Günümüzde kişisel verilerin korunması konusu özel sektörde faaliyet gösteren birçok şirketin ana gündem maddesi haline gelmiş durumda. Dijitalleşen dünyada, çok daha yüksek hacimde toplanan ve işlenen kişisel verilerin etkin şekilde nasıl korunabileceği ve dijital veri gizliliğinde okuryazarlık üzerine Omreon kurucu ortağı Ömer Şen’le keyifli bir söyleşi gerçekleştirdik. Bulut tabanlı çözümlerden, KVKK ve GDPR hakkında bilinmesi gerekenlere kadar veri güvenliğine dair en çok konuşulan konular hakkında Şen’in görüşlerini aldık.
Günümüzde B2C platformlar artık sıklıkla kullanılıyor. Sizce şirketler müşteri verilerini doğru bir şekilde saklamak için nelere dikkat etmeli?
Şirketlerin müşteri verilerini saklarken dikkat etmeleri gereken önemli birkaç nokta var. Özellikle marka değerlerini ve itibarlarını ve tabii ki müşteri güvenilirliklerini dikkate almaları gerekiyor. Bunun yanı sıra, tabi oldukları regülasyon ve kanunlara göre ilgili idari ve teknik tüm tedbirleri almak durumundalar. Bu kapsamda tüm firmaların alanında uzman danışmanlardan destek almaları, en uygun yazılım ve donanım yatırımlarını yapmaları çok önemli. Son olarak, müşteri verilerini en önemli şirket varlığı olarak görmeleri ve buna göre personellerinin tümünü eğitmeleri gerekli.
Bulut tabanlı çözümler dünya çapında giderek daha fazla talep görüyor. Siz bu durumu nasıl değerlendiriyorsunuz?
Bulut teknolojileri hem ölçeklenebilirlik, hem de hız açısından gün geçtikçe büyümeye devam ediyor. Buluttan hizmet veren yazılım platform sahibi firmaların sayısı da paralel olarak artıyor. Bulut tabanlı çözümlerin artmasının en önemli nedeni, maliyet avantajı yaratması. Verilen hizmet buluttan olunca aynı anda birden çok müşteriye ulaşılabiliyor. Öte yandan hizmet kalitesi, servis erişilebilirliği gibi KPI’lar da bulut sağlayıcılarının kontrolünde. Bu nedenle herkesin kazandığı bir yapı oluşturulabiliyor.
Ancak bazı ülkelerde olduğu gibi Türkiye’de de verilerin yurtdışına aktarımı ile ilgili dikkat edilmesi gereken hususlar var. Eğer bir şirket kişisel veri paylaşımı yaptığı bulut tabanlı bir servis kullanıyorsa, özellikle dikkatli olmalı. Yurtdışı menşeli bir sağlayıcı ile çalışıyorsa veri sızıntısı için tüm önlemleri alarak mevzuata ve kanuna uygun şekilde aksiyon almalı.
Bulut sistemlerde saklanan veriler güvenli bir şekilde saklanıyor mu?
Günümüzde çoğu bulut sağlayıcısının bu verileri güvenle sakladığını biliyoruz. Verileri kendi sistemlerinizde sakladığınızda, bu verileri korumak için bulut sağlayıcıları kadar önlem almanız pek mümkün değil. Bugün bu ortamlar milyonlarca dolarlık servis ve güvenlik yazılımları ile korunuyor ama yine de risk sıfırdır diyemiyoruz. Bunun örneklerini görüyoruz. Önemli olan şirketlerin hangi verilerini nerede ve nasıl sakladığı. Bu konuda iyi bir araştırma yapmak, uygulamaları incelemek ve veri güvenliği konusunu artık en önemli konulardan biri olarak görmek gerekiyor.
Sistemlerde saklanan veriler için ne gibi önlemler alınmalıdır?
Şirketlerin hassas ve kişisel bilgileri güvenle korumaları için bulut veya kendi sistemlerinde çok farklı donanım, yazılım, ürün ve çözümleri kullanmaları gerekiyor. Öncelikle bu alanda uzman bir danışmandan görüş alınmalı. Önlerine çıkan her yazılımı hatta en pahalısını almak verileri korumaya yetmez. Bugün baktığımızda birçok firmada en pahalı yazılımın alınmış olduğunu ama kullanılmadan olduğu yerde durduğunu görüyoruz. Şirketler bu haliyle zaten işlevsel olmayan bir yatırım yapmış oluyor.
Sizce her şirketin KVKK ve GDPR hakkında bilmesi gereken en temel bilgiler nelerdir?
En temel bilgi personel veya müşteri bilgilerini tabiri caizse canınız pahasına korumak olmalı. Artık veriler sadece sizin sorumluluğunuzda değil, bunlar kanun yoluyla da koruma altına alınıyor. O nedenle, en temelde verileri gözünüz gibi korumak için tüm tedbirleri sürdürülebilir şekilde almalısınız. İdari süreçler, teknik yatırımlar ve hatta verilerden sorumlu organizasyonlar günümüzde artık en çok konuşulan konular arasında.
Konuya sadece kanunlar var, yaptırımlar var şeklinde bakmamak lazım. Sonuç olarak şirketlerin itibarı, hatta gelecekteki ciroları bile verilerin korunmasına bağlı hale geldi. Adı haberlere çıkan, verilerini sızdırdığını söyleyen birçok firma var. Bu konuda baştan önlem almak sonra çözmeye çalışmaktan çok daha mantıklı.
Verileri korumak için şirketlerin yapması gereken en önemli üç şey nedir?
Şirketler öncelikle envanter çıkarmalı. “Ne tür veriler var? Bu veriler nerede saklanıyor? Kimler ne amaçla erişiyor?” gibi soruları sormak gerekiyor. Öte yandan bu sorular sürekli güncellenebilir olmalı. Bugün bunu yöneten yazılımlar var. Sonraki adımda en kritik bilgilerin güvenle korunmasını sağlayan, onların ayak izlerini takip eden yazılımlarla ilgili yatırımlar yapılmalı. Organizasyonlar kurulmalı ve tüm personel eğitilmeli. İç prosedürlerle bunlar beslenmeli ve veri güvenliği şirketlerin en temel prensibi olmalı.
Son olarak Omreon olarak veri güvenliği alanında neler yaptığınızdan bahseder misiniz?
Tabii. Omreon olarak bu alanda teknik danışmanlık veren, alanında çok deneyimli uzman bir ekibe sahibiz. Aynı zamanda geliştirdiğimiz KVKK ve GDPR’ı temel alan, firmaları veri güvenliği konusunda bir adım ileriye taşıyan veri güvenlik çözümlerimizle, firmalara çeşitli servisler sunuyoruz.
Veri güvenliği konusunda daha fazla bilgi için blogumuzu ziyaret edebilir, uzman ekibimizle iletişime geçerek bilgi almak için bize buradan ulaşabilirsiniz.