احتمالاً با چالش‌ های عبور از مرزهای بین‌ المللی آشنا هستید. مثلا مانند صف‌ های طولانی، محدودیت‌ ها در مقاصد، تأثیرات بر مجوزهای شغلی و تهدید جستجوهای تهاجمی. دولت ها باید به طور مستمر تنش بین محدود کردن جابجایی نامطلوب و به حداکثر رساندن نشاط اقتصادی را که می تواند از طریق تجارت بیشتر و سفر با عوامل مختلف ژئوپلیتیک دیگر به دست آورد، متعادل کنند.

در اقتصاد دیجیتال امروزی، این عمل متعادل کننده اکنون به کنترل جریان و ذخیره داده در آن سوی مرزها تغییر کرده است. یک روند قابل تشخیص وجود دارد، زیرا بیشتر اقامت داده ها، حاکمیت داده ها و الزامات محلی سازی داده ها در سراسر جهان پیشنهاد، تصویب و اجرا می شوند.

درک اقامت داده ها، حاکمیت و محلی سازی

قبل از پرداختن به مفاهیم این الزامات بر روی داده ها، بهتر است که تفاوت ها و شباهت های بین این سه الزام متمایز را درک کنیم.

1. اقامت داده ها

الزامات اقامت داده ها محل فیزیکی ذخیره و پردازش داده ها را تعیین می کند. اقامت داده اغلب یک الزام سیاست داخلی یا تعهد قراردادی است که مستقل از سایر الزامات نظارتی یا منبع داده ها به مشتریان ارائه می شود.

شرکت ها یا سازمان ها ممکن است به دلایل متعدد تصمیم بگیرند که تمام عملیات و داده های خود را در مکان های جغرافیایی خاص قرار دهند، اما معمولاً استفاده از مزایای مالیاتی خاص یا سایر مشوق های تجاری است.

حاکمیت داده

2. حاکمیت داده

الزامات حاکمیت داده شامل دستورات قانونی و مقرراتی است که برای اعمال کنترل توسط یک کشور یا منطقه بر داده های داخل مرزهایشان استفاده می شود. این دستورات به طور فزاینده ای به افراد قدرت می دهد تا کنترل بیشتری بر داده های خود اعمال کنند. شرکت ها ملزم به رعایت این مقررات بر اساس مکان داده ها هستند.

3. محلی سازی داده ها

الزامات بومی سازی داده ها معمولاً دستورات نظارتی هستند که ذخیره و پردازش داده ها را در کشور یا منطقه ای که ایجاد شده است، اعمال می کند. هنگام فعالیت در کشورها یا مناطق خاص، شرکت ها ملزم به رعایت این الزام برای همه داده ها هستند.

به طور خلاصه، محل اقامت داده ها ذخیره سازی و پردازش جغرافیایی مورد نظر داده ها را مشخص می کند، حاکمیت داده مربوط به حقوق و کنترل بر داده ها بر اساس صلاحیت ذخیره سازی و پردازش داده ها است و محلی سازی داده ها را موظف می کند که داده ها در یک مکان و حوزه قضایی خاص باقی بمانند.

این برای افسر ارشد امنیت اطلاعات به چه معناست؟

انطباق با نیاز به کنترل داده ها در نتیجه این الزامات نوظهور، به طور فزاینده ای در پای CISO (افسر ارشد امنیت اطلاعات) قرار می گیرد، که قبلاً وظیفه ایمن سازی و کنترل جریان داده ها در سراسر سازمان را بر عهده دارد.

افسر ارشد امنیت اطلاعات (CISO)

برای پیمایش موثر چالش‌ های تحمیل‌ شده توسط اقامت داده، حاکمیت داده‌ ها و بومی‌ سازی داده‌ ها، اکنون انتظار می‌ رود که افسر ارشد امنیت اطلاعات بداند چه داده‌ هایی در یک مرکز داده وجود دارد، کجا هستند و به کجا می‌ روند و بتوانند قوانین، مقررات و سیاست‌ های حفاظت از داده‌ ها را به کنترل‌ های امنیتی قابل اجرا تبدیل کنند.

حداقل، یک افسر ارشد امنیت اطلاعات باید بتواند رویکردی چند جانبه برای امنیت داده داشته باشند. این کار با طبقه‌ بندی و نقشه‌ برداری داده‌ های سازمان، شناسایی محل ذخیره و جریان داده‌ ها و شناسایی حساسیت، موقعیت جغرافیایی، الزامات قانونی و سایر نیازهای تجاری مرتبط با آن آغاز می‌ شود. این تمرین به شناسایی داده‌ هایی کمک می‌ کند که مستلزم اقامت داده‌ ها، حاکمیت یا اقدامات محلی‌ سازی خاص و اشخاص ثالثی هستند که در رسیدگی به داده‌ های سازمان دخیل هستند.

بر اساس فهرست داده‌ ها، سازمان‌ های دولتی باید تیم‌ های قانونی و انطباق خود را موظف کنند تا ارزیابی جامعی از قوانین، مقررات، سیاست‌ های دولتی و تعهدات قراردادی در قبال مشتریان در کشورهایی که داده‌ ها در آن‌ ها ذخیره یا پردازش می‌ شوند، به آنها ارائه دهند. آنها باید بر الزامات و محدودیت های اعمال شده توسط این حوزه های قضایی، از جمله هرگونه محدودیت انتقال داده یا قوانین اجباری محلی سازی داده تمرکز کنند.

با درک مفاهیم، افسران ارشد امنیت اطلاعات می توانند به سازمان های خود کمک کنند تا تصمیمات آگاهانه تری در مورد ذخیره سازی و پردازش داده ها اتخاذ کنند و همچنین از انطباق با مقررات و حفاظت از اطلاعات حساس اطمینان حاصل نمایند.

علاوه بر این، تیم های قانونی و انطباق باید بیشتر وظیفه ارزیابی قراردادهای پردازش داده های موجود با فروشندگان و شرکای درگیر در رسیدگی به داده های سازمان را داشته باشند. اطمینان حاصل کنید که این توافق نامه ها با الزامات اقامت داده ها و حاکمیت داده ها، تشریح مسئولیت ها، اقدامات امنیتی و محدودیت های دسترسی و انتقال داده ها مطابقت دارند.

مهمتر از همه، امنیت و حفاظت از داده ها در محدوده باید ارزیابی و اصلاح شود تا خطر دسترسی غیرمجاز، تخریب و تغییر داده ها، علاوه بر مسائل مربوط به انطباق شناسایی شده، کاهش یابد.

این مراحل ساده و قابل دستیابی به نظر می رسند، اما بدون دید و ابزار مناسب برای ارائه دید دقیق مورد نیاز، سازمان های چند ملیتی ممکن است برای اثبات توانایی خود برای برآورده کردن تعداد فزاینده الزامات اقامت، حاکمیت و بومی سازی داده ها که با آن مواجه می شوند مبارزه کنند.

بنابراین جای تعجب نیست که افسر ارشد امنیت اطلاعات به طور فزاینده ای به ابزارهای داده محور مانند مدیریت وضعیت امنیت داده روی می آورد تا درک خود را تقویت کند، دسترسی را نظارت کند و تغییرات داده ها را در محیط خود مشاهده کند. بدون داده‌ های مبتنی بر شواهد برای نشان دادن کنترل دقیق آنها بر داده‌ ها، او می‌ داند که همگام شدن با مقررات دشوار خواهد بود.