2018 verilerinizi sevmeye başlayacağınız yıl olacak

Avrupa Birliği’nde faaliyette bulunan şirketlerin dijital verilerini saklamalarına ve güvende tutmalarına yönelik hazırlanmış olan GDPR yönetmeliği, Mayıs 2018’de yürürlüğe girecek. Buna ek olarak Türkiye’de de 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte yerli işletmelerin müşteri, çalışan ve diğer verileri nasıl saklayacakları, hangi şartlarda saklamaya devam edecekleri ve gerektiğinde nasıl imha etmeleri gerektiğine ilişkin bir dizi tanım yapıldı. Bu yasalar ciddi müeyyideleri olduğu için işletmeler, yasalara uyumluluk çerçevesinde hızlı adım atmalılar. Oracle Genel Müdürü ve Başkan Yardımcısı Filiz Doğan ile, işletmelerin atması gereken adımları konuştuk.

Dijital veriler günümüzde işletmeler için ne anlama geliyor?

Sizce yeterince önem veriliyor mu? Uzun bir süredir ‘bilgi, güçtür’ deniliyor ama bu ifade günümüz işletmeleri için hiç bugünkü kadar uygun olmamıştı. İşletmelerin sahip oldukları bilgiler, müşterilerine daha da yakınlaşabilmek ve verileri daha akıllı bir şekilde analiz ederek kendi iş süreçlerini iyileştirebilmek için aradıkları temel bir farklılaştırıcı unsurdur. Veriler gittikçe daha değerli bir varlık halini alırken topladıkları ve oluşturdukları verilerden azami faydayı en iyi şekilde elde edebilen işletmeler de başarıya giden yolda oldukça güçlü bir konumda yer alırlar. Ama yine de en azından uyumluluk ve güvenlik konularında olmak üzere, üstesinden gelinmesi gereken bazı önemli engeller de var. Veriler gittikçe daha değerli bir hal alırken bu verilerin nasıl toplandığı, saklandığı ve kullanıldığının yanısıra bu verilere kimin, ne zaman ve nerede erişebileceğine dair denetimler de sıkılaşıyor. Bir yandan dünyanın dört bir yanında tüm sektörlerde manşetleri süsleyen veri ihlalleri, herkesi veri ihlallerinin işletmeler ve müşterileri üzerindeki olumsuz etkileri konusunda diken üstünde bırakıyor olsa da kuruluşların verilerini güvenli tutmalarını gerektirecek birçok özendirici neden de mevcut. Kuruluşlar verileri değerli olduğundan ve işletmelerinin geleceğini temsil ettiğinden güvenli tutmalılar. Verilerini sevmeli ve verilerini güvenli tutmayı angarya olarak görmemelidirler. Her bir kuruluş, kendi bünyesindeki süreçlerin, verilen eğitimlerin ve kurumsal kültürünün, verilerinin değerini takdir etmeye ve bu değere saygı duymaya odaklanmasını sağlamalıdır. Ayrıca kuruluş içinde, bilgi güvenliği yöneticisi (CISO) ile birlikte çalışan bir veri koruma sorumlusu (DPO) ile verilerin sahipliği de açık bir şekilde belirlenmelidir. Ancak tüm bu külfetin sebebi, sorumlu ve geleceğini düşünen kuruluşların verilerini doğru seviyede koruyabilmek için neye ihtiyaç duyduklarını belirleme çabasıyla sınırlı değil. Hükümetler ve kanun koyucular da her geçen gün yeni standartlar belirlemekte ve mevcut standartları daha da sıkılaştırmakta.

Peki işletmeler bu zorunluluğa nasıl yaklaşıyorlar?

GDPR esasen değerlendirme, önleme ve tespit çalışmalarına odaklanıyor ve bu çalışmalar da her bir işletmenin verilerini korumak ve verilerini sorumlu bir şekilde ele almak için harekete geçmesi gereken başlangıç noktaları.

Değerlendirme: Değerlendirme oldukça önemlidir. Kuruluşların birçoğu parça parça büyüdüğünden bünyelerindeki işletme birimleri de kendi uygulama ve süreçlerini hayata geçirerek izole bir şekilde çalışırlar. Benzer şekilde bazı vmantıklı gelen ama veri koruma ve uyumluluğu zorunluluklarını göz ardı eder şekilde kural ve politikaların etrafından dolaşarak hareket edebilir. Kuruluşların, bu gibi sorunları daha ortaya çıkmadan önce tespit edip doğru bir şekilde görebilmeleri gerekir.

Önleme: Kuruluşlar, verilerinin nerelerde tutulduğunu ve nasıl kullanıldığını bildiklerinde bu verilerde yetkisiz işlemler yapılmasını engelleyecek kuralları belirlemeli ve bunlara uymalı ve güçlü savunma mekanizmalarını hayata geçirmelidir. Bunlara, ister yanlışlıkla isterse de kasıtlı olsun, kuruluş içinden ve dışından gelebilecek tehlikelere karşı alınan korunma önlemleri de dahildir. Bir sonraki adım ise kuruluş dışından herhangi birinin veya yeterli erişim hakkına sahip olmayan herhangi birinin hassas verileri kullanmasını önleyecek önlemlerin alınmasıdır. Şifreleme bu amaçla kullanılabilecek oldukça etkili bir araçken, şifrelendirme, veri maskeleme, anonimleştirme ve güçlü erişim kontrolleri de uygulanabilecek diğer yöntemlerdir. İşletmeler ayrıca hangi kontrollerin her bir duruma en uygun olduğunu anlamak için kullandıkları verileri de gözden geçirmelidirler. Örneğin, müşteri verilerinin anonimleştirilmesi satış trendlerinin analizinde bu verilerin sağladığı faydayı çok az etkilerken verilerin hassaslığını ise önemli ölçüde azaltmaktadır.

Tespit:Tetikte olma, uyumluluk ve güvenlikle ilgili en iyi uygulamaların hayati bir parçasıdır. Otomasyon, belirlenen tehdit kriterleri doğrultusunda beklenene ters düşen davranışların belirlenmesinde ve savunma önlemlerinin hayata geçirilmesinde önemli bir rol oynayabilmektedir. Sistemlerin, kimlerin bilgilere eriştiğinin yanısıra ne zaman ve neden eriştiklerine de dair akıllı değerlendirmeler yapabilmesi ve bir kullanıcıyı, hassas verilere erişemeden, bu verileri taşıyamadan veya kullanamadan önce kilitlemek gibi önceden üzerinde mutabık kalınan tehdit kriterlerinde yapılacak müdahaleleri uygulayabilmesi gerekir.

Şirketlerin %50’si GDPR’ye uyumluluk için son tarihi yakalayamayacak

GDPR ile işletmelerin hayatında neler değişecek?

Mayıs 2018’de yürürlüğe girecek olan AB’nin Genel Veri Koruma Yükümlülüğü (GDPR), kuruluşların verileri, özellikle de tüketici verilerini işleme ve kullanma şekillerine yönelik yeni yönetmeliklere en son örnek ve her ne kadar bir AB yönetmeliği olsa da AB sınırları dahilinde iş yapan her kuruluşu etkileyecek. GDPR ile uyumlu olmayan şirketlerin, küresel cirolarının %4’üne varan oranlarda yüksek mali cezalarla karşı karşıya kalabilecekleri düşünüldüğünde de tüm şirketlerin uyumluluğu sağlamak amacıyla hızlı bir koşuşturmaya gireceklerini düşünmek zor olmayacak. Ancak Gartner’ın tahminlerine göre şirketlerin %50’si GDPR’ye uyumluluk sağlanması gereken son tarihi yakalayamayacak görünüyor. Her ne kadar kanun metinlerine uygun hareket etmek zorlu bir süreç olsa da mevcut uyumluluk ve güvenlik önlemlerini sürekli olarak gözden geçirme, düzenleme ve iyileştirme ihtiyacı da her bir işletmenin değerli verilerini ele alma şekilleriyle bağlantılı hale getirilmeli. Bir şirketin verilerini yeterince koruyup koruyamadığını değerlendirmesi için illa da yeni yönetmeliklere ihtiyacı olmamalı.