CIO’lar, Kişisel Verilerin Korunması Kanunu’nu tartıştı

CIO’lar, Kişisel Verilerin Korunması Kanunu’nu tartıştı

IBM Türk ve Kapitil Bilişim katkılarıyla, CIO Dergisi ev sahipliğinde gerçekleşen Kişisel Verilerin Korunması Kanunu’nun (KVKK) tartışıldığı etkinlikte, IBM Türk ve Kapitil Bilişim bu alandaki vizyonlarını ve özel çözümlerini aktarırken, konunun uzmanları da hukuki boyutuna yönelik detayları paylaştı.
Yasanın hem küresel hem de teknolojik birtakım ihtiyaçlar doğurduğunu söyleyerek sunumuna başlayan IBM Türk Analitik Platformları Satış Yöneticisi Merve Yılmaz, IBM olarak bu noktada teknolojik ihtiyaçları karşılamaya yönelik çalışmaları olduğunu hatırlattı. IBM’in GDPR ve KVKK ile doğacak ihtiyaçları karşılamak için bir yol haritası olduğunu belirten Yılmaz, “’İlk aşamada hassas verileriniz neler, kurumunuz içerisinde nerelerde zafiyetiniz var?’ bunların değerlendirmesini yapıyoruz. Mevcut durumun analizinin çıkarılmasının ardından, yasanın belirttiği veri envanterinin oluşturulması kısmı bu ilk aşamada başlıyor. Daha sonra biz bu ihtiyaçlar için nasıl bir mimari oluşturulması gerektiği konusunda bir dizayn çalışması sunuyoruz. Bu aşamayı, dizayn sonucunda çıkan mimariyi uygulama, işleme ve sürekliliğini sağlama gibi düşünebilirsiniz” dedi.

Dizayn kısmının kurumlar tarafından atlandığını savunan Merve Yılmaz, IBM olarak değerlendirme kısmında kendi bünyelerindeki danışmanlarla kurumlara destek olduklarını kaydetti. Yılmaz, “Yine aynı şekilde mimarinin belirlenmesi konusunda da desteği bizden alabilirsiniz” diye konuştu.

GDPR ve KVKK açısından bakıldığında; veriyi yapısal ve yapılandırılmamış veri olarak ikiye ayırdıklarını dile getiren Yılmaz, bu noktada da veri envanterini oluşturma kısmının gündeme geldiğini belirtti. Merve Yılmaz konuşmasını şöyle sürdürdü: “Hassas verilerin nerede tutulduğuna dair envanterin çıkarılmasını ilk aşamada yapıyoruz. Hassas verileri tanımladıktan sonra kurum içerisinde bunun nerelerde olduğunun tespitini gerçekleştiriyoruz. Müşterilerden gelecek ‘beni unut!’ talebinin işleme alınması ve sonrasında anonimleştirme yapılması için çözümlerimiz mevcut. Tüm çalışmalardan sonra da Data Risk Manager adını verdiğimiz tek bir ekrandan her şeyi kontrol edebileceğiniz bir çözüm de IBM tarafından sunuluyor.”

“Verinin korunması yolculuğunda; süreç, insan ve teknoloji birbirinden bağımsız değil”
IBM Türk Security Ülke Lideri Engin Özbay ise, IBM olarak müşterilerine Veri Güvenliği ve Veri Mahremiyeti başlıkları altında ürün ve hizmetler ile uçtan uca destek verdiklerini söyleyerek, “Hazırlık Değerlendirme çalışması ile müşterilerin mevcut durumunu öğrenip, nasıl bir transformasyon geçirmesi gerektiği konusunda yardımcı olurken, Kritik Veri Koruma Programı gibi servislerimiz ile verinin nerede olduğunu, hangi risklere maruz kaldığını ve bu riskleri nasıl yöneteceği konusunda müşterilerimize destek oluyoruz” dedi. Özbay, bütün bunlara ek olarak IBM Güvenlik Ürünleri ile söz konusu risklerin adreslenmesini sağladıklarını kaydetti.

Verinin günümüzde çok değerli olduğunu söyleyen Engin Özbay şöyle konuştu: “Kurumlar iş ihtiyaçlarından bağımsız veriyi stoklama yaklaşımını tercih ediyordu. KVKK ile bu yaklaşım değişiyor. Artık kurumların bu konuda iş ihtiyaçları ve yasal gereksinimleri göz önünde bulundurarak veriyi depolaması gerekiyor. Veri güvenliği kapsamında birçok kurumun altyapı ve birikime sahip olduğunu, ancak son kullanıcılarda bu farkındalığı yaratmakta zorluk çektiğini gözlemliyoruz. Bu sebeple kurumların veri güvenliği konusunda altyapısal yatırımlara devam ederken, kurum içerisinde farkındalığı artıracak önlemler de alması gerekmektedir.”

KVKK ile net olarak belirlenmiş cezalara ek olarak en önemlisinin veri kaybı vakalarından dolayı müşterilerde ve yatırımcılarda yaşanan güvenlik kaybı olduğunu söyleyen Özbay, “KVKK herkesi ilgilendiren bir kanun. Sadece büyük kurumları değil, her ölçekteki özel ve kamu kuruluşlarını ilgilendirmektedir. Her kurum işlediği veriyi korumaktan sorumlu olacaktır. Ancak unutmamamız gerekiyor ki, burada en önemli görev bizlere, yani verinin gerçek sahiplerine düşüyor. Verinin korunmasında birinci sorumluk verinin sahibindedir. Bu noktada da KVKK kapsamında nokta atışı projeler ile değil veri güvenliği ve veri mahremiyetini kapsayan sürdürülebilir yaklaşımlar ile iş süreçlerimizi ele alan uçtan uca programlar oluşturulmalıdır; bu yolculukta süreç, insan ve teknolojinin birbirinden bağımsız olmadığını unutmamalıyız” şeklinde konuştu.

“KVKK tamamen veri sorumlusunu baz alıyor”
Etkinliğin konuşmacılarından biri olan Baysal Sezgin Hukuk Bürosu Yönetici Ortağı Özlem Baysal Sezgin de 7 Nisan 2016 yılından bu yana Kişisel Verilerin Korunması Kanunu’nun sık sık konuşulduğunu söyleyerek sözlerine başladı. Kişisel verinin aslında kişinin kimliğini belirleyecek her türlü veri olduğunu ifade eden Sezgin, bu verilerin; ayakkabı numarasından sağlık bilgilerine, pasaport numarasından doğum tarihi ve doğum yeri verilerine kadar her türlü bilgiyi kapsadığını söyledi. Kişisel verilerin işlenmesinin de bu anlamda aslında bu tür bir kişisel veriyi kaydetmeye başlanılan andan, verinin tamamen yok edildiği ana kadar devam eden veri üzerinde yapılan her türlü işlem olduğunu dile getiren Sezgin, veri konusunda iki kişinin sorumlu olarak tanımladığını kaydetti. Özlem Baysal Sezgin, “İlki veri sorumlusu ikincisi de veriyi işleyen kişi. Veri işleyen tamamen veri sorumlusunun talimatı ile hareket eden ve inisiyatifi olmayan kişi. Kanun tamamen veri sorumlusunu baz alıyor” dedi.

Veri konusunda her daim açık rıza alınmasının hukuka uygun kişisel verileri işlemek için tamamen yeterli olmadığına işaret eden Sezgin, verinin işlenmesi kanuna uygun ise açık rıza alınmasa dahi kabul edilebileceğini belirtti. Sezgin şöyle devam etti: “Kanun idari para cezalarının yanı sıra hapis cezaları da öngörüyor. Bunun yanında; Ceza Kanunu da bu konudaki cezaları kapsıyor. Örneğin; veri sorumlusu tüm önlemleri alsa dahi çalışan veri gizliliğini bozuyorsa bu durumda Türk Ceza Kanunu kapsamında 4 yıla kadar hapis cezası alabiliyor. Bu noktada çalıştığı şirketin tazminat hakkı dahi oluyor.”

“KVKK, IT’nin hak ettiği öneme kavuşması için çok değerli bir fırsat olabilir”
Kapitil Bilişim Genel Müdürü Özgür Kaplan, KVKK’da belirtilen teknik ve idari tedbirler göz önüne alındığında birbirini tamamlayan farklı bileşenlerden bahsetmenin mümkün olduğunu belirtti. Kaplan, “Kapitil Bilişim olarak odaklandığımız konular kişisel verilere erişimin sınırlandırmasına yönelik kurumsal parola yönetimi, olay yönetimi ve güvenlik açığı olan yazılım/donanım tespiti. Bazı uzmanlar özellikle biyometrik kimlik doğrulama metotlarının gelişmesiyle parola kullanımının tarih olacağını iddia ediyor olsa da bunun yakın zamanda gerçekleşmesi pek mümkün görünmüyor. Günümüzde neredeyse bütün aplikasyonlara kullanıcı adı ve parola ile erişiyoruz. Bu da daha fazla risk ve daha fazla problemi beraberinde getiriyor. Nitekim Verizon 2016 DBIR raporuna göre, veri ihlallerinin yüzde 63’ü zayıf, varsayılan veya çalınmış parola kullanımından kaynaklanıyor” dedi.

KVKK’nın teknik tedbirlerinde siber güvenliğin sağlanması ile ilgili olarak parolaların belli periyotlarda değiştirilmesinin, deneme sayısının azaltılmasının ve güçlü parola politikası uygulanmasının olduğunu ifade eden Özgür Kaplan, “Bu aşamada FastPassCorp son kullanıcının SOX ve ISO 27002 prosedürlerine bağlı kalarak kurumsal parolalarını tek platformda güvenli bir şekilde yönetmesine imkân vermekte. FastPassCorp Self Servis prensibiyle farklı kullanıcı grupları için değişik kombinasyonlar sunarak çok faktörlü kimlik doğrulamasına ve sonrasında parolanın sıfırlanmasına olanak sağlar. FastpassCorp’un Security&Compliance odaklı çözümüyle son kullanıcı verimliliğini artırarak ve Service Desk iş yükünü azaltarak kısa sürede ROI sağlamaktayız” diye konuştu.

Ayrıca, KVKK’da değinilen olay yönetiminin daha çok bir güvenlik olayı meydana geldiğinde nasıl davranılacağının belirtilmesini işaret ettiğini kaydeden Kaplan şöyle devam etti: “Bu konudaki sorulara Wendia hizmet masası modülündeki Security-Incident prosesiyle cevap veriyoruz. Yapılandırma ve Varlık Yönetimi modülüyle CMDB’de kayıtlı güvenlik açığı bulunan riskli CI’ların tespitini kolaylaştırmaktayız. Ayrıca Wendia’nın ITSM Toolsuite ile desteklenen toplamda 15 ITIL prosesinde kişisel verilere erişim her kullanıcı veya kullanıcı grubu için azami derecede esnek yapılandırılabilirken verileri maskeleme, anonimleştirme ve silme fonksiyonları GDPR/KVKK uyumluluğuna dikkat edilmekte.”

Türkiye’de veri depolama farkındalığı ve veri güvenliği üzerinde de duran Özgür Kaplan, veri merkezlerinin bu konularda hassas olduğunu ifade etti. “Kurumların birçoğu gerekli tedbirlerin alındığını müşterileriyle paylaşıyor. Gerçek durum ancak denetimlerde ortaya çıkacaktır” diyen Kaplan, kişisel verilerle ilgili farkındalığın biraz da toplumsal bir konu olduğuna işaret etti. Kaplan, “Örneğin mağazada alışveriş yaptığınızda kasada isminiz ve telefonunuz sudan sebeplerle sisteme giriliyor. Hizmet aldığınız bir kurumun çağrı merkezini aradığınızda kimlik numarası ile kimlik doğrulaması yapılması da çok düşündürücü. Avrupalıların bu konuda çok daha muhafazakâr davrandığını söylemeliyim” şeklinde konuştu.

Öngörülen pek çok teknik tedbirin KVKK’dan bağımsız günlük operasyonlar için gerekli olduğunu ve hâlihazırda uygulandığını anlatan Kaplan sözlerini şöyle sürdürdü: “KVKK uyumluluğunda minimum da olsa siber saldırılara karşı etkin bir olay yönetimini kanıtlamak fayda sağlayacaktır. Öncesinde kullanıcıların bir güvenlik olayını nasıl ileteceğini bilmesi, Service Desk çalışanlarının proses ve rolleri tanıması gereklidir. Sistem konfigürasyonlarında alarmların otomatikleştirilmesi ve farklı sistem öğelerinden gelen bildirimler arasındaki bağıntıyı açıklayabilecek akıllı uygulamalar IT organizasyonunun olası bir siber güvenlik tehdidine karşı donanımlı olduğunu kanıtlamaya yetecektir.

Gerek KVKK gerekse diğer IT standartları içerdeki IT-proseslerinin ve altyapısının üçüncü taraflara karşı belli ölçülerde şeffaf olmasını sağlamaktadır. Bu şeffaflık yatırımcının ve müşterinin artan güveni olarak karşılık bulacaktır. Dijitalleşen dünyada konuyu salt belli kanunlara yeterlilik olarak algılamak uygulamada asgari tedbirlerde kalınmasına ve yoğun rekabet şartlarında potansiyelin doğru kullanılmamasına sebep olacaktır. KVKK; IT’nin ileriye dönük hedeflerde hak ettiği öneme kavuşması ve içerdeki imajını artırması için çok değerli bir fırsat olabilir.”
Etkinlik çerçevesinde; Kişisel Verilerin Korunması Kanunu’nun masaya yatırıldığı bir panel de gerçekleşti. Panelde, IBM Security Ülke Lideri Engin Özbay, Ford Otomotiv CIO’su Hayriye Karadeniz ve Atasun Optik CIO’su Mustafa Ozan konu kapsamında kurumlarındaki deneyimlerini aktardı.

Categories: ETKİNLİKLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*