PII ٹول fragmentation compliance آڈٹ میں ناکام ہوتی ہے

آڈٹرز PII controls کے بارے میں کیا پوچھتے ہیں

GDPR اور ISO 27001 آڈٹرز ایک معیاری سوال پوچھتے ہیں۔ "PII anonymization کے لیے آپ کے پاس کیا controls ہیں؟"

وہ ایک واضح جواب چاہتے ہیں۔ ایک control۔ ہر بار یکساں طور پر لاگو۔ دستاویزات اور ثبوت کے ساتھ۔

خطرناک جواب اس طرح لگتا ہے: "یہ context پر منحصر ہے۔ web browsing کے لیے Chrome Extension۔ قانونی دستاویزات کے لیے Word macro۔ bulk files کے لیے Python script۔ urgent درخواستوں کے لیے web app۔"

یہ جواب follow-up سوالات کو trigger کرتا ہے۔ "ان ٹولز کے درمیان coverage gaps کیا ہیں؟ audit trail کہاں ہے؟"

Fragmented tooling ان سوالوں کا جواب نہیں دے سکتی۔ یہی compliance مسئلہ ہے۔

Coverage Consistency کا مسئلہ

مختلف PII ٹولز مختلف detection methods استعمال کرتے ہیں۔ ان کے نتائج مختلف ہوتے ہیں — کبھی کبھی بہت زیادہ۔

Regex-only ٹولز مقررہ patterns تلاش کرتے ہیں۔ SSN format۔ ای میل format۔ credit card format۔ وہ NER-based entities چھوڑ دیتے ہیں۔ شخص کے نام اور غیر امریکی formats undetected رہتے ہیں۔

NER-only ٹولز trained models استعمال کر کے entity types detect کرتے ہیں۔ وہ pattern-based entities چھوڑ دیتے ہیں۔ IBANs اور custom identifiers گر جاتے ہیں اگر وہ training data میں نہیں ہیں۔

ہر ٹول کے entity coverage مختلف ہیں۔ ہر ٹول کے confidence thresholds مختلف ہیں۔ Tool A اور Tool C کے ذریعے ایک ہی دستاویز مختلف نتائج دے سکتی ہے۔

یہ ایک براہ راست compliance gap بناتا ہے۔ Tool A PDFs کے لیے استعمال ہوتا ہے۔ Tool B Excel کے لیے۔ Tool A تاریخ پیدائش detect کرتا ہے۔ Tool B نہیں کرتا۔ ایک ہی شخص کی تاریخ پیدائش PDFs میں anonymize ہوتی ہے لیکن Excel files میں exposed ہے۔

گیپ file format پر منحصر ہے — پالیسی پر نہیں۔ ارادے پر نہیں۔

DPA investigators breach inquiry میں یہ gap تلاش کر سکتے ہیں۔ Tool inconsistency exposure میں ایک عنصر بن جاتی ہے۔ GDPR Article 32 منظم تکنیکی اقدامات کا تقاضہ کرتا ہے۔

Audit Trail کا مسئلہ

Compliance کے لیے consistent control استعمال کے ثبوت کی ضرورت ہے۔ PII anonymization کے لیے، یہ ثبوت audit trail ہے۔

چار ٹولز چار مختلف log formats پیدا کرتے ہیں۔ کچھ کوئی log بالکل نہیں بناتے۔

ایک Word macro کوئی audit record نہیں بناتا۔ ایک Python script ایک local file میں لکھ سکتا ہے۔ وہ فائل آپ کے compliance system سے linked نہیں ہے۔ ایک Chrome Extension browser-side logs لکھ سکتا ہے۔ وہ logs compliance جائزے کے لیے قابل رسائی نہیں ہیں۔

جب DPA investigation audit ثبوت مانگے، تو ایک جواب کام کرتا ہے۔ یہ ایک centralized log ہے۔ یہ تمام platforms پر تمام anonymization processing کا احاطہ کرتا ہے۔

دوسرا جواب کام نہیں کرتا۔ developer کی local machine پر Word macro کے logs کافی نہیں ہیں۔

Single-platform processing ایک audit trail ممکن بناتی ہے۔ Fragmented tooling اسے ناممکن بناتی ہے۔

Configuration Drift کا مسئلہ

وقت کے ساتھ، مختلف ٹولز مختلف configurations بناتے ہیں۔ یہ آہستہ اور بغیر کسی انتباہ کے ہوتا ہے۔

ایک عام pattern پر غور کریں۔ Chrome Extension کو custom entity types کے ساتھ اپ ڈیٹ کیا جاتا ہے۔ Python script اپ ڈیٹ نہیں ہوتی۔ Word macro کو ایک team member نے set up کیا تھا جو اب چلے گئے ہیں۔ کوئی موجودہ settings نہیں جانتا۔ Web app preset contractor names exclude کرنے کے لیے بدلتا ہے۔ وہ تبدیلی دوسرے ٹولز تک نہیں پہنچتی۔

ایک ٹول کو بغیر دوسروں کو اپ ڈیٹ کیے اپ ڈیٹ کرنا drift پیدا کرتا ہے۔ وقت کے ساتھ، drift gaps پیدا کرتی ہے۔

ISO 27001 آڈٹرز configuration documentation مانگتے ہیں۔ "ہمارے پاس چار ٹولز، چار configs ہیں، اور ہمیں یقین نہیں کہ وہ current ہیں" ایک اچھا جواب نہیں ہے۔ ISO/IEC 27001:2022 Annex A 8.11 (Data masking) documented، consistent controls کا تقاضہ کرتا ہے۔

عملی ISO 27001 Finding

15 افراد کی ایک compliance firm چار ٹولز استعمال کرتی تھی۔ آنلائن ڈیٹا کے لیے web scraper۔ bulk files کے لیے Windows desktop ٹول۔ قانونی دستاویزات کے لیے Word macro۔ AI ٹولز کے لیے Chrome Extension۔

ایک ISO 27001 آڈٹ نے ایک finding پیدا کی۔ platforms پر مختلف detection نتائج۔ کوئی centralized audit trail نہیں۔ Annex A 8.11 میں gap۔ control کو consistently applied نہیں دکھایا گیا۔

finding کے لیے corrective action plan ضروری تھا۔ corrective action platform consolidation تھا۔

consolidation کے بعد، firm کے پاس تمام چار platforms پر ایک detection engine تھا۔ ہر context میں یکساں presets لاگو تھے۔ تمام processing ایک جگہ log ہوتی تھی۔ ISO 27001 finding اگلے آڈٹ میں بند ہو گئی۔

پروجیکٹ میں چھ ہفتے لگے۔ اس نے 12 صفحات کے corrective action response کو ایک بند finding سے بدل دیا۔

Compliance Narrative Test

کیا آپ یہ چار سوالات بلا جھجھک جواب دے سکتے ہیں؟

1. آپ کی team استعمال کرنے والے ہر platform پر کون سے entity types detect ہوتے ہیں؟
2. تمام platforms پر consistently ہر entity type کے لیے detection threshold کیا ہے؟
3. گزشتہ 12 مہینوں میں تمام anonymization کا centralized audit trail کہاں ہے؟
4. آپ config تبدیلیوں کو تمام platforms پر کیسے یقینی بناتے ہیں؟

اگر کوئی سوال ہچکچاہٹ پیدا کرے، تو fragmentation compliance خطرہ پیدا کر رہی ہے۔

چاروں سوالوں کا صاف جواب قابل حصول ہے۔ اس کے لیے تمام platforms پر ایک engine کی ضرورت ہے۔ اس کے بغیر، ہر ٹول اپنا coverage gap بناتا ہے۔ اپنا audit trail silo۔ اپنی config drift۔

آڈٹرز یہ gaps دیکھتے ہیں۔ DPA investigators انہیں exploit کر سکتے ہیں۔ آڈٹ finding سے پہلے consolidate کرنا اس کے بعد کرنے سے کہیں آسان ہے۔

ذرائع

• ISO/IEC 27001:2022 Annex A 8.11: Data Masking
• GDPR Article 32: Security of Processing
• GDPR Article 5(2): Accountability Principle