GDPR uyumluluğuna giden yolda tamamlanması gereken uzun bir eylem listesinde, parola resetleme genelde programın en altına doğru görünür. Bunun yerine, tipik olarak veri sınıflandırma ve bilgi yönetim proses akışları gibi konulara odaklanılır. Bu vurguyu anlıyorum, ancak GDPR uyumluluğunu isteyen şirketler örgütlerini korumak için temel adımların bazılarını görmezden gelmemeli. 5. Maddede belirtildiği gibi – parolalar/şifreler- onları seversiniz veya nefret edersiniz – kurumların en önemli süreçlerini ve verilerini destekler ve kişisel verilere yetkisiz erişimi önler, GDPR’ın temel ilkesi (kişisel veriler ” yetkisiz veya yasadışı işleme karşı koruma da dahil olmak üzere kişisel verilerin uygun şekilde güvenliği “).
Nitekim GDPR’ın büyük bir kısmı temel güvenlik konusuyla ilgilidir. GDPR, güvenlik süreçleri ve teknolojileri konusunda çok kuralcı değildir ve şirketlerin kendi güvenlik mekanizmalarına karar vermelerine izin verir. Şirketler, uyumlu işlemleri belirlemek ve uyumluluğu desteklemek için teknik önlemleri uygulamakla yükümlüdür. Daha da önemlisi, şirketlerin buna itinaden iyi deneyimlenmiş uygulamalarla meşgul olduklarını kanıtlamaları gerekir. Peki password resetleme bu hedefe nasıl uyuyor.
GDPR’ın ana hedeflerinden biri, kuruluşları kişisel veri ihlallerini önlemeye teşvik etmektir. Ancak Verizon tarafından hazırlanan 2016 Veri İhlali Olay Raporu (DBIR), doğrulanmış veri ihlallerinin% 63’ünün zayıf, varsayılan veya çalınmış şifreleri içerdiğini belirtiyor. Parolalar mükemmel değildir ve zayıf yönleri belgelenmiştir. Bununla birlikte, bunlar ucuz, tanıdık ve kullanımı kolay oldukları için devam ediyor. Aslında, parolalarla ilişkili çoğu ihlal, parolalardaki zayıflığın kendisinden değil parola yönetiminin bir sonucudur.
Zayıf parola yönetimi süreçleri, veri ihlallerine neden olursa, ciddi sonuçlar doğurabilir. Ancak, GDPR ile uyumlu olmamak için bir veri ihlaline bile gerek yoktur: Zayıf bir süreç veya bir sürecin kanıt eksikliği aynı derecede GDPR uyumlu değildir. Zayıf parola yönetimi genellikle aşırı maliyet odaklı çalışmalardan kaynaklanır. Service Desk Institute’a göre, servis masalarının % 35’inde şifreleri sıfırlarken hiç kimlik doğrulama işlemi yapılmıyor. Bununla birlikte, GDPR’e göre, bu maliyet eşitsizliği, yüksek ceza ve kurallara uyulmaması nedeniyle alınan diğer yaptırımlar göz önüne alındığında değişmelidir. Daha az cezayla cezalandırmak için biraz daha harcayın.
Bir parolayı sıfırlamak için yardım masasını kullanmak sıkıcı olabilir ve bu nedenle son kullanıcılar kendi kendine hizmet(self-servis) yaklaşımını tercih eder. Ancak self servis parola resetleme işlemlerinin kullanıcı tarafından kabul oranları genellikle % 40’ın altındadır, çoğu kuruluş için ortalama % 20’dir. Self servis yaklaşımları başarısız olduğunda, ikinci bir kişi sözde desteklenen şifre sıfırlama sürecinde yer alır. Bu, ayrıcalıklı kullanıcının bazı kimlik bilgilerini kötüye kullanmasında önemli bir savunmasızlık getiriyor. Yetkisiz bir yöneticinin bir kullanıcının şifresini bilebileceğini kanıtlamanın kesin yolu yoktur.
FastPass çözümü, parola resetlemeyi kolaylaştırırken ikinci bir kişinin bir kullanıcının parolasını bilme olasılığını ortadan kaldırarak bu sorunu giderir. Yardımlı şifre sıfırlama işlemi, aynı zamanda kullanıcıları self servis sürecine yönlendirir, böylece self-servis kullanımı ve adaptasyonu artar. Self servis parola resetlemek için erdemli bir daire oluşturur.
GDPR şemasına göre şifre sıfırlamalarında bir uyum görevlisinin(compliance officer) endişeleri en aza indirilmelidir. Bu, bir denetçinin veya denetim otoritesinin not vermesinde dikkat çekici bir göstergedir. Ayrıca kimlik ve erişim denetimine ilişkin özenli bir yaklaşımı gösterir ve kişisel verilerin yetkisiz olarak işlenmesini veya bunlara erişilmesini önlemeye yardımcı olduğuna dair kanıtlara yardımcı olur.
Finn Jensen,
FastPass CEO