KVKK: Veri Sorumlusu Ben Olmam!

Paylaş

Share on facebook
Share on linkedin
Share on twitter
Share on email

Veri Sorumlusu Ben Olmam!

Verilerin korunmasını sağlamak, birçok kişi için belirsiz bir sorumluluk alanıdır. Peki kimdir veri sorumlusu? “Güvenlik herkesin işi” gibi iyi niyetli yaklaşımlar aslında kimsenin işine yaramaz. Söz konusu işletmeler müşteriler için mi yoksa yalnızca dahili kullanım için veri koruma amaçlı yazılım geliştirir, farklı endüstrilerde edinilen deneyim bu durumu doğrular.

Nihayetinde veri güvenliğinden kimin sorumlu olduğu konusunda ciddi kafa karışıklığı mevcuttur.

Sonuç olarak veri güvenliği ve yönetimi  tereddütler arasında çok sıkça Teknoloji Başkanı(CTO), Bilişim Kurulu Başkanı(CIO),  hatta Bilgi Güvenliği Başkanı(CISO)’nca yürütülür. Bu ikilemin bir cevabı var: veri koruma sorumluluğunu birlikte değerlendirmek, verileri barındıran uygulamaların geliştirme ekiplerini ve uygulama sahiplerini güçlendirmek.

Bu güçlendirme, örgütsel barikatları kaldırmayı ve uygun teknolojiyi kullanmayı içerir. Bu konuda güçlendirme sadece sağlam temelli verilere yol açmayacak, güvenlik ve uyumun yanı sıra, yenilik ve rekabetçilik fırsatları yaratacaktır.

Veri Sorumlusu Kim Olmalı?

1.Çoğu kuruluş, verilerin korunması çabalarını engelleyen teknik ve operasyonel eksikliklerden muzdariptir. Bu durumu ele almak için veri güvenliği ve uygulama sorumluluğu, verileri kullanan uygulamalara sahip olanlara ait olmalıdır. (KVKK-Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir.)

2.Kuruluşlar, uygulama sahiplerini ve bunları destekleyen güvenlik ekiplerini, güvenliği ve uyumluluğu aynı anda hızla dahil edebilmelerini sağlayacak çözümlerle güçlendirmelidir. En önemlisi, günümüzün giderek sanallaştırılan bilgi işlem ortamlarının doğası göz önüne alındığında, bu, kaynak kod güvenliği yoluyla gerçekleştirilmelidir.

3.Bu yaklaşım kurumsal değeri oluşturur, çünkü kuruluşu yalnızca veri ihlallerinden ve uyum hatalarından korumakla kalmaz, aynı zamanda birçok fonksiyondaki personelin yenilikçiliğini ve rekabet gücünü artırmasını sağlar.

Bir şirkete hangi rolün veya ekibin veri koruma veya veri güvenliğini sağlamaktan sorumlu olduğunu sorun ve genellikle net bir cevap veremezler.

- Ancak Birçok Kuruluşun Bundan Haberi Yok

Veri Sorumlusu veya resmi olarak atanmış veri koruma görevlileri olsa bile, sorumluluk genellikle iş birimleri, veri bilimcileri, iş analistlerinden gelen girdilerle CTO, CIO, risk veya uyumluluk ekibi ve CISO kapsamındaki çeşitli işlevlere dağıtılır. Bu senaryo, verimli ve işbirlikçi bir süreci teşvik etmek yerine, genellikle belirsiz ve verimsiz bir karmaşaya neden olur.

Yazılım satan bir şirket için bu durum şu şekilde özetlenebilir: CTO şirketi ve fikri mülkiyet fikrini daha değerli kılan yazılımlar ister, ürün ve pazarlama ekipleri daha iyi ve daha ucuz uygulamalar ister, CISO ürün istiyorsa daha güvenli olmak durumundadır vb.

Yazılım Geliştirme Bu İşin Neresinde?

Uygulama(applikasyon) sahipleri ve onlarla çalışan geliştiriciler genellikle ortada buluşur, şirketin gelişmesi için son derece işlevsel uygulamalar oluşturmaya ve yönetmeye çalışırken farklı yönlere kayarlar. Bu ortamda, veri güvenliği – hem güvenlik hem de yönetişim unsurları dahil – kolayca kenara itilebilir.

Aynı durum diğer büyük şirketlerde de geçerli. Öncelikli işi yazılım geliştirme olmasa bile, hemen hemen her işletme, mantık ve inovasyon yoluyla süreçleri iyileştirmek için uygulamalar kullanır, yani bir nevi yazılım işi yapar.

Örnekler artırılabilir: Sigorta şirketleri, poliçe sahiplerinin hareket halindeyken hak talebinde bulunabilmeleri ve expertlerin alandaki hasar raporlarını doldurabilmeleri için mobil uygulamalar geliştirmektedir. Büyük perakendeciler ve nakliye şirketleri tedarik zincirini yönetmek için muazzam lojistik programlar yazıyor.

Firmalar Neden Kendi Yazılımlarını Geliştiriyor?

Birçok şirket, finansal işlem yapmak ve tahmin yapmak için kendi yazılımlarını oluşturuyor. Ve hemen hemen her kurumsal görev, çeşitli kurumsal işlevler için büyük üçüncü taraf paketleri uygulayan diğer uygulama sahiplerini barındırır.

Bu kuruluşların tümü, kurumsal uygulamalarına giren ve çıkan verilere büyük ölçüde güvenmektedir. İyi haber, bu uygulamaların veri akışı için köprü olarak işlev görmesi, verimlilik açısından gerçek faydalar sağlaması ve gerçekten de günümüzün yüksek hızlı iş ortamında değer yaratma için bir temel oluşturmasıdır.

Veri Sorumlusu-Özel Nitelikli Kişisel Veriler-Lundo Data

Kuruluşların% 53’ü, gerçekten ihtiyaç duyup duymadıklarına bakılmaksızın, özel nitelikli veriler olan 1.000 veya daha fazla dosyayı tüm erişilebilir kılıyor.

Bununla birlikte, bu faydalar da önemli risklerle birlikte gelir. Bu tür uygulamalar veri almak, çeşitli şekillerde işlemek veya saklamak ve sonra geri vermek için vardır.

Şimdi bunu her zamankinden daha fazla, doğru kimlik bilgilerine sahip herhangi bir kullanıcı için, her yerden, her zaman, her türlü veri ile yapabilirler. Şaşırtıcı bir şekilde, kuruluşların % 53’ü, hassas verilere sahip 1.000 veya daha fazla dosyayı, tüm çalışanlara erişilebilir kılıyor.

Çok fazla insana bu kadar fazla veriye erişim vermek, potansiyel veri tehlikeleri yaratır, çünkü son on yıllık kurumsal veri ihlallerine ilişkin global başlıklara göz atmak bile yeterlidir.

Özel Nitelikli Kişisel Veriler ve Veri Sorumlusu

Elbette özel nitelikli verileri korumak için birçok adım atılmıştır. Şirketler, güvenlik duvarlarından veri kaybı önleme (DLP) sistemlerine, uç nokta güvenlik yazılımlarına ve aralarındaki her şeye kadar çeşitli teknolojilere yönelmiştir.

Güvenlik ekipleri son kullanıcılara güçlü parolalar seçmelerini ve bunları sık sık değiştirmelerini hatırlatır. Birçok şirket çalışanlarına verileri güvende tutmanın herkesin işi olduğunu anlatıyor. Kimlik ve  Erişim Yönetimi (IAM) disiplini tüm uygulamalar için standart hale geldi.

Ancak, kimlik bilgileri doğrulanmış bir kullanıcının veri erişimini nasıl kontrol ediyorsunuz?

Ve yine veri sorumlusu ve veri işleyenlerin kim olduğu sorulduğunda birçok şirketin açık bir cevabı yoktur.

Görevler küçük parçalara ayrıldı, yani tek bir ekip sorumlu tutulmadı. Görevi yerine getirmek için gerçek sorumluluk verilmedi, ve bu ekip yada kişiler güçlendirilmedi.

Sonuç?

Öksüz ve yetim “veri güvenliği”

Verilerin korunması genellikle bu şekilde başarısız olur, çünkü doğal olarak işlevler arası bir sorundur.  Daha önce de belirtildiği gibi, organizasyon farklı önceliklere odaklanmıştır ve haklı olarak öylede devam eder.

Sonuçta Verilerin Korunması Kimin Sorunu?

Yazılım satmakla meşgul olan iş birimleri ve pazarlamacılar ya da yazılımı kullanmakla meşgul olan son kullanıcılar, yazılımın tasarımındaki temel veri güvenliği sorunlarını çözemez. Ürün tasarımcıları yazılımın işlevselliğini ortaya koyabilirler, ancak çoğunlukla yazılımın nasıl etkileşime girdiğine ilişkin kod düzeyi özellikleri hakkında sınırlı bilgi sahibi olurlar.

Veri analistleri, veri mühendisleri, veri bilimcileri, yazılım yöneticileri bile uygulamanın nasıl çalışması gerektiği konusunda kendi fikirleri vardır, ancak bunlar genellikle veri güvenliğini uygulayanlar değildir. Uyum uzmanları, verilerin nasıl işlenmesi gerektiğini belirleyebilirler, ancak yine de yazılımın içinde neler olduğuna dair çok az girdi vardır.

Veri Sorumlusu-Kişisel Verilerin Korunmasından kim sorumlu?

CISO’lar bile, belirli bir yazılımda kaputun altında neler olduğunu gerçekten bilmediklerini – ne kadar veri kullandığını veya verilerin tam olarak nasıl gelip gittiğini bilmediklerini itiraf edecektir.

Veri Güvenliği : Teknik mi Yoksa Ticari Kaygı mı?

Ancak bir rol, bu sorunu çözmek için iyi bir konumdadır: uygulama sahipleri. Çoğu zaman kurumsal mimar veya çözüm mimarı gibi unvanları taşıyan bu profesyonellerin, ister bir satıcıdan satın alın isterse yerleşik bir uygulama olsun, bir uygulamanın uygulanmasının doğal bir parçası olarak veri işlemenin çapraz fonksiyonel doğasıyla uğraşmaktan başka seçeneği yoktur.

Teknik ve ticari kaygıların kesiştiği noktada konumlandıkları için, kuruluştaki farklı grupların rekabet eden çıkarları arasındaki dengeyi yönetenlerdir. Hem dahili hem de harici müşteriler için yazılım sağlarlar.

Kaçınılmaz olarak, risk azaltma ile değer sunumunu dengelemeleri de gerekir iş için. Bir uygulamadaki verilerin korunmasını nasıl ele aldıkları ve onlarla birlikte çalışan geliştiriciler, uygulamanın ve verilerinin ne kadar güvenli olduğunu, uygulamanın veri düzenlemelerine uyumu ne kadar iyi teşvik ettiğini ve uygulamanın kuruluş için ne kadar değer yarattığını belirler.

Uygulama sahipleri, verilerin kurumsal uygulamalarda gerçekte nasıl işlendiğinden sorumlu olduğu için, şirketler bunları güçlendirmelidir, özellikle veri koruma söz konusu olduğunda.

Elbette, uygulama sahipleri verilerin korunması konusunda menfaati olan diğer iş işlevlerinden rehberlik almalıdır. Ancak güçlü veri güvenliği uygulamak nihayetinde uygulama sahiplerine düşer.

Kaynak Kod ve Veri Güvenliği Sorumlusu

Az önce verilen nedenlerden dolayı, güvenlik boşluğunun uygulamanın kendisinde bulunan verilerin korunması ile köprülenmesi gerekir.
Soruna uygulama düzeyinde herhangi bir çözüm, aşağıdakiler dahil en az üç öğe gerektirir:

Az önce verilen nedenlerden dolayı, güvenlik boşluğunun uygulamanın kendisinde bulunan verilerin korunması ile köprülenmesi gerekir.

Soruna uygulama düzeyinde herhangi bir çözüm, aşağıdakiler dahil en az üç öğe gerektirir:

  1. Son kullanıcıdan veritabanına kadar belirli bir eylem için verilere neler olduğunu anlayabilen uygulama düzeyinde mantığın yerleştirilmiş olması.
  2. Öngörülen sınırların dışında kalan kullanımı kısıtlayabilmelidir; bu, yalnızca geniş politikalar kullanarak değil, her rol ve kullanıcı başına yapılmalıdır.
  3. Bir sorun oluştuğunda düzeltmeyi gerçekleştirmek için gerekli mantığı içermelidir.

Sanal Ortamlar ve Bulut Teknolojisi

İşletmelerin bugün kullandıkları sanallaştırılmış ortamlarda kod düzeyinde güvenlik, gittikçe artan önemde daha önemlidir işletmelerin bugün kullandıkları sanallaştırılmış ortamlar.

Geleneksel güvenlik önlemleri şirket içi ortamları savunmak için oldukça rafine edilmiş olsa da, belirli bir BT öğesi buluta taşındıktan sonra birçoğu neredeyse alakalı veya etkili değildir.

Bir şirket bilgi işlem görevlerini kendi güvenlik çevresinin(perimeter) dışına kaydırdıkça, güvenlik duvarları ve proxy’ler gibi geleneksel ağ güvenliği araçlarına daha az güvenebilir.

Bulut tabanlı teknolojilerin yarattığı maliyet ve performansın aşırı avantajları göz önüne alındığında, sanallaştırmaya doğru hareket sadece ileride daha belirgin hale gelecek. Giderek, güvenliği yerleştirmek için kod düzeyinin dışında başka bir yer olmayacaktır.

Veri Sorumlusu Bulutta Güvende Olmayı Nasıl Sağlayacak?

Bu eğilim, örneğin, sunucusuz bilgi işlemin artan popülaritesinde zaten görülebilir. Özetle, bulutta güvende olmak için bir kuruluşun kodunu güvence altına alması gerekir.

Ne yazık ki, bu evrim çoğu zaman sadece zor işlerinin temel görevlerini yerine getirmek için kendilerini belirli teknolojilere ve satıcılara kilitli bulan güvenlik ekiplerinin mevcut uygulamalarından söz eder.

Kuruluşu korumaya çalışırken, bu durumda güvenlik uzmanları bazen farkında olmadan “iş önleme ekipleri” ne dönüşebilirler. Yeni teknolojileri benimsemeye çalışan geliştiriciler üzerindeki geleneksel kısıtlamaları zorladıkları için hem belirli uygulamaları hem de daha geniş iş süreçlerini yavaşlatır.

Çoğu durumda, kuruluşlar belirli iş işlevlerini yeni ekipmanlara, yazılımın yeni sürümlerine veya bulutun kendilerine taşımaktan yararlanamazlar çünkü şirketin siber güvenlik duruşu, eski BT ortamının özel yapılandırmasına bu kadar sıkı bir şekilde bağlıdır.

BT ve Güvenlik Yöneticilerinin % 44’ü bulutun getirdiği karmaşıklıkların veri güvenliğini artırmanın önündeki en büyük engel olduğuna inanıyor.