Kapsamli Veri Koruma Stratejisi Gelistirme

Kapsamli VeriKoruma Stratejisi GelistirmeYasal gereksinimlerin uygun bir çerçevede ele alin-ması ve sunduğu fırsatların belirlenmesi, kuruluşlarin kendi pazarlarında farklılaşmalarını, imajlarini iyileştir-melerini ve iç ve dış taraflar ile güven inşa etmelerini sağlayabilir. Ne yazık ki yasal gereksinimler, güvenlik kültürü tam olarak oturmamış kurumlar tarafından ayak bağı ya da gereksiz olarak görülmektedir.Bu nedenle kuruluşların, mevcut veri koruma strate-jilerini güncelleyerek veya sifirdan veri koruma stratejile-ri hazırlayarak yasal gereksinimlere yönelik yaklaşımlar1-n1 düzenlemeleri gerekmektedir.Bir organizasyonun, üst yönetim tarafindan belirlen-miş ve sponsorluğunda yürütülen gizlilik yani veri koru-ma programi, organizasyonun aynı bilgi güvenliği süreç-lerinde olduğu gibi amaç ve iş hedefleriyle uyumlu bir veri koruma stratejisinin uygulanmasına dayanmalıdır.Belirlenen ve yürütülen programlar ne olursa olsun gizlilik programi ve stratejisi sürekli olarak iyileştirilmeli ve devam ettirilmelidir. Yasal gereksinimler her ne kadar orga-nizasyonlara gizlilik ve buna bağlı alt süreçler hakkında uyulması gereken kural ve koşulları belirleyen tariler belirlese de her şeyden bağımsız olarak iç ve diş taraflarin verilerinin gizliliği ve kritik verilerin mahremiyet çerçe-vesinde bilgi güvenliğine uyumunun sağlanmasi sürege-len bir çerçevede ele alınmalıdır.Organizasyonunuzun veri koruma stratejisi aşağıda-kiler de dâhil olmak üzere birçok ana başlıği içermelidir:·Organizasyonun büyüklüğü ve bulunduğu sektör·Veri kategorileri·Işlenen veriler· Rakipler· Riskler·Yasal yükümlülükler·Diğer uyumluluklar·Işletmenin veri stratejileri· Tedarikçiler, diş kaynakli faaliyetler ve tedarik zinciri dâhil olmak üzere güvenilen üçüncü taraflar·Yürütülen iş süreçlerinin kapsami·Hali hazirdaki kaynaklarOrganizasyonun veri koruma stratejisi, ayni bilgi uyulması gereken kural ve koşulları belirleyen tarihler belirlese de her şeyden bağımsız olarak iç ve diş taraflarin verilerinin gizliliği ve kritik verilerin mahremiyet çerçe-vesinde bilgi güvenliğine uyumunun sağlanmasi sürege-len bir çerçevede ele alinmalidir.Organizasyonunuzun veri koruma stratejisi aşağıda-kiler de dâhil olmak üzere birçok ana başlıği içermelidir:·Organizasyonun büyüklüğü ve bulunduğu sektör· Veri kategorileri·Işlenen veriler·Rakipler·Riskler·Yasal yükümlülükler·Diğer uyumluluklar·Íşletmenin veri stratejileri· Tedarikçiler, dişkaynakli faaliyetler ve tedarik zinciri dâhil olmak üzere güvenilen üçüncü taraflar·Yürütülen iş süreçlerinin kapsami·Hali hazirdaki kaynaklarOrganizasyonun veri koruma stratejisi, ayni bilgi güvenliği stratejisinde olduğu gibi, kurumunuzun iş he-deflerine bağlı olarak tüm iş grupları ve ilgili tarafların katılımı ile ortak bir şekilde hazırlanmalı ve üst yönetim tarafından mutlaka gözden geçirilerek onaylanmalı ve il-gililere iletilmelidir.Örneğin hukuk departmani, bir "IT Altyapi" yönetici-sinin ihtiyaçları, beklentileri ve iş hedefleriyle çelişebile-cek olan yasal gereksinimleri, ihtiyaçları değerlendirme-den uygulamaya geçirme konusunda israr edebilir.Üst Yönetim(CFO,CMO vb.), maliyetleri ya da işgücünü hesaba katarak, yalnızca “minimum düzeyde uyumluluk” sağlamak isteyebilir. Sektördeki diğer firma-lar, marka değerlerini geliştirmek ve/veya ürün ya da hizmetlerini rekabetten farklilaştirmak için yasal gereksi-nimleri firsat olarak görebilir. Üst Yönetim, CIO veya CTO tarafindan ön plana çikarilan teknoloji ve buna bağlı ihtiyaçları, insanlara ya da gerekli kültürel değişime hitap etmenin kritik unsuru olarak kabul edemeyebilir ki bu ve buna bağlı birçok karar, organizasyonu yasal olarak zora sokacak veri ihlali ya da benzeri durumlara sebebiyet verebilir. Bu da organizasyonunuz için ele alınmasi gere-ken en büyük risklerden bir tanesidir.Aslında sürekli olarak gözümüzde büyüttüğümüz bir veri koruma stratejisi geliştirmek, zor bir iş olmak zorun-da değildir. İyi bir başlangıç noktas1; kuruluştaki kritik paydaşları bir veya daha fazla çalışma grubu ve çalıştayda bir araya getirmek ve temel stratejik unsurlar üzerinde anlaşmaktır. Dikkate alınacak konular arasında kuruluşta-ki mevcut veri koruma durumu (analiz), yasal gereksi-nimler ve bunlara bağlı kritik tarihler ve sonrası için dik-kat gerektiren öncelikler ve hedefler, değişim veya ilerleme için anahtar performans göstergeleri, ilgili mev-cut projeler bulunmaktadır. Ve tabi ki iyilestirme önerileri de sürecin devamında mutlaka olmalidir.Stratejik unsurlar üzerinde mutabık kalındiktan ve dokümante edildikten sonra, maliyetler öngörülmelidir.Program sürecinin başlayabilmesi ve güvence altına ali-nabilmesi için iş hedefleri ile entegre olmali ve üst yöne-timin desteği alınmalıdır.Nihayetinde,uygun strateji bir dizi faktöre bağlıdir.Organizasyonunuz için doğru yaklaşımı kabul etmek ve uyum, etik ve risk temelli bir veri koruma stratejisini ge-liştirmek gerekmektedir.Bununla birlikte her zaman olduğu gibi iç ve diş ta-raflarin ihtiyaç ve beklentileri en iyi şekilde karşılanmalı-dır. Doğru taraflar dâhil değilse veya program, kuruluşta yanliş yere yerleştirilmişse, strateji, uyuma gereğinden fazla odaklanabilir veya iş firsatların1 kaçirabilir.Veri koruma stratejisi ve buna bağlı konulari daha de-taylı olarak ele almadan önce sürekli olarak bahsettiğimiz paydaşları bir veya daha fazla çalışma grubu ve çalıştayda bir araya getirmek ve temel stratejik unsurlar üzerinde anlaşmaktır. Dikkate alinacak konular arasında kuruluşta-ki mevcut veri koruma durumu (analiz), yasal gereksi-nimler ve bunlara bağlı kritik tarihler ve sonrasi için dik-kat gerektiren öncelikler ve hedefler, değişim veya ilerleme için anahtar performans göstergeleri, ilgili mev-cut projeler bulunmaktadır. Ve tabi ki iyileştirme önerileri de sürecin devamında mutlaka olmalidir.Stratejik unsurlar üzerinde mutabik kalindiktan ve dokümante edildikten sonra, maliyetler öngörülmelidir.Program sürecinin başlayabilmesi ve güvence altına ali-nabilmesi için iş hedefleri ile entegre olmalı ve üst yöne-timin desteği alinmalıdır.Nihayetinde, uygun strateji bir dizi faktöre bağlidir.Organizasyonunuz için doğru yaklaşımı kabul etmek ve uyum, etik ve risk temelli bir veri koruma stratejisini ge-liştirmek gerekmektedir.Bununla birlikte her zaman olduğu gibi iç ve dış ta-rafların ihtiyaç ve beklentileri en iyi şekilde karşılanmali-dır. Doğru taraflar dâhil değilse veya program, kuruluşta yanlış yere yerleştirilmişse, strateji, uyuma gereğinden fazla odaklanabilir veya iş firsatlarını kaçırabilir.Veri koruma stratejisi ve buna bağli konuları daha de-taylı olarak ele almadan önce sürekli olarak bahsettiğimiz temel kavramlara açıklık getirmekte fayda var.Peki sürekli olarak dilimizde olan bu “gizlilik” ve "gizlilik bilgi yönetim sistemi" nedir?Gizlilik, sanırım her geçen gün daha da fazla kullan-maya başladığımız bir terimdir ancak anlamı iyi anlaşıl-mamiştir. Eğer tanim için dayanak ararsak, Wikipedia bunu “bir bireyin veya grubun kendilerini tecrit etme ya da kendileri hakkında bilgi edinme ve böylece seçici ola-rak ifade etmesi" olarak tanimlamaktadır.ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ne ek olarak 2019 yılında yayınlanan ISO/IEC 27701 kilavuzu ise gizliliğin “bilgi” yönlerine odaklanmaktadır. Bu ne-denle, bir gizlilik bilgi yönetim sistemi (PIMS) organi-zasyonlar tarafindan kişisel verilerin işlenmesi, saklan-ması, iletilmesi ve buna bağlı alt süreçler ile ilgilenir.Sizin ve birlikte çalıştığınız kuruluşların kişisel bil-gilerinize yani verilerinize nasıl baktıkları ve gizliliğinizi olumsuz yönde etkilemeden, başkalarının bunları kullan-malarına nasıl izin verdiğiniz endişe konusudur.Bu nedenle, kişisel verilerinizin nerede depolandiğini ve nasıl kullanıldığını bilmenin, gerektiğinde erişilebilir olmasının, neyin hangi amaçla saklandığinı bilmenin ve kullanılabilecek bir formatta olacağindan yasal mevzuat-lar gereğince emin olmanın gerekliliği elbette ki yadsina- maz.Gizli bilginin yönetimine atıfta bulunurken, sadece kişisel verilerin (gizlilik, bütünlük ve erişilebilirlik ile il-gilenen) güvenlik yönleriyle değil, aynı zamanda kişisel verilerin yönetiminin kim, nerede, nasil, ne ve nedenle-riyle de ilgilenilmesi gerekmektedir.Organizasyonlar, işledikleri kişisel verileri, iç ve dışmüşterilerinin gizliliklerinin yani mahremiyetlerinin ko-runduğundan emin olabilecekleri bir şekilde yönetmek istemelidirler. Bu, genellikle gerekli güvenceleri sağla-mak için gerekli kontrol süreçlerini kullanmalarına yar-dımcı olan bir dizi politika, süreç ve çalişma düzenlemesi getiren yönetim düzenlemeleri yapılarak elde edilir ki bu süreçler mevzuat ve kanunlarda belirlenmiştir. Tüm bu süreçleri göz önüne alarak bir “Gizlilik Bilgi Yönetim Sistemi”oluşturulmalidir.  19
27 August 2024 by
Şükrü Tarık Kapucu

Kapsamli Veri Koruma Stratejisi Geliştirme

Yasal gereksinimlerin uygun bir çerçevede ele alin-ması ve sunduğu fırsatların belirlenmesi, kuruluşlarin kendi pazarlarında farklılaşmalarını, imajlarini iyileştir-melerini ve iç ve dış taraflar ile güven inşa etmelerini sağlayabilir. Ne yazık ki yasal gereksinimler, güvenlik kültürü tam olarak oturmamış kurumlar tarafından ayak bağı ya da gereksiz olarak görülmektedir.

Bu nedenle kuruluşların, mevcut veri koruma strate-jilerini güncelleyerek veya sifirdan veri koruma stratejile-ri hazırlayarak yasal gereksinimlere yönelik yaklaşımlar1-n1 düzenlemeleri gerekmektedir.

Bir organizasyonun, üst yönetim tarafindan belirlen-miş ve sponsorluğunda yürütülen gizlilik yani veri koru-ma programi, organizasyonun aynı bilgi güvenliği süreç-lerinde olduğu gibi amaç ve iş hedefleriyle uyumlu bir veri koruma stratejisinin uygulanmasına dayanmalıdır.

Belirlenen ve yürütülen programlar ne olursa olsun gizlilik programı ve stratejisi sürekli olarak iyileştirilmeli ve devam ettirilmelidir. Yasal gereksinimler her ne kadar organizasyonlara gizlilik ve buna bağlı alt süreçler hakkında uyulması gereken kural ve koşullar belirlese de, her şeyden bağımsız olarak iç ve diş tarafların verilerinin gizliliği ve özellikle kritik verilerin mahremiyet çerçevesinde bilgi güvenliğine uyumunun sağlanması süregelen bir çerçevede ele alınmalıdır.

Organizasyonunuzun veri koruma stratejisi aşağıdakiler de dâhil olmak üzere birçok ana başlığı içermelidir:

  • Organizasyonun büyüklüğü ve bulunduğu sektör
  • Veri kategorileri
  • Işlenen veriler
  • Rakipler
  • Riskler
  • Yasal yükümlülükler
  • ·Diğer uyumluluklar
  • İşletmenin veri ve dijital dönüşüm stratejileri
  • Tedarikçiler, diş kaynakli faaliyetler ve tedarik zinciri dâhil olmak üzere güvenilen üçüncü taraflar
  • ·Yürütülen iş süreçlerinin kapsami
  • Hali hazırdaki kaynaklar vb

başlıklar bilgi güvenliği stratejisinde olduğu gibi, kurumunuzun iş hedeflerine bağlı olarak tüm iş grupları ve ilgili tarafların katılımı ile ortak bir şekilde hazırlanmalı ve üst yönetim tarafından mutlaka gözden geçirilerek onaylanmalı ve ilgililere iletilmelidir.

Örneğin "hukuk departmanı", "bilgi teknolojileri altyapı" ya da "bilgi teknolojileri" yöneticisinin ihtiyaçları ve beklentileri ya da iş hedefleriyle çelişebilecek olan yasal gereksinimleri değerlendirilmeden şirketler içerisinde uygulamaya geçirilmemelidir.

Üst Yönetim (CFO, CMO vb.), maliyetleri ya da işgücünü hesaba katarak, yalnızca “minimum düzeyde uyumluluk” sağlamak isteyebilir. Sektördeki diğer firmalar, marka değerlerini geliştirmek ve/veya ürün ya da hizmetlerini rekabetten farklılaştırmak için yasal gereksinimleri fırsat olarak görebilir. Üst Yönetim, CIO veya CTO tarafından ön plana çıkarılan teknoloji ve buna bağlı ihtiyaçları, insanlara ya da gerekli kültürel değişime hitap etmenin kritik unsuru olarak kabul edemeyebilir ki bu ve buna bağlı birçok karar, organizasyonu yasal olarak zora sokacak veri ihlali ya da benzeri durumlara sebebiyet verebilir. Bu da organizasyonunuz için ele alınması gereken en büyük risklerden bir tanesidir!

Aslında sürekli olarak gözümüzde büyüttüğümüz bir "veri koruma stratejisi" geliştirmek, zor bir iş olmak zorunda değildir! 

Veri koruma stratejisi ve buna bağlı konuları daha detaylı olarak ele almadan önce sürekli olarak, bizlerin de iyi bir başlangıç noktası olarak bahsettiğimiz gibi paydaşları bir veya daha fazla çalışma grubu veya çalıştayda bir araya getirerek  temel stratejik unsurlar üzerinde anlaşma sağlamaktır. Dikkate alınacak konular arasında, kuruluştaki mevcut veri koruma durumu (analiz), yasal gereksinimler ve bunlara bağlı kritik tarihler ve sonrası için dikkat gerektiren öncelikler ve hedefler, değişim veya ilerleme için anahtar performans göstergeleri, ilgili mevcut projeler bulunmaktadır. Ve tabi ki iyileştirme önerileri de sürecin devamında mutlaka olmalıdır.

Stratejik unsurlar üzerinde mutabik kalindiktan ve dokümante edildikten sonra, maliyetler öngörülmelidir.Program sürecinin başlayabilmesi ve güvence altına ali-nabilmesi için iş hedefleri ile entegre olmalı ve üst yöne-timin desteği alinmalıdır.

Nihayetinde, uygun strateji bir dizi faktöre bağlidir.Organizasyonunuz için doğru yaklaşımı kabul etmek ve uyum, etik ve risk temelli bir veri koruma stratejisini ge-liştirmek gerekmektedir.

Bununla birlikte her zaman olduğu gibi iç ve diş tarafların ihtiyaç ve beklentileri en iyi şekilde karşılanmalıdır. Doğru taraflar konuya dâhil değilse veya program kuruluşta yanlış yere yerleştirilmişse, strateji, uyuma gereğinden fazla odaklanabilir veya iş fırsatlarını kaçırabilir.

Veri koruma stratejisi ve buna bağlı konuları daha detaylı olarak ele almadan önce sürekli olarak bahsettiğimiz temel kavramlara da biraz açıklık getirmekte fayda var.

Peki sürekli olarak dilimizde olan bu “gizlilik” ve "gizlilik bilgi yönetim sistemi" nedir?

Gizlilik, sanırım her geçen gün daha da fazla kullan-maya başladığımız bir terimdir ancak anlamı iyi anlaşıl-mamiştir. Eğer tanim için dayanak ararsak, Wikipedia bunu “bir bireyin veya grubun kendilerini tecrit etme ya da kendileri hakkında bilgi edinme ve böylece seçici ola-rak ifade etmesi" olarak tanimlamaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ne ek olarak 2019 yılında yayınlanan ISO/IEC 27701 kilavuzu ise gizliliğin “bilgi” yönlerine odaklanmaktadır. Bu ne-denle, bir gizlilik bilgi yönetim sistemi (PIMS) organi-zasyonlar tarafindan kişisel verilerin işlenmesi, saklan-ması, iletilmesi ve buna bağlı alt süreçler ile ilgilenir.

Sizin ve birlikte çalıştığınız kuruluşların kişisel bil-gilerinize yani verilerinize nasıl baktıkları ve gizliliğinizi olumsuz yönde etkilemeden, başkalarının bunları kullan-malarına nasıl izin verdiğiniz endişe konusudur.

Bu nedenle, kişisel verilerinizin nerede depolandığını ve nasıl kullanıldığını bilmenin, gerektiğinde erişilebilir olmasının, neyin hangi amaçla saklandığinı bilmenin ve kullanılabilecek bir formatta olacağindan yasal mevzuat-lar gereğince emin olmanın gerekliliği elbette ki yadsınamaz.

Gizli bilginin yönetimine atıfta bulunurken, sadece kişisel verilerin (gizlilik, bütünlük ve erişilebilirlik ile il-gilenen) güvenlik yönleriyle değil, aynı zamanda kişisel verilerin yönetiminin kim, nerede, nasil, ne ve nedenle-riyle de ilgilenilmesi gerekmektedir.

Organizasyonlar, işledikleri kişisel verileri, iç ve dışmüşterilerinin gizliliklerinin yani mahremiyetlerinin ko-runduğundan emin olabilecekleri bir şekilde yönetmek istemelidirler. Bu, genellikle gerekli güvenceleri sağla-mak için gerekli kontrol süreçlerini kullanmalarına yar-dımcı olan bir dizi politika, süreç ve çalişma düzenlemesi getiren yönetim düzenlemeleri yapılarak elde edilir ki bu süreçler mevzuat ve kanunlarda belirlenmiştir. Tüm bu süreçleri göz önüne alarak bir “Gizlilik Bilgi Yönetim Sistemi”oluşturulmalidir.


Sign in to leave a comment