Kapsamli Veri Koruma Stratejisi Geliştirme
Yasal gereksinimlerin uygun bir çerçevede ele alin-ması ve sunduğu fırsatların belirlenmesi, kuruluşlarin kendi pazarlarında farklılaşmalarını, imajlarini iyileştir-melerini ve iç ve dış taraflar ile güven inşa etmelerini sağlayabilir. Ne yazık ki yasal gereksinimler, güvenlik kültürü tam olarak oturmamış kurumlar tarafından ayak bağı ya da gereksiz olarak görülmektedir.
Bu nedenle kuruluşların, mevcut veri koruma strate-jilerini güncelleyerek veya sifirdan veri koruma stratejile-ri hazırlayarak yasal gereksinimlere yönelik yaklaşımlar1-n1 düzenlemeleri gerekmektedir.
Bir organizasyonun, üst yönetim tarafindan belirlen-miş ve sponsorluğunda yürütülen gizlilik yani veri koru-ma programi, organizasyonun aynı bilgi güvenliği süreç-lerinde olduğu gibi amaç ve iş hedefleriyle uyumlu bir veri koruma stratejisinin uygulanmasına dayanmalıdır.
Belirlenen ve yürütülen programlar ne olursa olsun gizlilik programı ve stratejisi sürekli olarak iyileştirilmeli ve devam ettirilmelidir. Yasal gereksinimler her ne kadar organizasyonlara gizlilik ve buna bağlı alt süreçler hakkında uyulması gereken kural ve koşullar belirlese de, her şeyden bağımsız olarak iç ve diş tarafların verilerinin gizliliği ve özellikle kritik verilerin mahremiyet çerçevesinde bilgi güvenliğine uyumunun sağlanması süregelen bir çerçevede ele alınmalıdır.
Organizasyonunuzun veri koruma stratejisi aşağıdakiler de dâhil olmak üzere birçok ana başlığı içermelidir:
- Organizasyonun büyüklüğü ve bulunduğu sektör
- Veri kategorileri
- Işlenen veriler
- Rakipler
- Riskler
- Yasal yükümlülükler
- ·Diğer uyumluluklar
- İşletmenin veri ve dijital dönüşüm stratejileri
- Tedarikçiler, diş kaynakli faaliyetler ve tedarik zinciri dâhil olmak üzere güvenilen üçüncü taraflar
- ·Yürütülen iş süreçlerinin kapsami
- Hali hazırdaki kaynaklar vb
başlıklar bilgi güvenliği stratejisinde olduğu gibi, kurumunuzun iş hedeflerine bağlı olarak tüm iş grupları ve ilgili tarafların katılımı ile ortak bir şekilde hazırlanmalı ve üst yönetim tarafından mutlaka gözden geçirilerek onaylanmalı ve ilgililere iletilmelidir.
Örneğin "hukuk departmanı", "bilgi teknolojileri altyapı" ya da "bilgi teknolojileri" yöneticisinin ihtiyaçları ve beklentileri ya da iş hedefleriyle çelişebilecek olan yasal gereksinimleri değerlendirilmeden şirketler içerisinde uygulamaya geçirilmemelidir.
Üst Yönetim (CFO, CMO vb.), maliyetleri ya da işgücünü hesaba katarak, yalnızca “minimum düzeyde uyumluluk” sağlamak isteyebilir. Sektördeki diğer firmalar, marka değerlerini geliştirmek ve/veya ürün ya da hizmetlerini rekabetten farklılaştırmak için yasal gereksinimleri fırsat olarak görebilir. Üst Yönetim, CIO veya CTO tarafından ön plana çıkarılan teknoloji ve buna bağlı ihtiyaçları, insanlara ya da gerekli kültürel değişime hitap etmenin kritik unsuru olarak kabul edemeyebilir ki bu ve buna bağlı birçok karar, organizasyonu yasal olarak zora sokacak veri ihlali ya da benzeri durumlara sebebiyet verebilir. Bu da organizasyonunuz için ele alınması gereken en büyük risklerden bir tanesidir!
Aslında sürekli olarak gözümüzde büyüttüğümüz bir "veri koruma stratejisi" geliştirmek, zor bir iş olmak zorunda değildir!
Veri koruma stratejisi ve buna bağlı konuları daha detaylı olarak ele almadan önce sürekli olarak, bizlerin de iyi bir başlangıç noktası olarak bahsettiğimiz gibi paydaşları bir veya daha fazla çalışma grubu veya çalıştayda bir araya getirerek temel stratejik unsurlar üzerinde anlaşma sağlamaktır. Dikkate alınacak konular arasında, kuruluştaki mevcut veri koruma durumu (analiz), yasal gereksinimler ve bunlara bağlı kritik tarihler ve sonrası için dikkat gerektiren öncelikler ve hedefler, değişim veya ilerleme için anahtar performans göstergeleri, ilgili mevcut projeler bulunmaktadır. Ve tabi ki iyileştirme önerileri de sürecin devamında mutlaka olmalıdır.
Stratejik unsurlar üzerinde mutabik kalindiktan ve dokümante edildikten sonra, maliyetler öngörülmelidir.Program sürecinin başlayabilmesi ve güvence altına ali-nabilmesi için iş hedefleri ile entegre olmalı ve üst yöne-timin desteği alinmalıdır.
Nihayetinde, uygun strateji bir dizi faktöre bağlidir.Organizasyonunuz için doğru yaklaşımı kabul etmek ve uyum, etik ve risk temelli bir veri koruma stratejisini ge-liştirmek gerekmektedir.
Bununla birlikte her zaman olduğu gibi iç ve diş tarafların ihtiyaç ve beklentileri en iyi şekilde karşılanmalıdır. Doğru taraflar konuya dâhil değilse veya program kuruluşta yanlış yere yerleştirilmişse, strateji, uyuma gereğinden fazla odaklanabilir veya iş fırsatlarını kaçırabilir.
Veri koruma stratejisi ve buna bağlı konuları daha detaylı olarak ele almadan önce sürekli olarak bahsettiğimiz temel kavramlara da biraz açıklık getirmekte fayda var.
Peki sürekli olarak dilimizde olan bu “gizlilik” ve "gizlilik bilgi yönetim sistemi" nedir?
Gizlilik, sanırım her geçen gün daha da fazla kullan-maya başladığımız bir terimdir ancak anlamı iyi anlaşıl-mamiştir. Eğer tanim için dayanak ararsak, Wikipedia bunu “bir bireyin veya grubun kendilerini tecrit etme ya da kendileri hakkında bilgi edinme ve böylece seçici ola-rak ifade etmesi" olarak tanimlamaktadır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ne ek olarak 2019 yılında yayınlanan ISO/IEC 27701 kilavuzu ise gizliliğin “bilgi” yönlerine odaklanmaktadır. Bu ne-denle, bir gizlilik bilgi yönetim sistemi (PIMS) organi-zasyonlar tarafindan kişisel verilerin işlenmesi, saklan-ması, iletilmesi ve buna bağlı alt süreçler ile ilgilenir.
Sizin ve birlikte çalıştığınız kuruluşların kişisel bil-gilerinize yani verilerinize nasıl baktıkları ve gizliliğinizi olumsuz yönde etkilemeden, başkalarının bunları kullan-malarına nasıl izin verdiğiniz endişe konusudur.
Bu nedenle, kişisel verilerinizin nerede depolandığını ve nasıl kullanıldığını bilmenin, gerektiğinde erişilebilir olmasının, neyin hangi amaçla saklandığinı bilmenin ve kullanılabilecek bir formatta olacağindan yasal mevzuat-lar gereğince emin olmanın gerekliliği elbette ki yadsınamaz.
Gizli bilginin yönetimine atıfta bulunurken, sadece kişisel verilerin (gizlilik, bütünlük ve erişilebilirlik ile il-gilenen) güvenlik yönleriyle değil, aynı zamanda kişisel verilerin yönetiminin kim, nerede, nasil, ne ve nedenle-riyle de ilgilenilmesi gerekmektedir.
Organizasyonlar, işledikleri kişisel verileri, iç ve dışmüşterilerinin gizliliklerinin yani mahremiyetlerinin ko-runduğundan emin olabilecekleri bir şekilde yönetmek istemelidirler. Bu, genellikle gerekli güvenceleri sağla-mak için gerekli kontrol süreçlerini kullanmalarına yar-dımcı olan bir dizi politika, süreç ve çalişma düzenlemesi getiren yönetim düzenlemeleri yapılarak elde edilir ki bu süreçler mevzuat ve kanunlarda belirlenmiştir. Tüm bu süreçleri göz önüne alarak bir “Gizlilik Bilgi Yönetim Sistemi”oluşturulmalidir.
Kapsamli Veri Koruma Stratejisi Gelistirme