Micro Focus’un Bölge Satış Müdürü Cumhur Keleş ile özel bir röportaj yaptık.
Her ne kadar hayatımıza 2018 yılı Nisan ayında girse bile KVKK’ya uyum bir süreç. Bu konuda elzem olan veri sınıflandırması ise çoğu şirket için içinden çıkılması güç bir sorun olmayı sürdürüyor. Bu konuda genel izlenimleriniz eşliğinde, Micro Focus’un çözüm ve önerileri neler? Şirketler nasıl bir yol haritası izlemeli?
İlk olarak 2010 yılında yapılan değişiklik sonucunda Anayasanın 20’nci maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmıştır. KVKK’nın yürürlüğe girmesi 7 Nisan 2016 olup, yayımı tarihinden itibaren 2 yıl kanun hükümlerine uyum süresi tanındı. Özetle, KVKK’nın hayatımıza dokunmaya başlaması 2018’den de öncesine dayanmakta. Yine de, Avrupa’nın 1995’te 95/46/EC direktifi ile Türkiye’den önce kişisel verilerin korunması için daha tecrübeli olduğunu söylemek mümkün.
Bununla birlikte, finans, telekom, enerji gibi sektörlerin BDDK, BTK ve EPDK gibi sektörel düzenleyici kurumların olması sebebi ile yeni regülasyonlara uyum sağlamak konusunda avantajlı olduğunu söylemek mümkün. Özellikle, finans ve telekom sektörü uzun zamandır veriye ilişkin düzenlemeler sebebi ile hassasiyetleri daha fazla. Özetlemek gerekirse, veri yönetişimi bu sektörler için yeni terimler değil.
Bununla birlikte, tüm sektörleri katarak söylemek gerekirse kişisel veri tanımı yoktu ya da çok kısıtlı miktarda kapsamda idi. Aynı şekilde, kurumların veriyi depolama, yani silmeme alışkanlıkları vardı. Bu sebeple de şirketlerin yaşamları boyunca inanılmaz büyüklükte, kullanmadıkları ve kontrolünü yitirmeye başladıkları bir veri çöplüğü ile karşı karşıya kaldıklarını anladılar. Aslında, bunun farkındaydılar sadece halının altına süpürülüyordu.
Sorun da tam bu noktada çıkıyor; Kurumlar, KVKK ile birlikte eteklerindeki taşları dökmek zorunda kalmaktalar. Sadece halının altındaki süpürülenler değil, kilitleyip unuttukları verileri de gözden geçirmek zorunda kalıyorlar.
Üstüne, bu sadece yapısal veri olarak tabir ettiğimiz veritabanlarında tutulan değil, aynı zamanda dökümanlar, dosyalar olarak tabir ettiğimiz yapısal olmayan verileri de kapsamakta. Veri yönetişimini en iyi uyguladığını iddia eden kurumda dahi, yapısal olmayan veri kontrolünün eksik olduğunu görüyoruz.
CyberRes, Micro Focus olarak söylemimiz “Bilmediğin veriyi koruyamazsın”. Bu sebeple de gerek yapısal gerekse yapısal olmayan veri havuzlarında Kişisel Veri, Hassas Veri ya da kurum için önemli ya da gizlilik içeren dökümanların keşfedilmesini ve sınıflandırılmasını sağlıyoruz.
Bu keşif sırasında, kurumlar gereksiz, çoklanmış ya da farkında olmadıkları risk içeren birçok bilgiye sahip olduklarını görüyorlar. Daha da önemlisi, önem sırasına sokma ve önceliklendirerek süreçlerini güncelleme şansı elde ediyorlar. Biz bu sebeple, veri yönetişimi yerine bilgi yönetişimi demeyi tercih ediyoruz. Keşif sonrasında, birçok kurum %20-%30 civarında dosya silme ile yer açarken aynı zamanda veri tabanlarında da birçok gereksiz veriyi de hem silme hem de düzeltme imkanına sahip oluyorlar. Aslında kurumlara hafızalarını kazandırıyoruz.
Verisini tanıyan kurumun ise ilgili süreçleri yönetmesi hem daha yalınlaşıyor hem de güvenliğini sağlamakta öngörü sahibi oluyorlar.
Veri keşfi ile sadece sınıflandırma değil aynı zamanda gereksiz verilerden kurtulmayı ve öncelik verilecek alanlarda kurumlara yardımcı oluyoruz.
Finans, sağlık, sigorta, kamu, finansal hizmetler, enerji, telekomünikasyon sektörleri gizlilik uyumunu bir fırsat olarak görüyor. Bu fırsat havuzunda kendirinizi nasıl konumlandırıyorsunuz? Portföyünüzden örnekler verebilir misiniz?
Özellikle bahsettiğiniz bu sektörler, yoğun bir şekilde çok büyük veriler işlemeleri dışında aynı zamanda veri çeşitliliğine de sahip olan sektörler. Üstüne bir de sektörler, uzun yıllardır hizmet verdikleri için yaşadıkları deneyimler ve değişimlere göre de hem yılların verilerine sahipler hem de farkında bile olmadıkları, unuttukları verilere sahipler.
Bu yüzden, bu sektörler veri keşfini bir fırsat olarak görüyorlar ve KVKK uyumluluğu ile birlikte kurum içindeki kullanılmayan ya da kullanılmaması gereken, saklama süresi geçmiş verileri silerek ciddi operasyonel kazanımlar sağlayabiliyorlar.
CyberRes, Micro Focus olarak verinin silinmesi konusunu değerli buluyoruz. Sadece verinin saklama süresi sonunda silinmesi değil, kullanılmayan ancak saklama süresi boyunca tutulması gereken verilerin arşive kaldırılması konusunda yardımcı oluyoruz.
Gözden kaçırılan bir başka önemli husus ise, test veri yönetimi. Bildiğiniz üzere kurumların yazılım geliştirme süreçlerinde, yeni değişiklik/uygulamaların devreye alınmadan önce doğru çalışıp çalışmadıklarını kontrol etmek amacı ile test ortamlarında kontrolleri yapmaları gerekmekte. Test süreçlerinin başarılı olması için ise, mümkün mertebe test ortamlarının gerçek ortama benzemesini sağlamak. Gerçek verinin test ortamında kullanılması mümkün olmadığından dolayı ya da daha doğrusu kullanılmaması gerektiğinden, gerek güvenlik gerekse uyum gerekçeleri ile, test verisi oluşturulması gerekmekte.
Test verisi üretmek ezelden beri kurumların gerek operasyonel gerekse teknik açıdan zorlandıkları ve şikayet ettikleri husustan biri. Üstüne bir de kişisel verinin korunması gündeme geldiğinde, test verisi üretirken daha da dikkat etmek gerekiyor.
Bu hususta, CyberRes olarak test veri yönetimi konusunda kişisel veri keşfi ile birlikte bütünleşik bir yapı sunuyoruz. Yani, kurumlara kişisel veri keşfini test verisi oluşturulmasında hem bir ön adım olarak sunuyor hem de test verisinin de oluşturulması için senaryolarla üretimini de sağlıyoruz.
Unutulmaması gereken hususlardan biri de, özel nitelikli veriler. Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek niteliğe sahip olan bu verilerin korunması için kurumların ek önlem almaları gerekmekte.
Veri Şifreleme yaklaşımımız bu noktada pazarda ayrıştığımız bir çözüm. Verinin sadece sistemlerde dolaşımı ya da kullanımında değil, aynı zamanda saklandığı yerde de şifreli tutulmasını sağlıyoruz.
Kısaca açıklamak gerekirse, verinin korunmasında sadece ön yüzde değil aynı zamanda veritabanından şifreli tutulması gerektiğini söylüyoruz. Bu sayede, eğer veri kurum dışına çıkacak olsa dahi en azından korunması sağlanmış olacaktır.
Özetlemek gerekirse; veri keşfi ile başlayan yolculukta kurumların veri silme, veri arşivleme, test verisi üretme ve şifreleme ile başından sonuna hem yapısal hem de yapısal olmayan veri havuzları için yardımcı oluyoruz.
Şu anda Türkiye’nin sayılı telekom, finans, sigorta ve havacılık sektöründeki şirketlerin tercihi olmamızın sebebi de sadece sürecin belli bir bölümü değil, tüm aşamalarını kapsayacak bütüncül bir yaklaşıma sahip olmamız.
Organizasyonların veriye bağlı politika ve stratejilerini yeniden tasarlamaları için nelere ihtiyaçları var? Liderliğinizle birlikte hangi sorunlarına çözüm bulabilirler?
Öncelikle organizasyon içinde bu farkındalığın üst yönetimde olması ve sponsorluğunun üst yönetim tarafında sağlanması gerekmekte. Kurum yönetimlerinin yeterli desteği olmadan, maalesef projelerin başarılı olması mümkün değil. Bu sebeple, kurum üst yönetimlerinin veri politika ve stratejilerinin oluşumunda aktif rol almaları şart. Verinin sadece geleceğin petrolü, altını olduğunu söylemenin ötesinde, veriye ilişkin değerlemenin yapılması, yani kurumun sahip olduğu verinin finansal değerinin belirlenmesi ve buna göre sınıflandırılıp yönetilmesinin farkındalığı daha da arttıracaktır.
Ne demek istiyoruz verinin finansal değerinin belirlenmesi derken? Herhangi bir veri ihlali yaşandığında sadece kaybedilen verinin sayısı, büyüklüğü yerine bu verinin firmadaki finansal etkisi de hesaplanacak olursa kurumların yıllık harcama bütçelerinde gerek güvenlik gerekse veri yönetimi kalemlerinin belirgin paylar alacağına eminim.
Bu yaklaşımdan yola çıkarak, CyberRes – Micro Focus olarak verinin finansal değerini hesaplayacak bir çözüm üzerine kafa yorduğumuzu söyleyebilirim. Artık sadece teknolojinin ihtiyaç duyacağı ürünü değil, kurumun ihtiyaç duyduğu ve aynı dilden konuşulacak çözümleri sunmanın zamanının geldiğini düşünüyoruz.
Micro Focus uçtan uca çözümler sunan bir dünya devi. Sunduğunuz çözümler ise regüle ve dolayısıyla standartlar bütününü temsil ediyor. Türkiye uyum süreci ve dijital dönüşüm konusunda nasıl bir karneye sahip (nasıl bir izlenimi var)? Eksik yönlerimiz konusunda neler söylemek istersiniz?
Aslında, Türkiye’nin inişli çıkışlı bir grafik çizdiğini söylemek mümkün. Maalesef bu konudaki genel yaklaşımımız, KVKK’ya uyum sürecinde bahis konusu olan VERBİS kayıt tarihi gibi son tarihlere göre pozisyon almak ve tabiri caiz ise yumurta kapıya dayanmadan aksiyon almamak. Oysa ki, kanun çok uzun süredir yürürlükte ve uyum sürecinde yapılması gereken birçok kalem var. Bildiğiniz gibi, Veri Sorumluları Siciline kayıt yükümlülüğü için son tarih 31 Aralık 2021 olarak belirlendi. Kurumların, KVKK’ya uyum sürecinin tek seferlik bir adım olmadığını ve bu süreç için emek vermeleri gerektiğini bilmeleri gerekiyor. Özetle, KVKK’ya uyum bir seferlik değil, artık hayatımızın ve süreçlerimizin bir parçası olduğunu aksi halde çeşitli yaptırımlarla karşı karşıya kalınacağını hatırlamamız gerekiyor.
Bununla birlikte, daha önce dile getirdiğimiz gibi uyum süreçleri bir yük olarak değil, bir fırsat olarak görülmeli. Fazla yüklerinizi atacağınız, risklerinizi azaltacağınız ve verimliliğinizi arttıracak birçok faydası var. Doğal olarak, dijitalleşmenin de burada ortak faydasını göreceği birçok konu olacaktır.
KVKK ve GDPR başta olmak üzere gereklilikleri yerine getirmek, yönetim prosedürlerini uygulamak veya çözümleri konumlandırmakta daha çok zorlandığını düşündüğünüz sektörler hangileri? Kimler yarışta geride kaldı?
Daha önce belirttiğim gibi, regülasyonlara uyum sağlamada tecrübe sahibi olan sektörler, telekom, finans, sigorta, havacılık vb. sektörler ilk harekete geçenler oldu. Aynı şekilde yoğun müşteri verisi işleyen, Avrupa ülkeleri ile ticari faaliyetleri olan sektörler, KVKK’ya uyum sürecinde ilk grubu takip etmekte.
Zorlandığını düşündüğümüz sektörleri genel olarak kamu sektörü olarak söylemek mümkün. Bildiğiniz üzere, uyum sürecinde organizasyonların farkındalığının olması, koordineli işbirlikteliği ve sürecin doğru yönetilmesi en önemli hususlar. Kamu sektöründeki kurumlarda gerek daha önce regülasyonlara uyuma yönelik bu tarz deneyimlerin eksikliği gerekse bahis konusu olan hazırlık çalışmalarının eksikliği uyum sürecinde biraz geride kaldıklarını gösteriyor. Yine aynı şekilde küçük ve orta ölçekli işletmelerin farkındalıklarının yeteri kadar olmaması ya da ekonomik koşulların elverişsizliği, KVKK’ya uyumluluk ile ilgili aksamaların olmasını sağlamakta.
RPA ve ML gibi ileri teknolojilerdeki gelişmelerin hız kazandığı ve iş hayatı içerisinde etkisini daha fazla hissettiğimiz günümüzde hem güvenlik önlemleri almak hem regülasyona bağlı kalmak hem de gelecek planlaması yapmak gittikçe zorlaşıyor. Bu dönüşüme liderlik etmenin daha da zor olduğunu/olacağını düşünüyorum. Sonraki adımları planlamak isteyenlere önerileriniz neler olur?
Çok güzel bir noktaya değindiniz. Evet, süreçlerimizi hızlandıralım, yalınlaştıralım, doğru sonuçlara en kısa zaman ulaşalım. Fakat güvenlik ve regülasyonlara uyum bu noktada dikkat etmemiz gereken hususlar. Başlangıçtan itibaren (data protection by default) ve Tasarımdan itibaren veri koruması (data protection by design) kavramlarının, kurumların gerek yeni teknolojilerin kullanımında gerekse süreçlerin değişmesi ya da tasarlanmasında ciddi rol oynayacaktır.
Özetle; süreçlerinizi tasarlarken güvenlik ve regülasyonları uyum sürecinin bir adımı olarak mutlaka koymanızı tavsiye ediyoruz.
