روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بسیاری از مناطق جهان اکنون قوانین محلی را در مورد پردازش و ذخیره اطلاعات شخصی قابل‌شناسایی (PII[1]) تتنظیم کرده‌اند. تازه بدان GDPR (مقررات عمومی حفاظت از داده اتحادیه اروپا) را هم اضافه کنید که هر شرکتی که داده‌های ساکنین اتحادیه اروپا را مدیریت می‌کند باید از آن پیروی نماید. سازمان‌های بزرگ برای رعایت همه این قوانین و رگولاسیون‌ها استراتژی‌های نسبتاً روشنی دارند. معمولاً آن‌ها به کارمند (افسر حفاظت داده یا همان DPO) مسئولیت اطمینان از رعایت از قوانین پردازش داده‌های شخصی را می‌دهند و بودجه‌های قابل‌ملاحظه‌ای را برای ایجاد و تنظیم رگولاسیون داخلی و انجام ممیزی‌های منظم اختصاص می‌دهند. با این حال کمبود منابع می‌تواند این انطباق و همکاری را برای سازمان‌های کوچک سخت کند. در ادامه با ما همراه شوید تا توضیح دهیم کارمندان سازمانی باید چطور PII را پردازش کنند.

عامل انسانی

بیشتر مشکل‌ها به همان کارمندان که عوامل انسانی هستند برمی‌گردد. همه کارمندان هم احتیاط نمی‌کنند و ممکن است آنقدری در پردازش اطلاعات شخصی مردم رعایت و احتیاط به خرج ندهند. این بی‌احتیاطی می‌تواند در نهایت به افشای اطلاعات ناخواسته منجر شود. سناریویی رایج: کارمندانی که در روز با PII سر و کار دارند و اسکن‌های حاوی داده‌های شخصی را در محیط مشترک سازمانی ذخیره می‌کنند. اگر از آن‌ها بپرسید می‌گویند آپلود صرف داده در وان‌درایو شرکت یا دایرکتوری‌های شیرپوینت که خطری ندارد. اما بگذارید واضح بگوییم: این اقدامات داده‌ها را برای همکارانی که ممکن است به درستی آموزش ندیدند قابل‌دسترسی می‌کند و بعدها همین باعث افشای اطلاعاتی می‌شود. بدین‌منظور است که می‌گوییم چنین افرادی نباید دسترسی داشته باشند. مشکل فقط این نیست که چنین کارمندانی لزوماً باعث نشت اطلاعات می‌شوند. حتی فکر اینکه دسترسی به اطلاعات محرمانه یا بسیار مهم ندارند هم ممکن است باعث شود به طور تصادفی لپ‌تاپ‌شان را هر از چند گاهی در معرض قرار دهند. افزون بر این، اگر سازمانی رخداد نشت داده‌ای را تجربه کند، ممیزی می‌بایست روی پردازش داده‌هایش و نیز اقدامات ذخیره‌ای‌اش انجام گیرد.

نحوه کاهش میزان ریسک فرود داده‌های شخصی به دسترسی مشترک

راحت‌ترین روش دور نگه داشتن داده‌های شخصی از ذخیره‌گاه مشترک این است که چک کنید ببینید کارمندان برای انتقال چنین داده‌هایی از ابزارهای مشارکتی تجاری استفاده می‌کنند یا خیر. شما می‌بایست دقیق درک کنید کدام کارمندان دست به اشتراک‌گذاری زده‌اند و آیا لینک‌هایی را با کسی خارج از سازمان Share کرده‌اند یا نه. در تئوری، برای انجام این کار به راهکار جداگانه DLP دارید اما همه کسب و کارها هم برای چنین کاری به حد کافی منابع در اختیار ندارند. اما یک جایگزین وجود دارد. قابلیت Data Discovery در جدیدترین راهکار ما یعنی Kaspersky Endpoint Security Cloud بهترین گزینه برای هر سازمانی است که برای مشارکت از سرویس‌های Microsoft 365 استفاده می‌کند. Data Discovery فایل‌های حاوی PII یا داده‌های کارت بانکی را شناسایی کرده، موقعیت مکانی آن‌ها را به وضوح نشان داده و زمینه اضافی ارائه می‌دهد (مستقل از اینکه آیا داده‌های در فرمتی ساختارمند یا غیرساختارمند ذخیره شده است یا نه). گرچه این قابلیت در حال حاضر تنها در فرمت داکیومنت‌های آلمان، ایتالیا و آمریکا کار می‌کند اما همچنان در حال ارتقا و بسط کارایی آن هستیم. همچنین انتظار داریم این محصول شناسایی داکیومنت‌های سایر کشوها را نیز در آینده‌ی نزدیک پشتیبانی کند.

 نظارت روی ابزارهای مشارکتی جایگزین

می‌دانیم که ممکن است کارمندان برخی‌اوقات پیشروی کرده و اطلاعات مهم سازمانی را در سرویس‌های کلود طرف‌سوم آپلود کنند. به بیانی دیگر، آن‌ها ممکن است داده‌ها را در جاهایی و با ابزارهایی ذخیره کنند که تیم آی‌تی و امنیتی‌شان هیچ نظارتی روی آن‌ها ندارند. از این رو توصیه می‌کنیم ابتدا به روشنی برای کارمندان خود توضیح دهید که نباید از سرویس‌های کلود طرف‌سوم برای داده‌های محرمانه یا حساس استفاده کنند. سپس کاربرد همه سرویس‌های کلود را تحت نظارت قرار داده و در صورت لزوم آن‌ها را بلاک کنید. قابلیت دیگر  Kaspersky Endpoint Security Cloud که Cloud Discovery نام دارد نیز می‌تواند کمک زیادی کند. دو قابلیت Cloud Discovery و Data Discovery می‌توانند مکمل مکانیزم‌های استاندارد محافظتیِ راهکار ما باشند. بنابراین نه تنها شرکت‌ها در برابر تهدیدهای سایبری خارجی محافظت می‌شوند که همچنین پیروی از قوانین و رگولاسیون‌های محافظت داده‌های شخصی نیز راحت‌تر می‌شود.

[1] personally identifiable information

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.