Kritik Verilerinizi Tespit Ettiniz Mi?
Eğer kritik verilerinizin neler olduğunu belirlemediyseniz, önce bu yazıya bir göz atın ardından çalışmalarınıza bir an önce başlayın…
GDPR/KVKK gibi veri koruma alanına yönelik düzenleyici mevzuatlarla birlikte artık başta kişisel veriler olmak üzere, verilerin nasıl edinileceği, işleneceği, paylaşılacağı ve korunacağına ilişkin kabul gören bir anlayış gelişmeye başladı. Veri yönetişimi kabiliyeti de, bu anlayışın bir firmadaki olgunluk seviyesinin en önemli göstergelerinden birisi. Veri yönetişiminin öncelikli adımlarından olan kritik verinin belirlenmesi sürecini, bir kaç soru üzerinden ele alacağım.
Kritik Veri Nedir?
Genelde, GDPR/KVKK gibi düzenleyici mevzuatların zorlayıcı hükümleri sayesinde, kişisel verilerin korunması konusunda herkes hem fikir: Çalışan ve müşterilere ait isim, adres, telefon numarası, TC kimlik numarası, kredi kartı numaraları, doğum tarihleri... Organizasyonlarımızda kişisel veriler harici de kritik veriler bulunduruyoruz. Peki kritik veri nedir?
DAMA International (the Data Management Association)’a göre, belirli bir iş alanında başarı için büyük önem arz eden veriler kritik veri olarak tanımlanır. Başka bir tanıma göre ise, kritik süreçlerin kendisinden beklenen hedefleri gerçekleştirebilmesi ihtiyaç duyduğu veriler, kritik veri olarak tanımlanabilir. Bu tanım bana ait; tabiki okuduğum, incelediğim, dinlediğim kaynaklardan edindiğim bilgiler veya içerisinde yer aldığım çalışmalar sayesinde böyle bir tanımı yapabiliyorum.
Kritik verinin belirlenmesine yönelik çalışma yürüttüğüm bir firmada, kritik verinin ne olduğuna ilişkin gelen bir soruya, e-posta üzerinden verdiğim cevabı da ekleyim şuraya:
Gizliliğinin ihlal edildiği veya bütünlüğünün bozulduğu veyahut erişiminin engellendiği durumlarda iş süreçlerinde ortaya çıkacak etkinin, organizasyon açısından kabul edilemez olduğu veriler kritik veri olarak tanımlayabiliriz.
Kritik Verinin Belirlenmesi Ne Kadar Önemli?
Organizasyonlar bir veri sağanağı altında faaliyet yürütüyor. Ve sahip olduğu veri işleme becerileri organizasyondan beklenen değerin üretilmesini etkiliyor. Bu beceriler insan, süreç ve teknoloji alanına dengeli olarak yayılmalıdır: İlgili roller belirlenmiş, görev atamaları yapılmış, ölçülebilir hedeflere sahip süreçler tanımlanmış, veri keşfi/yönetişimi teknolojileri sisteme alınmış olması gerekli.
Her organizasyon, farklı işlevlere sahip iş süreçleri aracılığıyla paydaşlarına değer yaratan bir varlıktır. Organizasyandaki farklı birimler bu işlevleri yerine getirir; İnsan Kaynakları, Muhasebe, Pazarlama, Satış ve Bilgi Teknolojileri birimleri gibi. Bu işlevler, kuruluşun amacına hizmet etmesine, hedeflerine ulaşmasına olanak tanır. İnsan Kaynakları ve Muhasebe gibi birimler de kendilerinden beklenen işlevleri yerine getirebilmek için kritik öneme sahip verileri barındırdıkları veri tabanlarına sahiptirler.
Farklı çok sayıda kaynaktan gelen verilerden hangilerinin saklanacağı, hangilerinin imha edileceği, hangilerinin ne tür şartlarda kimlerle paylaşılacağı hakkında hızlı ve doğru kararlar verilebilmek için elimizde bir takım kriterler olması gerekir. Kritiklik derecesinin bu konuda dikkate alınması gereken en önemli kriter olduğu kanısındayım.
Kritik Veri Örnekleri Nelerdir?
Bu soruya karşılık, kritik veri kapsamında aklıma gelen örnekleri sıralıyorum:
- KVKK/GDPR kapsamındaki çalışan, müşteri, hizmet alınan firma ve iş ortağı gerçek kişilere ait veriler,
- Denetim, iç kontrol ve risk yönetimine ilişkin raporlar,
- Sızma testleri gibi siber zaafiyetlere ilişkin raporlar,
- Şirket finansal yapısı hakkındaki veriler,
- Organizasyon fikri mülkiyeti, geliştirilmekte olan ürün ve hizmetlere ilişkin veriler,
- Üst yönetime veya kritik personele ait veriler gibi…
Kritik Veri Nasıl Belirlenir?
Veri işleme öncelik ve gerekliliklerine ilişkin farklı bakış açılarından kaynaklı olarak bu konuda iş birimleri arasında görüş farklılıkları olabilir. Bazı veriler sadece tek bir ekibin belirli çalışmaları için kritik olabilir. Bir iş süreci açısından kritik olan veriler, bir diğeri için anlam ifade etmeyebilir. Bu nedenle bir veri grubunun, her hangi bir süreç veya faaliyet açısından sahip olduğu en yüksek kritiklik düzeyine kadar yönetilmesi gerektiğini vurgulamak isterim. Bu, ilgili verilerin güvenli şekilde muhafaza edilmesi için “kimine göre” büyük zahmetlere katlanılmasını da haklı çıkaracaktır.
Veri yönetişimi açısından olgun organizasyonlar, en önemli olana odaklanabilmek amacıyla veri kritikliği ağırlıklandırma sistemleri kullanır. Bu kapsamda veri kritikliğinin tespitinde dikkate alınması gereken konuları aşağıda sıraladım:
- Veri işleme amacı,
- Veri gizliliği, bütünlüğü ve erişilebilirliğinde yaşanacak bir sorun durumunda ortaya çıkabilecek hukuki, finansal ve itibar riskleri,
- Verilerden yararlanan paydaş sayısı,
- Verilerin işlendiği süreç sayısı,
- Verilerin saklanması ve imhasına yönelik mevcut yasal gereklilikler,
- Gelecekteki projeler için verilere duyulan ihtiyaç,
- Veriler kullanılarak yapılması gereken, yasal ve iş gerekleri çerçevesindeki bildirim zorunlulukları gibi…
Bu unsurlar çerçevesinde yapılan değerlendirmeler, en kritik olandan yalnızca belirli bir bağlamda kritik olanlara kadar, verilere uygulanabilecek farklı kritiklik seviyelerini tespit edilmesinde yardımcı olacaktır.
Bu noktada şunu söylemeliyim;
Kritik veri tanımları zamanla değişebilir. Bu nedenle yeni veri türleri kritik hale gelirken, daha öncesinde organizasyon açısından kritik olarak değerlendirilen veriler, bizim açımızdan önceliklerini kaybetmiş olabilir. İdeal olarak, her organizasyonun kritik veri tanımlarını güncel tutmak için düzenli aralıklarla çalışmalar yapması gerekir.
Kritik verilerin belirlenmesinin ilk adımı, kritik iş süreçlerinin saptanmasıdır. Temel iş süreci ne anlama geliyor? Kritik iş sürecini, bir organizasyondan beklenen değerin yaratılması için gerekli süreçler olarak tarif edebilirim. Örneğin, bir online alışveriş şirketinin e-ticaret web sitesi üzerinden potansiyel bir müşterinin, seçtiği ürünü satın almak için ödeme alanına geldiğinde, işlemi gerçekleştirme kararı, kredi kartı numarası, adres gibi verilerini girdiği ve alışverişi tamamladığı süreç, bu şirketin kritik iş süreçlerinden bir tanesidir. Ve bu sürecin sağlıklı ve güvenilir şekilde işliyor olması gerekir.
Kritik iş süreçlerinin yanında, organizasyon genelinde güvence, risk yönetim ve uyum faaliyetlerinden sorumlu iç denetim, risk yönetim, iç kontrol, uyum ve hukuk birim yöneticileri ile de bir dizi toplantılar gerçekleştirilmelidir. Bu toplantılarda, organizasyon açısından kritik verilerin neler olduğuna ilişkin bir liste oluşturulur. Bu listeye KVKK uyum programı kapsamında hazırlanan veri envanterinden elde edilen veri alanları da eklenmelidir. Böylece, organizasyondaki kritik veri türlerine ilişkin taslak bir liste elde etmiş oluruz. Bu çalışmanın faydası da kritik veri kavramı konusunda ilgili birimlerin dikkatinin çekilmiş olmasıdır. Böylece ilgili birimlerin, elimizdeki listeyi daha tutarlı girdiler sağlamaları daha kolay olacaktır.
Sırada elde edilen veri türlerinin nerelerde tutulduğunun tespiti var. Bu konuda veri keşfi teknolojilerine ihtiyacımız olacak. DLP ve veri sınıflandırma araçları veya veri tabanı yönetim araçlarının sahip olduğu veri keşfi imkanları bir ölçüye kadar işinize yarayabilir. Kendi yaptığım çalışmalarda, bu teknolojilerin sınırlarını çarpıcı şekilde görme şansım oldu. Bu nedenle veri keşfi için, bu alana özel geliştirilmiş teknolojilerin kullanılması gerekecek.
Veri keşif araçları ile kritik verilerinizi ve tutuldukları alanları belirlediğimizi farz edelim. Bu noktada artık kritik verilerin bulunduğu alanlara ilişkin mevcut kontrol yapısının sağladığı güvenlik seviyesini gözden geçirebilirsiniz. Bu çalışma organizasyon genelinde uygulanmak üzere gizlilik, bütünlük ve erişebilirlik ilkelerinin göz önüne alındığı bir veri sınıflandırma politikasının tanımlanması ile de desteklenmelidir.
Kritik Verilerin Tespit Edilmemesinin Etkileri Nelerdir?
Buna risk yönetimi yaklaşımı üzerinden cevap vereyim. Risk, geleceğe dair belirsizliği ifade eder. Bünyesinde fırsat ve tehditleri barındırır. Eğer yeteri kadar hazırsanız ortaya çıkan riskleri yönetir ve kendiniz için gelişim alanları yaratabilirsiniz. Eğer hazır değilseniz, riskin tehdit boyutu sizin zafiyetlerinizi etkiler ve üstesinden gelmeniz gereken sorunlarla baş başa kalırsınız.
Bu açıklamadan yola çıkarak, kritik verilerin tespit etmediğimiz durumda yaşanabilecekleri sıralayım:
- Kritikliği düşük verilerin işlenmesi ve muhafazası için katlanılan gereksiz maaliyetler,
- Kritik verilerin, belki tasnif dışı veriler ile beraber, düşük güvenlik kontrollerinin tanımlandığı ortamlarda tutulması,
- Kritik verilere erişimin sınırlandırılmaması sonucu bilmesi gereken prensibinin ihlali, kritik veri odaklı siber saldırılar kaynaklı veri sızıntıları,
- Güvenilir olmayan analiz sonuçları,
- Kritik verilere bağlı süreçlerde aksamalar.
Kritik Verilerinizi Korumak İçin Aksiyon Zamanı!
Kritik verilerimizi korumalıyız. Ancak güvenlik ne oranda ve nasıl sağlanmalı? Bu soruya verilecek cevap, verilerinizi koruyabilmek için ayırabileceğiniz bütçe ile yakından ilgili. Kritik verilerinizin güvenliğini ve bütünlüğünü sağlamanın bir bedeli olacaktır. Peki siz kritik verileri korumak için ne kadarına katlanmaya hazırsınız?
Karşı karşıya olduğumuz riskler sürekli bir değişim içerisinde. Kontrol ortamınızın kapasitesini artırmak veya mevcut altyapınızın performansını iyileştirmek için yeni donanımlar ve yazılımlara ihtiyacınız var. Kritik verilerinizin tespitinin ardından, güvenliğini sağlayacak altyapı ve sistemlere yatırım yapmaya hazır ve istekli olmalısınız. Şu konuda içiniz rahat olsun; yetersiz kontrol ortamlarının neden olacağı maliyetler, işiniz için doğru teknolojik profili oluşturmanın maliyetlerinden çok daha ağır basacaktır.