وقتی صحبت از امنیت نرم افزار و مسائل مربوط به حریم خصوصی می شود، نایل براون و رایان تیلور دو تا از درگیرترین حرفه ای هایی هستند که پیدا خواهید کرد. نایل مدیر ارشد امنیت اطلاعات در Domo است. رایان مدیر ارشد حریم خصوصی و حفاظت از داده های شرکت است.
همانطور که پذیرش دیجیتال گسترده تر می شود و صحبت در مورد نظارت نظارتی بیشتر در ایالات متحده بلندتر می شود، من نظرات آنها را در مورد طیف وسیعی از مسائل پیرامون این موضوع مهم برای همه مشاغل، به ویژه برای سازمان های بزرگ جهانی دریافت کردم.
س: بزرگترین چالش های مدیریت داده پیش روی سازمان های بزرگی که در سرتاسر جهان تجارت می کنند چیست؟
رایان: سازمانهای بزرگ جهانی هنوز با چالش بزرگی در تلاش برای درک اینکه چه دادههایی واقعاً به سازمانشان مرتبط است، کجا آن دادهها قرار دارند، چگونه آنها را تمیز کنند تا قابل اعتماد باشد، و چگونه آنها را گرد هم بیاورند، برای ایجاد یک دید دقیق از سازمانی که افراد مناسب بتوانند در زمان مناسب از آن برای اتخاذ تصمیمات تجاری خوب استفاده کنند.
آنها همچنین با همگام شدن با چهره همیشه در حال تغییر قانون حفظ حریم خصوصی به چالش کشیده می شوند. در ایالات متحده، سازمانها تلاش میکنند تا مفاهیم قانون حفظ حریم خصوصی مصرفکننده کالیفرنیا (CCPA) را که از اول ژانویه اجرایی میشود، درک کنند. در اروپا، سازمان ها همچنان در حال بهبود انطباق خود با مقررات عمومی حفاظت از داده ها (GDPR) هستند. و در برخی از بخشهای منطقه آسیا و اقیانوسیه، شرکتها در تلاش هستند تا آخرین بهروزرسانیهای قوانین حریم خصوصی و امنیتی را جذب کنند.
سپس یک چالش سوم وجود دارد: چگونه می توان ارزش به دست آمده از داده های بزرگ را به حداکثر رساند و در عین حال از حقوق افراد در مورد داده های شخصی آنها محافظت کرد. هر سازمانی متفاوت است، تعادل زیادی برای به دست آوردن این درست لازم است و قطعاً برای اکثر، اگر نگوییم همه، سازمان های بزرگ جهانی، کاری در حال پیشرفت است.
س: شانزده ماه پس از معرفی GDPR در اروپا، بزرگترین تغییراتی که در نحوه مدیریت داده های سازمان های بزرگ مشاهده کرده اید، چیست؟ مثبت بودند؟
NIALL: قبل از GDPR، بسیاری از شرکتها رویکردی را برای حفظ حریم خصوصی دادهها اتخاذ کردند. در حالی که آنها ممکن است بتوانند کادر مربوط به یک کنترل حریم خصوصی داده خاص را بررسی کنند، اما مطمئن نبودند که چگونه این کنترل واقعاً اجرا شده است. این منجر به یک مدل سوئیسی از حریم خصوصی دادهها با شکافهای زیادی در کنترل شده و تیمهای داخلی مطمئن نیستند که چه کاری انجام دهند. GDPR و جریمههای مربوط به آن منجر به این شده است که شرکتها در حال حاضر حریم خصوصی دادهها را به جای وعدههای آینده در اولویت قرار دهند.
رایان: از زمانی که GDPR اجرایی شد، شرکتها زمان و تلاش قابل توجهی را صرف بررسی شیوههای جمعآوری و مدیریت دادههای خود کردهاند و تلاش میکنند تا در سیاستها و شیوههای خود منافع افراد در رابطه با دادههای شخصیشان را بهتر منعکس کنند. این پیشرفت به شکل شفافیت و ارتباطات بیشتر است که امکان انتخاب فردی و شیوه های مدیریت داده سنجیده تر را به طور کلی فراهم می کند.
س: حتی سازمان های بزرگ جهانی با چالش های ذاتی فناوری اطلاعات و مدیریت داده ها مواجه هستند. آیا فکر می کنید این یک روند رایج در سازمان های سازمانی است که سیستم های قدیمی دارند؟ برای بهتر شدن چه کاری می توانستند انجام دهند؟
NIALL: برای اینکه حریم خصوصی داده ها موثر باشد، باید از بیانیه های انتزاعی در خط مشی های خوانده نشده به بخشی از اکوسیستم یک شرکت حرکت کند. مشکل این است که ابزارهای قدیمی اغلب از کنترل های دسترسی به حریم خصوصی داده های مورد نیاز برای محافظت از داده های کاربر در این دنیای جدید GDPR پشتیبانی نمی کنند. بهینه سازی این میراث قدیمی، ابزارهای داخلی در بهترین حالت بسیار نیازمند منابع هستند. سازمان ها به داده های خود در پلتفرم هایی نیاز دارند که با در نظر گرفتن حریم خصوصی داده ها طراحی شده اند. در غیر این صورت رها شده و مشمول جریمه های قابل توجهی خواهند شد.
س: وقتی صحبت از ایمن نگه داشتن داده های مشتری می شود، سازمان ها چگونه می توانند اطمینان حاصل کنند که هیچ پایگاه داده ای در معرض دید نیست مگر اینکه سیستم های امنیتی به روز باشند؟
NIALL: سازمان ها باید امنیت و حریم خصوصی را در عملکردهای تجاری خود ایجاد کنند. در سطح عملی، این بدان معناست که ارزیابیهای تاثیر حریم خصوصی (PIA) باید برای یک تغییر مهم، مانند اجرای یک ابزار، پلتفرم یا فرآیند داده جدید تکمیل شود.
رایان: بزرگترین مشکلی که منجر به حوادث مربوط به افشا یا سوء استفاده از داده های محرمانه مشتری می شود، خطای انسانی است. همه سازمانها باید اطمینان حاصل کنند که خطمشیها و رویههای مربوط به استفاده صحیح و اشتراکگذاری دادهها بهروز بوده و منعکسکننده آخرین الزامات قانونی است. هنگامی که یک سازمان سیاست های درستی را در پیش گرفت، باید با انجام آموزش های منظم حفظ حریم خصوصی و امنیت برای کارکنان، تامین کنندگان و شرکای خود، این خبر را منتشر کند.
س: فقدان حاکمیت داده می تواند منجر به تجزیه و تحلیل پنهان شود، جایی که کارمندان امور را به دست خود می گیرند و داده ها را به خارج از سیستم های تأیید شده برای تجزیه و تحلیل می کشند. این تهدیدات متعددی را از منظر امنیت سایبری گرفته تا مجموعه دادههای چندگانه و قدیمی ایجاد میکند. چه نوع فناوری هایی می توانند به سازمان ها در مدیریت این امر کمک کنند؟
رایان: این یک مشکل بسیار واقعی است. همه کارمندان برای موفقیت در نقش خود به اطلاعات نیاز دارند، اما بسیاری برای یافتن و دسترسی به داده های مرتبط با مشکل مواجه هستند. این اغلب ناشی از ترس است. بدون سیاستها و رویههای روشن و بدون فناوری قابل اعتماد برای تسهیل، افراد مسئول این دادهها از قضاوت در مورد اینکه چه کسی به آنها دسترسی دارد و چگونه آنها را ارائه میکند میترسند، بنابراین به سادگی آنها را قفل میکنند. این کار باعث میشود تا کارمندانی که به دادهها نیاز دارند، اطلاعات را از راه دیگری دریافت کنند. فناوری هایی که امکان به اشتراک گذاری داده ها را بر اساس سیاست های مشخص شده فراهم می کنند، می توانند راه طولانی را در جهت حل این ترس ها و توانمندسازی افراد با اطلاعات مورد نیازشان پیش ببرند.
س: ارائه سلف سرویس Domo چگونه به به حداقل رساندن تهدیدها و خطرات امنیت سایبری برای داده های حساس مشتری کمک می کند؟
NIALL: Domo انتقال دادههای مشتری را از صفحات گسترده ناامن و پایگاههای داده یکباره به یک پلت فرم داده مرکزی و قابل ممیزی که برای برآورده کردن الزامات GDPR طراحی شده است را امکانپذیر میسازد. مشتریان اکنون یک مکان مرکزی برای مدیریت چرخه عمر دادههای خود و الزامات دسترسی در انطباق کامل با الزامات جهانی حریم خصوصی دادهها، از جمله GDPR دارند.
رایان: داده های یک سازمان در پلتفرم Domo تحت استانداردهای امنیتی سختگیرانه محافظت می شود. Domo چندین ممیزی امنیتی، ارزیابی و الزامات انطباق، از جمله تست نفوذ مستقل شبکه ها و سیستم های شخص ثالث را انجام می دهد. Domo همچنین گواهینامه ISO/IEC 27001 و ISO/IEC 27018 را دریافت کرده است. علاوه بر این، Domo عملکرد امنیتی سلف سرویس را ارائه می دهد که مشتریان می توانند از آن برای پوشش دادن ویژگی های امنیتی مانند ورود به سیستم واحد، احراز هویت چند عاملی و مدیریت کلید مشتری استفاده کنند. برای رمزگذاری هر لایه حفاظتی اضافی که توسط مشتریان Domo استفاده می شود گام دیگری در جهت کاهش خطر دسترسی غیرمجاز شخص ثالث است.
س: مقررات جدید داده ها (مانند GDPR) و تغییر قوانین کوکی کاربر چالش ها و فرصت هایی را در بخش حریم خصوصی داده ها ایجاد کرده است. با توجه به اهمیت فزاینده انطباق، Domo چگونه از پلتفرم خود برای حفظ امنیت و سازگاری مشتریان خود استفاده می کند؟
NIALL: Domo یک پلتفرم داده طراحی شده است تا مشتریان را قادر سازد تا نیازهای جهانی حریم خصوصی داده خود را برآورده کنند. مشتریان Domo شامل 40٪ از شرکت های Fortune 50 هستند. ما این کار را با ارائه قابلیتهای سلف سرویس در پلتفرم به مشتریان انجام میدهیم تا بتوانند چرخه عمر دادههای خود را بهطور ایمن مدیریت کنند.
رایان: هنگامی که دادهها در پلتفرم قرار گرفتند، کنترلکنندههای داده میتوانند سیاستهای دسترسی مبتنی بر فناوری را از طریق مجوزهای دادهای سفارشیشده مطابق با خطمشیها و رویههای سازمان خود اعمال کنند. به عبارت دیگر، آنها میتوانند از پلتفرم Domo برای اجرای سیاستهای سازمان حاکم بر آن دادهها استفاده کنند، حتی اگر این سیاستها در مناطق مختلف متفاوت باشد. پلتفرم Domo به کنترلرهای داده این امکان را می دهد تا دسترسی و استفاده از داده های سازمان را مدیریت کنند و در عین حال خطرات مرتبط با چنین دسترسی و استفاده را به گونه ای کاهش دهند که با فروشگاه ها و فناوری های مختلف داده های جداگانه امکان پذیر نباشد. پلتفرم Domo مدیریت داده ها را در مقیاس، از سیاست های جهانی گرفته تا دسترسی خاص توسط افراد، امکان پذیر می کند.
س: در حال حاضر بزرگترین روند در کلان داده و حریم خصوصی چیست؟ آنها در 3-5 سال آینده چگونه توسعه خواهند یافت؟
NIALL: معمای این است که الزامات حفظ حریم خصوصی دادهها سختتر میشود، دادههای بیشتری ایجاد میشود و افراد بیشتری در آینده به آن دادهها دسترسی خواهند داشت. اگر داده ها در صفحات گسترده، ایمیل ها و ابزارهای قدیمی باقی بمانند، نمی توان راه حلی به دست آورد. راه حل این است که ذخیره سازی و مدیریت این داده ها را متمرکز کنیم تا امکان دسترسی بیدرنگ فراهم شود و در عین حال اطمینان حاصل شود که الزامات حریم خصوصی داده ها را می توان برآورده کرد. کسانی که این درس را به سرعت یاد نگیرند با مسیر دشواری برای تبدیل داده ها روبرو خواهند شد.
رایان: یک روند فعلی واقعا جالب در کلان داده و حریم خصوصی، استفاده از داده ها در هوش مصنوعی و یادگیری ماشین است. با هوش مصنوعی و ML، داده ها – اغلب به شکل داده های شخصی – برای ایجاد بینش منحصر به فرد و تأثیرگذاری بر تصمیم گیری ماشین تجزیه و تحلیل می شوند. یکی از ملاحظات کلیدی در هوش مصنوعی میزان تضاد استفاده از داده های شخصی برای ایجاد بینش یا تصمیم گیری سیستمی با حق افراد برای کنترل اطلاعات شخصی خود است. در حال حاضر سوالات بیش از پاسخ وجود دارد. البته طی 3 تا 5 سال آینده، ما همچنان شاهد پیشرفت در استفاده از هوش مصنوعی خواهیم بود. در همان زمان، من انتظار دارم که ببینم دولتها و تنظیمکنندهها مرزهای مشخصتری را در مورد اخلاق دادههای هوش مصنوعی و حریم خصوصی ایجاد میکنند. امیدواریم مقررات و قوانین آتی در سراسر جهان سازگار باشد.
س: آیا فکر می کنید فناوری به طور کلی به سرعت به اندازه کافی برای مدیریت حجم جدید داده ها و رعایت مقررات حفظ حریم خصوصی پیشرفت می کند؟ یا اینکه پلتفرمها و سازمانها باید سختتر برای مدیریت آنها تلاش کنند؟
نایل: این یک مشکل فناوری نیست. بسیاری از پلتفرمهای داده مرکزی مورد نیاز برای برآورده کردن این الزامات سختگیرانه حفظ حریم خصوصی دادهها از قبل وجود دارند. اکنون سازمان ها باید تصمیمات تجاری لازم را برای محافظت از داده های مشتریان خود و حفظ شهرت آنها اتخاذ کنند.
رایان: من فکر می کنم که فناوری و قوانین حفظ حریم خصوصی احتمالاً همیشه کمی از داده های تولید شده پیروی می کنند. ایجاد داده آسان است. درک اینکه وقتی داده ها را در اختیار داریم می توان چه کاری انجام داد دشوار است. و حتی درک آن سخت تر است دقیقا وقتی داده ها را در اختیار داریم با آنها چه کنیم. سازمانها همیشه تلاش میکنند تا با حجم جدید دادههای در دسترس خود هماهنگ باشند.