البيانات تُولّد النمو، والأهم من ذلك، الابتكار. كيف يُحقق الذكاء الاصطناعي التوليدي كل هذه الإنجازات؟ إنها البيانات - جوهرة التاج - التي تجعل الآلات تتحدث لغة البشر، ولكن بطريقة أكثر ذكاءً.
لكن عندما تُترك البيانات دون تدقيق، فإنها قد تُشكّل مخاطر جسيمة على المؤسسات. وتشير الدراسات إلى أن العديد من الشركات الكبيرة تُنفق ما يصل إلى 34 مليون دولار على بيانات زائدة عن الحاجة، أو قديمة، أو غير مهمة، والتي يُمكن حذفها بأمان.
لا تقتصر تكلفة البيانات التجارية غير المفيدة على الأموال فقط، بل إنها تعرض المؤسسات لخطر عدم الكفاءة التشغيلية، والوصول غير المصرح به، واختراقات البيانات ، والعقوبات القانونية، لا سيما بسبب الاحتفاظ بالبيانات لفترات طويلة.
تتجه المؤسسات الآن من نهج "جمع كل شيء" إلى نهج استباقي أكثر، أي تقليل البيانات، لمواجهة هذا التحدي. ولا يقتصر هذا النهج على تقليل بيانات ROT فحسب.
تابع القراءة لمعرفة المزيد عن بيانات ROT وكيف يساعد تقليل البيانات في القضاء على ROT لتقليل مساحة الهجوم والتكلفة.
لماذا يجب أن يكون العفن مصدر قلق للشركات؟
يُعد تقليل بيانات ROT أمرًا بالغ الأهمية للشركات التي تهدف إلى تعزيز وضع أمن البيانات لديها وتبسيط ممارسات إدارة البيانات.
يشير اختصار (ROT) إلى البيانات الزائدة والقديمة والتافهة. وتُعرّف هذه البيانات بأنها أي معلومة تستمر المؤسسات في الاحتفاظ بها حتى بعد انتهاء الغرض منها أو فقدانها لأي قيمة تشغيلية أو قانونية. ولتوضيح الأمر، تشير التقديرات إلى أن أكثر من ثلث البيانات التي تخزنها المؤسسات إما بيانات غير مستخدمة أو بيانات زائدة وقديمة.
قد تكون البيانات غير المُستغلة مفيدة للمؤسسة، لكنها لم تُستغل بكامل طاقتها في أي عملية صنع قرار أو مهمة تشغيلية. ويُطلق عليها اسم "البيانات غير المُستغلة" لأن المؤسسة لا تعرف ماهية المعلومات الموجودة في بيئتها.
[تنزيل الرسم البياني] اكتشاف البيانات المظلمة - خطر أمني وخصوصية خفي
أما فيما يتعلق بمصطلح ROT، فهو يشير إلى:
البيانات الزائدة : عندما يُذكر مصطلح البيانات الزائدة، يُشير إلى البيانات المستخدمة لأغراض النسخ الاحتياطي أو الاستعادة. مع ذلك، فهي ليست بيانات زائدة لأنها مفيدة. يشير حرف "R" في مصطلح "ROT" إلى تكرار البيانات غير الضروري أو عديم الفائدة. يُعدّ التكرار أحد الأسباب الرئيسية لتراكم البيانات الزائدة في بيئة المؤسسة.
أحد الأمثلة على البيانات الزائدة هو دليل الموظف الذي قد يوجد في أدلة مختلفة عبر خادم الشركة.
البيانات القديمة : تُراكم المؤسسات البيانات بمرور الوقت، وتحتفظ حتى بالبيانات الأقدم لاستخدامها لاحقًا، مثل الامتثال أو التدقيق. ومع ذلك، تميل معظم البيانات إلى فقدان قيمتها بمرور الوقت. لذا، تُسمى البيانات التي لم تعد مطلوبة أو التي تم استبدالها بنسخة محدثة بالبيانات القديمة.
تخيل أن شركة تصنيع تحتفظ ببعض تصاميم المنتجات التي لم تعد تنتجها. قد يؤدي حذف التصاميم القديمة غير المطلوبة إلى توفير مساحة تخزين.
البيانات التافهة : كما يوحي الاسم، تُسمى أي معلومة لا قيمة لها بالنسبة للعمل بالبيانات التافهة. على سبيل المثال، يمكن اعتبار ملاحظات العصف الذهني أو جلسات تبادل الأفكار غير الرسمية التي لم تعد مطلوبة بيانات تافهة.
فهم مخاطر الاحتفاظ بالبيانات غير المستخدمة
لا تتراكم بيانات ROT في بيئة المؤسسة بين عشية وضحاها، بل تتراكم في مكان ما في قواعد البيانات أو خوادم البيانات المحلية أو التخزين السحابي بمرور الوقت، وذلك بافتراض أن "البيانات قد تكون مفيدة في المستقبل". ومع ذلك، من الضروري إدراك أن الاحتفاظ ببيانات ROT يضر بالشركات من نواحٍ عديدة.
- المخاطر الأمنية : عندما تُراكم المؤسسات بيانات غير ضرورية، فإنها تُعرّض أنظمتها لهجمات إلكترونية. عادةً ما تُخزّن البيانات غير الضرورية على خوادم غير مراقبة وغير آمنة. ولكن، إذا احتوت هذه البيانات على معلومات حساسة، مثل بيانات اعتماد موظفين سابقين قديمة، فقد يؤدي ذلك إلى عواقب وخيمة، مثل الوصول غير المصرح به.
بحسب المنظمة، قد تكون تكلفة الاختراق ضئيلة، لكن تكلفة تشويه سمعة السوق وتدهور ثقة العملاء قد تكون كبيرة إلى حد ما.
- المخاطر التنظيمية : تشير الدراسات إلى أن أكثر من 75% من السجلات التي تحتوي على معلومات تعريفية شخصية (PII) يتم الاحتفاظ بها لفترات أطول من اللازم. من الناحية القانونية، تشير فترة الاحتفاظ إلى المدة الزمنية المحددة المسموح للشركات بالاحتفاظ بالبيانات خلالها. وبمجرد انتهاء فترة الاحتفاظ، يجب التخلص من البيانات أو إخفاء هوية أصحابها.
يُعدّ الاحتفاظ بالبيانات أحد الأحكام الأساسية في العديد من قوانين data privacy حول العالم . فعلى سبيل المثال، تنصّ اللائحة العامة لحماية البيانات (GDPR) الصادرة عن الاتحاد الأوروبي على إلزام المؤسسات بحذف البيانات الشخصية التي استُنفدت أغراضها ولم تعد هناك حاجة إليها. وتوجد أحكام مماثلة للاحتفاظ بالبيانات في قوانين الخصوصية الأمريكية، مثل قانون حقوق خصوصية المستهلك ( CPRA ).
وبالمثل، يتضمن قانون قابلية نقل التأمين الصحي والمساءلة ( HIPAA ) سياسة للاحتفاظ بالبيانات. ويشترط هذا القانون ألا تُحفظ المعلومات الصحية الشخصية للفرد ( PHI ) لأكثر من ست سنوات.
- المخاطر التشغيلية : عندما تمتلك المؤسسات كميات كبيرة من البيانات المخزنة في بيئتها، يصبح من الصعب عليها اكتشافها وتحديدها وتحليلها. كما أن زيادة حجم البيانات تعني الحاجة إلى مزيد من الوقت والموارد لمعالجتها وتحليلها.
- مخاطر التكلفة : تنفق المؤسسات ما يصل إلى 34 مليون دولار على الاحتفاظ ببيانات غير ضرورية. قد يشمل ذلك تكاليف التخزين والإدارة وحماية البيانات، مما يُثقل كاهل ميزانيات المؤسسات ومواردها بشكل كبير. على سبيل المثال، تحتاج المؤسسات إلى مساحة تخزين لحفظ البيانات، سواءً كانت محلية أو سحابية. وبالتالي، مع ازدياد حجم البيانات، تزداد نفقات التخزين.
ينطوي الاختراق عن بُعد أيضًا على مخاطر عالية فيما يتعلق بأمن البيانات. ووفقًا لدراسة عالمية، من المتوقع أن تنفق المؤسسات مبلغًا ضخمًا قدره 1.30 تريليون جنيه إسترليني على الأمن السيبراني بحلول عام 2025. وتتطلب حماية البيانات استخدام العديد من أدوات الأمان، مثل DSPM فيما يتعلق بأمن البيانات، وCSPM لأمن الحوسبة السحابية، وما إلى ذلك. عندما تحتفظ المؤسسات ببيانات غير ضرورية، فإن مبلغًا غير ضروري من التكاليف يذهب أيضًا لحمايتها وإدارتها.
تؤكد هذه المخاطر على أهمية تبني استراتيجية فعّالة لتقليل البيانات. فمن خلال تقليل البيانات غير الضرورية بشكل استباقي، تستطيع المؤسسات تقليص نطاق الهجمات الإلكترونية، وتبسيط جهود الامتثال، وتركيز مواردها وتكاليفها على إدارة البيانات المطلوبة فقط.
ROT Data Minimization - عنصر أساسي في الامتثال و Data Security Posture Management
يواجه متخصصو الأمن السيبراني تحديات جمة، تبدأ جميعها بنقص فهم طبيعة البيانات الموجودة في بيئة العمل ومواقعها. فعندما تُراكم المؤسسات كميات هائلة من البيانات بشكل عشوائي، يصعب على فرق الأمن اكتشاف هذه البيانات وإدارتها وحمايتها.
نظراً لوجود البيانات بكميات كبيرة وبصيغ مختلفة، تتزايد المخاطر الأمنية، مما يفتح ثغرات أمنية أمام هجمات البرمجيات الخبيثة ، وهجمات برامج الفدية، والتهديدات الداخلية، والوصول غير المصرح به، واختراقات البيانات. ويمكن التعامل مع هذا الوضع على أفضل وجه من خلال استراتيجية لتقليل حجم البيانات.
في أبسط تعريفاته، يقتصر مفهوم تقليل البيانات على جمع البيانات وتخزينها وتحليلها ومعالجتها بما هو ضروري أو مفيد. وينبغي التخلص من البيانات غير المفيدة أو التي لم تعد تخدم أي غرض. ومع ذلك، قد تظهر اختلافات في بعض الجوانب عند دراسة هذا المصطلح من منظورين منفصلين: الأمن والخصوصية.
تقليل البيانات و Data Privacy
يُحدد شرط تقليل البيانات في معظم بنود القانون. data privacy توجد قوانين في جميع أنحاء العالم. خذ على سبيل المثال اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (EU GDPR) .
بموجب المادة 5 من اللائحة، يتعين على المنظمات الالتزام بستة مبادئ لمعالجة البيانات الشخصية. ومن بين هذه المبادئ الستة، يتناول بندان صراحةً مسألة تقليل البيانات والاحتفاظ بها.
" البيانات الشخصية هي:
- كافية وذات صلة ومقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها ('تقليل البيانات')؛
- يتم الاحتفاظ بها بشكل يسمح بتحديد هوية أصحاب البيانات لفترة لا تتجاوز المدة اللازمة للأغراض التي تتم معالجة البيانات الشخصية من أجلها... (تقييد التخزين).
وبالمثل، يحظر قانون حقوق الخصوصية في كاليفورنيا (CPRA) بالولايات المتحدة الأمريكية على الشركات جمع البيانات التي أدت الغرض منها ولم تعد مطلوبة. وتنص المادة 1789.100 على أن "جمع الشركات لمعلومات المستهلك الشخصية واستخدامها والاحتفاظ بها ومشاركتها يجب أن يكون ضروريًا ومعقولًا ومتناسبًا لتحقيق الأغراض التي جُمعت أو عُولجت من أجلها هذه المعلومات".
في مجال الخصوصية، يبدأ تقليل البيانات في وقت مبكر جدًا أثناء جمعها. فهو يساعد المؤسسات على تبسيط إدارة بياناتها وجهودها في مجال الامتثال من خلال تحديد أغراض واضحة ووضع سياسات للاحتفاظ بالبيانات ومشاركتها.
تقليل البيانات وأمن البيانات
تقليدياً، يُنظر إلى تقليل حجم البيانات على أنه عنصر أساسي في data privacy وممارسات إدارة البيانات المسؤولة. ومع ذلك، يمكن اعتبار تقليل حجم البيانات أيضاً ضرورة حاسمة في مكافحة التهديدات السيبرانية المتزايدة باستمرار.
في سياق الأمن السيبراني، يُقصد بتقليل البيانات، أو تقليصها، تحديد البيانات غير الضرورية وتقليلها، وتطبيق سياسات وضوابط الاحتفاظ بها. ومن خلال حصر البيانات بما هو ضروري لتحقيق أهداف العمل، يُسهم تقليل البيانات في الحد من نقاط الضعف المحتملة التي قد تؤدي إلى الوصول غير المصرح به أو إساءة استخدام البيانات الحساسة.
ازدادت أهمية تقليل البيانات مع ظهور تقنيات جديدة، وما يصاحبها من ظهور نقاط ضعف جديدة. خذ على سبيل المثال الذكاء الاصطناعي التوليدي (GenAI) . فقد أدت هذه التقنية الثورية إلى ظهور مخاطر جديدة في مجال الأمن السيبراني، والتي قد تؤدي، في حال عدم التعامل معها بشكل مناسب، إلى اختراقات للبيانات ، وخسائر مالية، وفقدان ثقة العملاء.
تعتمد هذه الاستراتيجية مفهوم الجودة على الكمية. يُسهم هذا النهج في تبسيط جهود إدارة البيانات والحد من آثارها التي قد تجذب الجهات الخبيثة. وإلى جانب تقليل المخاطر، يُساعد هذا النهج أيضًا في تقليل الجهود الأمنية، ما يعني عددًا أقل من أنظمة البيانات التي تتطلب مراقبة أمنية، وبيانات أقل لتصنيفها، والاستغناء عن إدارة الوصول إلى تلك الأنظمة.
على الصعيد المالي، يُسهم تقليل البيانات بشكل كبير في توفير التكاليف. خذ على سبيل المثال بيئات الحوسبة السحابية المتعددة. يُساعد تقليل البيانات المؤسسات على خفض نفقات التخزين، فكلما قلّت البيانات، قلّت مساحة التخزين المطلوبة. وبالمثل، ROT data minimization كما أنه يقلل من التعقيد الذي يتعين على المؤسسات عادةً التعامل معه فيما يتعلق بنقل البيانات وقابلية التشغيل البيني.
تحقيق تقليل البيانات باستخدام Securiti Data Security Posture Management
اكتشف البيانات الزائدة والقديمة والتافهة (ROT) وقللها مع تقليل فقدان البيانات العرضي إلى أدنى حد ممكن Data Security Posture Management - وحدة متكاملة ضمن Securiti Data Command Center .
ال Data Command Center يُمكّن المؤسسات من اكتشاف جميع أصول البيانات الأصلية والظلالية وتصنيف البيانات الحساسة بدقة، مما يُمكّن الفرق من تشغيل استراتيجية تقليل البيانات بكفاءة.
إليك كيفية Data Command Center يساعدك على تبسيط جهودك لتقليل البيانات:
- تتراوح نسبة البيانات المظلمة، بما في ذلك البيانات غير المستخدمة، بين 40% و90% من بيانات المؤسسة. وتوجد هذه البيانات في كل من أصول البيانات الأصلية والبيانات الظلية. Securiti يساعدك على اكتشاف وحصر أصول البيانات الأصلية والظلالية عبر بيئة (بيئات) الشركة.
- ينبغي أن يتبع اكتشاف البيانات الحساسة وتصنيفها عملية اكتشاف أصول البيانات. يجب أن تمتلك المؤسسات رؤية شاملة لبيئة البيانات بأكملها. Securiti تُمكّن هذه التقنية المؤسسات من اكتشاف جميع البيانات في بيئتها، وتصنيفها ووضع علامات عليها بناءً على حساسيتها، واستخدامها في الأعمال، وقيمتها المحتملة. والهدف من الاكتشاف والتصنيف هو فهم قيمة البيانات، وحساسيتها، والمخاطر المحتملة التي قد تنطوي عليها.
- يلي ذلك تحديد البيانات المكررة، والتي تُشكل جزءًا كبيرًا من بيانات ROT. ومن التقنيات الفعّالة التي يُمكن للفرق استخدامها هنا تحليل التجميع. تُستخدم هذه التقنية غالبًا في تنظيف البيانات و data quality ممارسات التحسين. يستفيد تحليل التجميع من قياسات التشابه وخوارزميات التجميع لتجميع نقاط البيانات المتشابهة لاكتشاف البيانات المكررة. تهدف هذه العملية إلى تقليل الحجم الإجمالي لبيانات ROT والاحتفاظ فقط بالمعلومات الفريدة.
- يُعدّ تقليل البيانات المُحتفظ بها لفترة أطول من اللازم جزءًا مهمًا آخر من بيانات ROT التي تحتاج المؤسسات إلى تقليصها. فمن خلال توحيد الرؤى التنظيمية والتصنيف، تستطيع المؤسسات اكتشاف البيانات التي تجاوزت فترة الاحتفاظ بها ووضع علامات عليها. ويؤدي تقليل هذه البيانات إلى خفض المخاطر المحتملة والحدّ من عدم الامتثال.
- يمكن تحديد البيانات التافهة من خلال النظر إلى أنظمة البيانات والملفات التي لم يتم الوصول إليها أو تعديلها منذ فترة طويلة.
- بمجرد تحديد بيانات ROT، تأتي خطوة المعالجة. ولتقليل هذه البيانات، يمكن معالجتها من خلال ممارسات مثل حذف البيانات، أو عزلها، أو تفويضها.
- الحذف - عند التأكد من عدم الحاجة إلى البيانات.
- تفويض - لشخص آخر / مسؤول عن البيانات يمكنه أن يقرر ما إذا كان سيتم حذف البيانات أم لا.
- الحجر الصحي - قد يتم الاحتفاظ بالبيانات بأمان حتى يحدد مسؤول البيانات خطوات المعالجة المناسبة.
هل ترغب بمعرفة المزيد؟ اطلب عرضًا تجريبيًا الآن لتتعرف على كيفية ذلك. Securiti يمكن أن يساعدك ذلك في تقليل بيانات ROT لتعزيز حماية البيانات.
