Şirketlerin veri güvenliğinde en çok yaptığı 5 hata
30.06.2022
Sosyal Medya

Şirketlerin veri güvenliğinde en çok yaptığı 5 hata

İşletmenizi sürekli değişen gizlilik ve kişisel verilerin korunması ile ilgili düzenlemelerle uyumlu tutmaya çalışmak bazen zorlayıcı olabilir. Dijital iş ekosistemi sürekli değişiyor ve yeni risklerle beraber yeni uyumsuzluk sorunları da karşımıza çıkıyor. Güvenlik ihlallerini önlemek ve yasal gereksinimleri karşılamak için sürekli güncel kalmak gerekiyor. Bu yazımızda yer verdiğimiz en sık yapılan 5 hatadan kaçınarak, veri güvenliğini sağlama konusunda ilk adımı atabilirsiniz.

1- Gizliliğe sadece dönemsel olarak odaklanmamak

Sürekli devam etmesi gereken gizlilik yönetimi faaliyetlerini yerine getirmemek, kuruluşların yaptığı en yaygın hatadır. Gizlilik için bir risk değerlendirmesi yapıp gerekli prosedürleri oluşturan ve çalışanlarına da konu ile ilgili eğitim veren şirketler üzerlerine düşen her şeyi yaptıkları gibi bir yanılgıya kapılıyorlar. Dolayısıyla bilgi güvenliği önlemleri için daha fazla para ve zaman harcamak istemiyorlar. Bu durum genellikle güvenlik önlemlerinin zamanla yetersiz kalması ve iş değişiklikleri yaşandıkça güvenlik açıkları ortaya çıkması ile sonuçlanıyor.   

ISACA (Information Systems Audit and Control Association) tarafından yapılan Uygulamada Gizlilik 2022 araştırmasının sonuçlarına göre katılımcıların sadece yarısının devam etmekte olan bir risk yönetimi gerçekleştirdiği görülüyor. Yeni teknolojilerin riskleri üzerine eğilen işletmeler ise sadece %33’ü oluşturuyor.

2- Veri koruma yasalarının sadece bulundukları yerde geçerli olduğuna inanmak

ISACA’nın anketi, yanıt verenlerin yaklaşık yarısının uymaları gereken yasa ve düzenlemeleri tam olarak anlamakta eksiklikleri olduğunu ortaya koyuyor. Yasalara ve düzenlemelere sadece ticari faaliyetin gerçekleştiği coğrafi konumda uymak, en sık yapılan hatalardan bir tanesi olarak dikkat çekiyor. Bir şirketin bulunduğu yerde mevcut olan düzenlemelerin ötesinde uyulması gereken başka uyumluluk ve gizlilik düzenlemeleri de olabileceğini bilmek gerekiyor. Örneğin, ABD’de yerleşik olan ve Avrupa Birliği ülkelerinde müşterileri olan bir şirketin sadece ABD’dekilere değil AB’nin belirlediği düzenlemelere de uyması gerekiyor. Ayrıca birçok kuruluş, bir gizlilik ihlali durumu yaşayacaklarına inanmıyor ve bu da onları bir ihlal olduğunda etkin ve verimli olarak yanıt veremez durumda bırakıyor.

Özetlemek gerekirse, gizlilik yönetimi programları yürürlükteki tüm yasa ve yönetmeliklere uygulanmalı ayrıca tüm gereksinimleri de karşılamalıdır.

3- Bir yönetmeliğe uymanın tüm düzenlemelere uymaya eşit olduğunu düşünmek

Veri koruma ile ilgili yürürlükte olan ana yönetmeliğe uymak bazen diğer yasaların gereksinimlerini de karşılamaya yetebilir. Bununla birlikte uyulması gereken belirli yasalar için farklı düzenlemeler yapmak da gerekebilir.

Örneğin, Kaliforniya’da kurulmuş olan bir finans kuruluşunun CCPA (California Consumer Privacy Act) uyumlu olması, AB ülkelerinde faaliyet göstermesi için gerekli olan GDPR (General Data Protection Regulation) gereksinimlerini de karşıladığı anlamına gelmez.  

CCPA uyumluluğunun tüm GDPR gereksinimlerini karşıladığını varsaymak bir hatadır. Bu yanlış inanç, önemli para cezaları ve davalarla sonuçlanabilir. Tüm kuruluşlar, yasalar ve düzenlemeler için birçok benzer gereklilik olmasına rağmen, karşılanması gereken ek gereksinimlerin olacağını bilmelidir.

4- Kurumun kendi gizlilik kurallarına uymaması

Bir işletmenin kendi websitesinde yer alan gizlilik bildirimi metni çoğu zaman şirketin yöneticileri tarafından bile hiç okunmamış olabilir. Bir kuruluşun liderleri bile gizlilik bildirimlerindeki vaatleri bilmiyorlarsa, yönettikleri çalışanlar bu vaatleri yerine getirmek için gerekli faaliyetleri gerçekleştirmeyecektir. Gizlilik bildirimindeki yükümlülüklere uyulmaması geçmişte büyük şirketlerin çok büyük para cezalarına çarptırılmalarına neden olmuştur.

5- Etkili ve düzenli gizlilik eğitimi vermemek

Çoğu kuruluş, maalesef çalışanları için yeterli güvenlik ve gizlilik eğitimi vermiyor. Bu eğitimler düzenlense bile çalışanlarının iş yapış şekilleri üzerinde önemli bir değişiklik olmuyor. Genel mahremiyet eğitimine ek olarak, çalışanların işleriyle ilgili konuları içeren eğitimler de sıkça organize edilmelidir. Bu eğitimlerde çalışanların görevlerini yerine getirirken gizliliğe saygı duyacak ve kişisel verileri koruyacak şekilde hareket etmeleri gerektiği öğretilmelidir. Aksi durumda gizlilik ihlalleri yaşanır ve şirketler haklarında dava açılana kadar bir ihlalin gerçekleştiğini bile fark etmeyebilirler.