IBM Türk Analitik Birim Lideri Levent Efe Akman
İş sonuçlarından marka imajına, veri ihlalinden denetim riskine kadar verilerin korunması günümüzde iş dünyasının kritik başarı faktörlerinden biri haline geldi.
Bir perakende şirketinin başına gelen bir veri ihlalinde şirketin üst düzey yöneticileri toplam maliyetin 1 ile 2 milyar dolar arasında olduğunu tahmin ediyor. Araştırmalar bir şirketin gelecek 2 yıl içerisinde 10.000 adet kayıp ya da çalıntı kaydı kapsayan maddi bir ya da daha fazla veri ihlalinin olasılığını yüzde 26 olarak gösteriyor. Önemli bir tıp merkezi ve hastane, hasta sağlık kayıtlarının açığa çıkmasına neden olan bir veri ihlali nedeniyle toplam 4,8 milyon dolar tutarında cezaya çarptırılıyor.
Bu ve bunun gibi örneklere bakıldığında bir veri ihlalinin ortalama maliyetinin 4 milyar dolardan fazla olduğu, kayıp ya da çalınan bir adet kaydın ortalama maliyetinin 158 dolar olduğu ortaya çıkıyor.
Buna bağlı olarak, dünya çapındaki yaklaşık 100 ülke, veri koruma ve gizlilik yasalarını yürürlüğe koyuyor.
Peki Türkiye ne durumda?
• 95/46/EC sayılı AB Direktifini esas alan 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi.
• Kanun, kişisel verilerin işlenmesine, silinmesine ve aktarılmasına ilişkin maddeler ile gizli verilerin güvenliğine ilişkin maddeler içeriyor.
• Şirketlerde, Veri Sorumlusu olarak tanımlanan ve çok geniş kapsamlı sorumlulukları ve yasal gereksinimleri bulunan yeni bir kurumsal görev tanımı ortaya çıkıyor.
• Kanuna uyulmaması durumunda uygulanacak cezalar önemli ölçüde artırılıyor ve 1 milyon liraya kadar para ve 4 yıla kadar hapis cezası uygulanmaya başlıyor.
• Kişisel Verilerin Korunması Kanununun, şirketlerin kişisel verilerini yönetme ve denetleme biçimlerini önemli ölçüde değiştirmesi bekleniyor.
Günümüzde verilerin korunmaya başlanması için sistematik bir yaklaşım gerekiyor.
Tanımlama, keşfetme, referans değer oluşturma, güvenliğini sağlama ve izleme adımlarını takip ederek oluşturulacak bir yaklaşım ile verilerin korunması çok daha kolay bir hal alıyor.
IBM bu anlamda şirketlere öncelikle kişisel verilerin ne olduğunu tanımlamalarını öneriyor. Genel veri güvenliği stratejisini anlama, veri koruma hedeflerini belirleme, kişisel veriler için kurumsal veri modelini/sınıflandırmasını geliştirme ile yapılacak tanımlamanın ardından keşfetme aşamasına geçiliyor. Kişisel verilerin nerede bulunduğu ve nasıl kullanıldığını keşfetmek için veri ortamının, altyapısının ve yaşam çevriminin anlanması, yinelenen keşif, analiz ve sınıflandırmaların gerçekleştirilmesi gerekiyor. Daha sonra kişisel verilerin korunması için güvenlik gereksinimleriyle ilgili referans değerleri belirlemek, mevcut veri güvenliği süreçlerini ve denetimlerini değerlendirmek ve eksiklikleri saptayarak çözümleri belirleme aşaması tamamlanıyor. Teknik ve iş süreci dönüşümlerini planlama ve bunlara öncelik verme, kritik verileri koruyan, erişime olanak sağlayan ve işletmenin büyüme hedeflerine uyum sağlayan çözümler tasarlama ve uygulama ise veri güvenliğini sağlamanın temel taşları oluyor. Son olarak kritik verilerin sürekli olarak korunması için yönetişim çerçevesini, risk ölçülerini ve izleme süreçlerini geliştirmek, veri koruma stratejisinin ve metodolojisinin geçerliliğini düzenli olarak denetlemek gerekiyor.
IBM olarak şirketlere Kişisel Verileri Koruma Kanunu sürecine hazırlıklı olmaları için bazı süreçlere adapte olmalarını öneriyoruz. Bu kapsamda, şirketlerin yükümlülükleri iyice anlamaları, teklif edilen Genel Veri Koruma Tüzüğü gereksinimleri hakkında bilgi edinmeleri ve uygulama rehberinin gelişimini izlemeleri gerekiyor. Farklı işlevleri kapsayan bir Genel Veri Koruma Tüzüğü ekibi kurulması, hangi verilerin saklandığını ve bunların nerede olduğunun bilinmesi, bir Veri Koruma Yöneticisinin atanması, tüm gizlilik bildirimlerinin, müşteri rızası ve tercihi mekanizmalarının, veri sahiplerinin erişim, düzeltme, silme taleplerine ilişkin süreçlerin, veri saklama zaman çizelgelerinin ve tüm sınır aşırı kişisel veri aktarımlarının incelenmesi önerilerimiz arasında yer alıyor.
IBM olarak şirketlere aynı zamanda; bir Tasarımda Yerleşik Veri Koruması yaklaşımı uygulamalarını, gizlilik uygunluğu etkinliklerini belgelemelerini, uygun güvenlik önlemlerini uygulamalarını ve belgelemelerini, ihlale müdahale ve bildirim protokolleri oluşturmalarını, tüm üçüncü kişi sözleşmelerini incelemelerini, denetleme yeteneklerini ve süreçlerini geliştirmelerini ve tabii ki çalışanları eğitmelerini öneriyoruz.
