını daha geniş bir kitleye, özellikle de genellikle bu raporları okuyan yönetim kuruluna ulaştırır.
Dördüncüsü, bazı ülkelerde bu tür raporlama zorunludur ve bu nedenle gizlilik girişimlerinin bu şekilde raporlanması başlı başına bir uyum faaliyetidir.
Son olarak, kurumsal mahremiyet uyumluluğu artık amaç olmaktan ziyade temel haline geldiğinden, toplum daha etkili mahremiyetten faydalanıyor.
