Şirketinizin verileri ofis dışında ne kadar güvende? Bu ay yürürlüğe girecek olan Genel Veri Koruma Yönetmeliği (GDPR), AB sınırları içinde yaşayan kişiler hakkındaki verileri toplayan veya işleyen, dünya çapındaki tüm kuruluşları etkileyecek. GDPR uyumluluk uzmanları bu makalede işletmenizi nasıl koruyabileceğinizi anlatıyor
Çalışanlarının uzaktan çalıştığı bir şirketiniz varsa verilerinizin kötüye kullanılmasını, kaybolmasını veya başkalarının zimmetine geçirilmesini önlemenin ne kadar önemli olduğunu biliyor olmalısınız. Ancak bu ay (Mayıs 2018) yürürlüğe girecek olan Genel Veri Koruma Yönetmeliği (GDPR) ile birlikte yönetmeliğin sıkı gereksinimlerini karşıladığınızdan da emin olmanız gerekiyor. Aksi takdirde işletmeniz hem finansal hem de itibar bakımından zarar görebilir. Öyleyse tam anlamıyla esnek bir iş gücünün avantajlarını sunarken aynı zamanda verilerinizi nasıl koruyabilirsiniz?
1. Çalışanlarınızı eğitin
GDPR lügatinde şirketiniz "bilgi sahibi," uzaktan çalışanlarınız ise "bilgi yöneticileridir." Data Comply Genel Müdürü John Slaughter, "Bu, çalışanlarınızın işletme verilerini güvende tutma konusunda en az sizin kadar rol sahibi olduğu anlamına geliyor." diyor(1). Slaughter sözlerine şöyle devam ediyor: "GDPR uyumluluğu özellikle uzaktan çalışırken günlük işlerinde önceliklerinden biri olmalı. Güvenli ağ kullanımı hakkındaki açık yönergeler son derece önemli, bu nedenle güvenli bir ortamla sınırlı kayıtları belirleyip iletmeniz gerekiyor." Slaughter aynı zamanda işletmelere sorunların anlaşıldığından ve uygulamalarının günün şartlarına uygun olduğundan emin olmak için çalışanlarını eğitmesini, yeniden eğitmesini ve değerlendirmesini tavsiye ediyor.
İşletmelerin aynı zamanda personeline ortak Wi-Fi bağlantılarının hiçbir şekilde güvenli olmadığını da hatırlatması gerekiyor. Tehdit analizi ve müdahale alanında uzman Redscan’de Baş Teknoloji Sorumlusu olarak çalışan Andy Kays: "Bireylerin bankacılık işlemlerini ortak bir ağ aracılığıyla yapmaması, bu nedenle gizli iş belgelerine de erişmemesi gerekiyor.(2) Çalışanlarınızı yalnızca Güvenli Wi-Fi erişim noktalarını kullanmaya veya güvenli bir bağlantı (VPN) aracılığıyla şirketin ağına bağlanmaya teşvik edin. Ayrıca çalışanlar internete 4G (veya donanım kilidi) aracılığıyla bağlanarak hizmet sağlayıcısına iyi, güvenli bir bağlantı elde edebilirler.
2. Her şeyi şifreyle koruma altına alın
GDPR kayda değer veri ihlalleriyle karşılaşıldığında şirketlerin küresel cirosunun yüzde dördüne kadar para cezası kesme yetkisine sahip olabilir. Yalnızca verilerin doğru bir şekilde şifrelendiğinin kanıtlanması durumunda muafiyet tanınacak.
AB GDPR Dokümantasyon Seti’nin yazarı, Romanya’da yaşayan Andrei Hanganu şunları söylüyor: "Kusursuz güvenlik diye bir şey yoktur, sonuçta Nasa bile bilgisayar korsanlarının saldırısına uğradı.(3) Bununla birlikte güçlü şifreler ve yeterli şifreleme çözümleri, kişisel verilerinizi erişim yetkisi olmayan kullanıcılardan uzak tutmanıza yardımcı olur."
Çoğu işletmenin sürücüleri ve onlara kayıtlı dosyaları şifreleyen yazılımları olsa da bunlar uzak cihazlarda bulunmayabiliyor. Hanganu dizüstü bilgisayarlar, cep telefonları ve kişisel masaüstü bilgisayarlar için şifreleme yazılımının gerekli olduğunu, sonrasında kullanıcıların yalnızca bir PIN veya şifre aracılığıyla verilere erişerek bunları okunabilir bir biçime dönüştürebileceklerini ifade ediyor. Tüm çalışanların her şeyi şifreyle koruma altına almayı alışkanlık hâline getirmesi gerekiyor.
3. Tehlikelerden uzak durun
Virüsler ve kötü amaçlı yazılım saldırıları da verileri toplayıp takip edebildiğinden GDPR standardının kapsamına giriyor. Commvault şirketinde Avrupa, Orta Doğu ve Afrika Çözümleri Pazarlama Müdürü olan Nigel Tozer: "Kötü amaçlı yazılımlara karşı korunmak son derece zor olduğu için çoğu işletme saldırılara hedef olup olmayacaklarını değil, ne zaman hedef olacaklarını düşünüyor."(4) Tozer, çalışanlarınızın cihazlarını en güncel işletim sistemleri ve antivirüs yazılımlarıyla koruma altına almanızı tavsiye ediyor.
Andy Kays ise sözlerine şöyle devam ediyor: "Kuruluşların güvenlik yapısındaki en zayıf halka daima insanlardır ve tek bir çalışanın kötü amaçlı bir bağlantıya tıklaması veya sistemlerini güncelleyememesi bile yıkıcı sonuçlara yol açabilir. Bu nedenle, çeşitli lokasyon ve ağlardan kurumsal veri ve hizmetlere erişebilen uzaktan çalışanlar başta olmak üzere çalışanlar için belirli aralıklarla eğitimler düzenlenerek siber saldırıların risklerine karşı farkındalık oluşturmanız önem taşıyor."
İşletmeler aynı zamanda BT departmanlarıyla belirli aralıklarla çalışanların mobil cihazların güvenlik kontrolleri, güncellemeler ve yükseltmeler için mobil cihazlarını getirdiği oturumlar da düzenleyebilir.
Kuruluşunuzun ofis dışında verilerin güvenliği sağlamaya yönelik bir stratejisi var mı?
4. Görsel güvenliği göz ardı etmeyin
Briefed GDPR Training and Consultancy Specialists şirketinin Dava Vekili ve CEO’su Orlagh Kelly: "Teknolojik olarak gelişmiş bir dünyada insanların hâlâ düşük teknoloji yöntemleriyle şirket verilerini çalabildiğini kolayca unutabiliyoruz."
3M tarafından yapılan bir deneyde, gizli çalışan bir bilgisayar korsanı yalnızca "omuz sörfü" (başkasının ekranına bakma) ile denemelerin yüzde 88’inde hassas bilgileri ele geçirmeyi başardı.(6)
"Çalışanlarınızı ofis dışında çalışırken omuzlarının üzerinden bakabilecek kişilere karşı farkında olmaya teşvik edin." diyor Kelly. Ekrana takılarak yan taraflardan bakanların görüşlerini engelleyen gizlilik filtrelerini kullanabilirsiniz.
5. Bulut sistemlerin kısıtlamalarının farkında olun
Ponemon Institute tarafından yapılan bir çalışmaya göre bulut ortamlarda depolanan kurumsal verilerin yüzde 44’ü BT departmanlarının yönetimi ya da kontrolü altında değil. Bunun sonucunda da bulut hizmetlerin kullanımı 20 milyon $ değerindeki veri ihlalinin üç katına yükselme ihtimalini artırıyor.(7)
"Doğru bulut hizmet sağlayıcısını seçmek çok önemli." diyen Nigel Tozer sözlerine şöyle devam ediyor: "Her iki tarafın da yükümlülükleri olduğundan veri ihlalleriyle nasıl başa çıktıklarını tam olarak bilmeniz gerekiyor. Tüm veriler AB sınırları içinde kalıyorsa bulut hizmet sağlayıcınız bunu yasal gerekliliklere uygun bir şekilde yaptığını garanti etmeli. Ayrıca GDPR’a göre AB’den çıkan tüm verilerin yeterli bir şekilde korunup korunmadığını da kontrol etmeniz gerekiyor."
Tozer, GDPR söz konusu olduğunda bulut hizmet sağlayıcısının veri işlemcisi görevi görürken işletmenizin ise kontrol mekanizması olduğuna dikkat çekiyor. "[Yani] sağlayıcınızın kimlik bilgilerini kontrol edip yeni AB yönetmeliğine uygun gerekli teknik ve kurumsal koruyucuları uygulamak için yeterli garantiyi sunduğundan emin olmak sizin sorumluluğunuz altında."
6. Çalışanlarınızın gizliliğine saygı duyun
DMPC Ltd şirketinde GDPR danışmanı olan George Harris, uzaktan çalışanlarınızın verimlilik düzeyini takip etmek için herhangi bir araç veya teknoloji kullanıyorsanız iyi niyetinizi gizliliklerini koruma ihtiyacıyla dengelemeniz gerektiğini söylüyor.(8) Harris: "Standart bir iş senaryosunda [personelinizi izlemeyi] mazur göstermek kolay değil."
GDPR standardı kapsamında, çalışanların cihazlarını gizlilik haklarını ihlal etmeden izlemek (tuş vuruşu kaydetme veya fare izleme teknolojisi aracılığıyla) oldukça zor. GDPR Madde 24 Çalışma Grubunda şunlar yer alıyor: "İletişimleri izleyen teknolojiler […] çalışanların örgütlenme, çalışan toplantıları düzenleme ve gizli bir şekilde iletişim kurma (ve bilgi alma hakkı) gibi temel hakları üzerinde korkutucu bir etki yaratır."(9)
7. Veri ihlali için bir eylem planınız olsun
Siber güvenlik, veri koruması ve gizlilik alanlarında uzmanlaşmış Jaw Consulting UK şirketinin Genel Müdürü James Walker: "İnsanların dizüstü bilgisayarlarını etkileyen kötü amaçlı yazılım saldırılarından bir çalışanın iş telefonunu trende unutmasına ve "BCC" yerine "CC" özelliğini kullanarak kayıtları bir gruba göndermesine kadar her şey veri ihlali kapsamına girer."(10)
İlk içgüdünüz hasar kontrolüne başlamak yönünde olurken GDPR’a göre bunun çok daha acil bir şekilde yapılması gerekiyor. "Bir kuruluşun hem etkilenen kişilere hem de ilgili denetleyici otoritelere veri ihlalini bildirmek için 72 saati olur. Buna ihlalin olası sonuçlarını ve olumsuz etkilerini hafifletmek için alınan ya da önerilen önlemler dâhildir." ifadelerinde bulunuyor Walker.
Daha önce bahsedilen yüzde dörtlük para cezalarını hatırlıyor musunuz? Bunlara uymadığınız takdirde işte bu riskin altına girersiniz. Walker: "İhlalin, şahısların hak ve özgürlükleri için hiçbir tehlike yaratmayacağını kanıtlayabilirseniz bu ayrıntılı bildirim prosedüründen muaf olursunuz. Verilerinizi doğru bir şekilde şifrelediğinizi göstermek faydalı olur ve veri ihlali gibi bir olayı bildirme gerekliliğini bile ortadan kaldırabilir."
Kaynaklar:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
