Kapsamlı Veri Koruma Stratejisi Geliştirme

Kapsamli Veri Koruma Stratejisi Geliştirme

Yasal gereksinimlerin uygun bir çerçevede ele alınması ve sunduğu fırsatların belirlenmesi, kuruluşların kendi pazarlarında farklılaşmalarını, imajlarını iyileştirmelerini ve iç ve dış taraflar ile güven inşa etmelerini sağlayabilir. Ne yazık ki yasal gereksinimler, güvenlik kültürü tam olarak oturmamış kurumlar tarafından ayak bağı ya da gereksiz olarak görülmektedir.

Bu nedenle kuruluşların, mevcut veri koruma stratejilerini güncelleyerek veya sıfırdan veri koruma stratejileri hazırlayarak yasal gereksinimlere yönelik yaklaşımlarını düzenlemeleri önem arz etmektedir.

Bir organizasyonun, üst yönetim tarafından belirlenmiş ve sponsorluğunda yürütülen gizlilik yani veri koruma programı, organizasyonun aynı bilgi güvenliği süreçlerinde olduğu gibi amaç ve iş hedefleriyle uyumlu bir veri koruma stratejisinin uygulanmasına dayanmalıdır.

Belirlenen ve yürütülen programlar ne olursa olsun gizlilik programı ve stratejisi sürekli olarak iyileştirilmeli ve devam ettirilmelidir. Yasal gereksinimler her ne kadar organizasyonlara gizlilik ve buna bağlı alt süreçler hakkında uyulması gereken kural ve koşullar belirlese de, her şeyden bağımsız olarak iç ve diş tarafların verilerinin gizliliği ve özellikle kritik verilerin mahremiyet çerçevesinde bilgi güvenliğine uyumunun sağlanması süregelen bir çerçevede ele alınmalıdır.

Organizasyonunuzun veri koruma stratejisi aşağıdakiler de dâhil olmak üzere birçok ana başlığı içermelidir:

• Organizasyonun büyüklüğü ve bulunduğu sektör
• Veri kategorileri
• Işlenen veriler
• Rakipler
• Riskler
• Yasal yükümlülükler
• Diğer uyumluluklar
• İşletmenin veri ve dijital dönüşüm stratejileri
• Tedarikçiler, diş kaynakli faaliyetler ve tedarik zinciri dâhil olmak üzere güvenilen üçüncü taraflar
• Yürütülen iş süreçlerinin kapsamı
• Hali hazırdaki kaynaklar vb

başlıklar bilgi güvenliği stratejisinde olduğu gibi, kurumunuzun iş hedeflerine bağlı olarak tüm iş grupları ve ilgili tarafların katılımı ile ortak bir şekilde hazırlanmalı ve üst yönetim tarafından mutlaka gözden geçirilerek onaylanmalı ve ilgililere iletilmelidir.

Örneğin "hukuk departmanı", "bilgi teknolojileri altyapı" ya da "bilgi teknolojileri" yöneticisinin ihtiyaçları ve beklentileri ya da iş hedefleriyle çelişebilecek olan yasal gereksinimleri değerlendirilmeden şirketler içerisinde uygulamaya geçirilmemelidir.

Üst Yönetim (CFO, CMO vb.), maliyetleri ya da işgücünü hesaba katarak, yalnızca “minimum düzeyde uyumluluk” sağlamak isteyebilir. Sektördeki diğer firmalar, marka değerlerini geliştirmek ve/veya ürün ya da hizmetlerini rekabetten farklılaştırmak için yasal gereksinimleri fırsat olarak görebilir. Üst Yönetim, CIO veya CTO tarafından ön plana çıkarılan teknoloji ve buna bağlı ihtiyaçları, insanlara ya da gerekli kültürel değişime hitap etmenin kritik unsuru olarak kabul edemeyebilir ki bu ve buna bağlı birçok karar, organizasyonu yasal olarak zora sokacak veri ihlali ya da benzeri durumlara sebebiyet verebilir. Bu da organizasyonunuz için ele alınması gereken en büyük risklerden bir tanesidir!

Aslında sürekli olarak gözümüzde büyüttüğümüz bir "veri koruma stratejisi" geliştirmek, zor bir iş olmak zorunda değildir! 

Veri koruma stratejisi ve buna bağlı konuları daha detaylı olarak ele almadan önce sürekli olarak, bizlerin de iyi bir başlangıç noktası olarak bahsettiğimiz gibi paydaşları bir veya daha fazla çalışma grubu veya çalıştayda bir araya getirerek  temel stratejik unsurlar üzerinde anlaşma sağlamaktır. Dikkate alınacak konular arasında, kuruluştaki mevcut veri koruma durumu (analiz), yasal gereksinimler ve bunlara bağlı kritik tarihler ve sonrası için dikkat gerektiren öncelikler ve hedefler, değişim veya ilerleme için anahtar performans göstergeleri, ilgili mevcut projeler bulunmaktadır. Ve tabi ki iyileştirme önerileri de sürecin devamında mutlaka olmalıdır.

Stratejik unsurlar üzerinde mutabık kalındıktan ve dokümante edildikten sonra, maliyetler öngörülmelidir. Program sürecinin başlayabilmesi ve güvence altına alınabilmesi için iş hedefleri ile entegre olmalı ve üst yönetimin desteği alınmalıdır.

Nihayetinde, uygun strateji bir dizi faktöre bağlıdır. Organizasyonunuz için doğru yaklaşımı kabul etmek ve uyum, etik ve risk temelli bir veri koruma stratejisini geliştirmek gerekmektedir.

Bununla birlikte her zaman olduğu gibi iç ve diş tarafların ihtiyaç ve beklentileri en iyi şekilde karşılanmalıdır. Doğru taraflar konuya dâhil değilse veya program kuruluşta yanlış yere yerleştirilmişse, strateji, uyuma gereğinden fazla odaklanabilir veya iş fırsatlarını kaçırabilir.

Veri koruma stratejisi ve buna bağlı konuları daha detaylı olarak ele almadan önce sürekli olarak bahsettiğimiz temel kavramlara da biraz açıklık getirmekte fayda var.

Peki sürekli olarak dilimizde olan bu “gizlilik” ve "gizlilik bilgi yönetim sistemi" nedir?

Gizlilik, sanırım her geçen gün daha da fazla kullanmaya başladığımız bir terimdir ancak anlamı yeterince iyi anlaşılmamıştır. Eğer tanım için dayanak ararsak, Wikipedia bunu “bir bireyin veya grubun kendilerini tecrit etme ya da kendileri hakkında bilgi edinme ve böylece seçici olarak ifade etmesi" olarak tanımlamaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ne ek olarak 2019 yılında yayınlanan ISO/IEC 27701 kılavuzu ise gizliliğin “bilgi” yönlerine odaklanmaktadır. Bu nedenle, bir gizlilik bilgi yönetim sistemi (PIMS) organizasyonlar tarafından kişisel verilerin işlenmesi, saklanması, iletilmesi ve buna bağlı alt süreçler ile ilgilenir.

Sizin ve birlikte çalıştığınız kuruluşların kişisel bilgilerinize yani verilerinize nasıl baktıkları ve gizliliğinizi olumsuz yönde etkilemeden, başkalarının bunları kullanmalarına nasıl izin verdiğiniz endişe konusudur.

Bu nedenle, kişisel verilerinizin nerede depolandığını ve nasıl kullanıldığını bilmenin, gerektiğinde erişilebilir olmasının, neyin hangi amaçla saklandığını bilmenin ve kullanılabilecek bir formatta olacağından yasal mevzuatlar gereğince emin olmanın gerekliliği elbette ki yadsınamaz.

Gizli bilginin yönetimine atıfta bulunurken, sadece kişisel verilerin (gizlilik, bütünlük ve erişilebilirlik ile ilgilenen) güvenlik yönleriyle değil, aynı zamanda kişisel verilerin yönetiminin kim, nerede, nasil, ne ve nedenle-riyle de ilgilenilmesi gerekmektedir.

Organizasyonlar, işledikleri kişisel verileri, iç ve dış müşterilerinin gizliliklerinin yani mahremiyetlerinin korunduğundan emin olabilecekleri bir şekilde yönetmek istemelidirler! Bu, genellikle gerekli güvenceleri sağlamak için gerekli kontrol süreçlerini kullanmalarına yardımcı olan bir dizi politika, süreç ve çalışma düzenlemesi getiren yönetim düzenlemeleri yapılarak elde edilir ki bu süreçler mevzuat ve kanunlarda belirlenmiştir. Tüm bu süreçleri göz önüne alarak bir “Gizlilik Bilgi Yönetim Sistemi”oluşturulmalıdır.