Unter BigIDeas für unterwegsOmkhar Arasaratnam, Engineering Director für Cloud-Sicherheit bei Google, gibt Einblicke in seine Karriere im Bereich Sicherheit und Finanzdienstleistungen, spricht über das Zusammenspiel von Datenschutz und Sicherheit und äußert seine Gedanken zur Cloud-Migration in Finanzdienstleistungen.
Vom „Sicherheitsbug“ befallen
Arasaratnam beschreibt seine Karriere als „Tech-Sandwich“, das ihn von IBM, wo er als Penetrationstester tätig war, in den Finanzsektor und zurück in die Technologiebranche bei Google führte, wo er derzeit Software-Kontrollen für Kunden auf der Google Cloud Platform (GCP) entwickelt. Dazwischen leitete er Sicherheitsingenieurteams bei der TD Bank, der Deutschen Bank, der Credit Suisse und JP Morgan.
Regulierungen im Finanzdienstleistungssektor – Eine Evolution der Rechte
Zu Beginn von Arasaratnams Karriere waren die Reaktionen der Unternehmen auf Vorschriften wie die Gramm-Leach-Bliley-Gesetz (GLBA) und Sarbanes-Oxley Act (SOX) konzentrierten sich auf „die Integrität der Kontrollen im Hinblick auf die Finanzberichterstattung … und aus diesem Grund wurde ein Großteil der Verantwortung dem CFO übertragen.“
Arasaratnam beobachtete während seiner Tätigkeit im europäischen Bankensystem ein anderes Bild. „Gegen Ende der 2010er Jahre schlugen sie eine etwas andere Richtung ein und legten viel stärker Wert auf Datenschutz. Der Finanzsektor begann, sich stärker um den Umgang mit den personenbezogenen Daten seiner Kunden und Mitarbeiter zu kümmern.“
Jetzt, Jahre später, der sich entwickelnde Zustand von Datenrechte beeinflusst Banken und andere Organisationen im Finanzdienstleistungssektor weiter. „Im Inland warten wir alle darauf, wie die neue Regierung den Datenschutz auf Bundesebene gestalten wird – und wir sehen bereits viele Änderungen in Bezug auf CCPA [das California Consumer Privacy Act]“, sagt Arasaratnam.
„Es verändert die Sichtweise des Finanzsektors im Hinblick auf den Umgang mit personenbezogenen Daten. Wir gingen fast davon aus, dass bestimmte Informationen im Finanzsektor genutzt werden könnten, um Marketing, Targeting und ähnliches zu verbessern. Aufgrund von Vorschriften wie GDPR, wie CCPA, die Einstellung dazu ändert sich stark.“
Die Schnittstelle zwischen Datenschutz und Datenschutz
Datenschutzmaßnahmen, von der Maskierung von Daten bis hin zur Zugriffsbeschränkung, müssen zunehmend Hand in Hand mit Datenschutzgrundsätzen wie „Nicht verkaufen“ und „Nicht übertragen“ gehen – und diese Abstimmung kann ein kompliziertes Zusammenspiel darstellen.
„Wir werden uns immer mehr auf die Technologie verlassen müssen“, sagt Arasaratnam. „Nicht ein einzelner Mensch oder eine ganze Gruppe von Menschen wird diese Entscheidungen treffen.“ Die Realität ist, dass „die Wahlfreiheit der Menschen – die Autonomie, die sie sich wünschen, um mitzubestimmen, was mit ihren PII – verkörpert tatsächlich einen Großteil der Datenschutzgesetze, die wir heute sehen.“
Arasaratnam zitiert die Weisheit von Dr. Ann Cavoukian – der Begründerin von Privacy by Design – und beschreibt Datenschutz folgendermaßen: „Sie als Individuum haben die Autonomie, eine informierte Einwilligung darüber zu geben, was mit Ihren personenbezogenen Daten geschehen soll.“ Vertraulichkeit hingegen „bedeutet letztlich die Schutzmaßnahmen oder Kontrollen, die wir einrichten, falls Sie diese nicht preisgeben möchten.“
Arasaratnam meint beispielsweise: „Wenn ich Ihnen und den Hörern dieses Podcasts freiwillig mitteilen würde, dass ich Asthma habe, wäre das meine Entscheidung. Ich möchte jedoch nicht, dass diese Entscheidung für mich getroffen wird.“
Heutzutage gibt es viele Unternehmen, die auf der Idee basieren, Anzeigen gezielter auszurichten und Verbrauchern maßgeschneiderte Inhalte basierend auf den durch die Verarbeitung personenbezogener Daten gewonnenen Erkenntnissen über ihre Präferenzen bereitzustellen. Ich denke, das wird mit der Zeit immer interessanter. Da es immer mehr informierte Einwilligungen gibt, könnten sich die Verhaltensmuster der Menschen leicht ändern. Aus Sicht des Finanzsektors bedeutet das auch, dass sich einige Bereiche, die bisher monetarisiert wurden, ebenfalls verändern könnten.
Möglichkeiten zur Migration in die Cloud im FinServ
Während Finanzdienstleister typischerweise als zögerlich gelten, ihre Daten in die WolkeArasaratnam hat eine andere Interpretation.
Ich denke, viele Unternehmen im Finanzsektor sehen die Cloud-Migration als Chance. Es ist sehr einfach, parallel auf Veränderungen aufzuspringen. Wenn ich meine Anwendung umgestalten möchte, bietet die Migration in die Cloud eine hervorragende Möglichkeit. Und wenn ich meine Anwendung so umgestalten möchte, dass sie bessere Datenschutzkontrollen ermöglicht, ist das ein Weg, den viele Unternehmen im Finanzsektor beschreiten.
Aus Arasaratnams Sicht ist es eine Frage darwinistischer Logik und des Überlebens des Stärkeren. „Diejenigen, die sich schneller entwickeln und sich an diese neuen Veränderungen und Impulse anpassen – und vielleicht sogar andere Wege finden, ihre Marke durch verbesserten Datenschutz und mehr Autonomie für die Kunden zu differenzieren – werden letztendlich die Marktführer sein.“
Den gesamten Podcast anhören um herauszufinden, wie sich Finanzorganisationen nach Ansicht von Arasaratnam weiterentwickeln werden, um neuen Vorschriften gerecht zu werden – und um herauszufinden, auf welche einzigartige Weise er seinen digital geprägten Kindern die Bedeutung von Datenschutz und Sicherheitskompetenz vermittelt.
Autor
