6698 sayılı kişisel verilerin korunması kanunu (KVKK) hakkında kamu kurum ve şirketlerin çalışmaları hızla devam etmektedir. Bu çalışmalar konusundaki belirsizliklerden daha önce bahsetmiştik. Bu yazımızda da üst yönetimin bu kanunun uygulamalarını gerçekleştirirken nelere dikkat etmesi gerektiğine değinelim.
4000’den fazla cihaza (PC, mobil cihaz, yazıcı vb, sanal sunucular, veri merkezi) hizmet veren bir BT departmanı düşünelim. Tipik olarak 50 kişiden fazla çalışan olması beklenebilir. Bu boyutta organizasyonlarda genellikle gördüğümüz organizasyonun üst yönetimine karşı sorumlu olan bir yönetici (Örneğin CIO) olması gerekir. Bu kişi, ekibiyle beraber yürüttüğü operasyon çerçevesinde KVKK konusunda gerekli önlemleri almak ve bunları kendi içinde kontrol etmekle yükümlüdür.
Regülasyonların üst yönetime getirdiği sorumuluklardan dolayı yönetim kurulu üzerindeki bütün sorumluluğu BT yöneticisine yıkmak mümkün değildir, üst yönetimin yapılanları uygun yöntemlerle yönlendirmesi gereklidir. Peki, üst yönetim kVKK konusunda sorumlu olduğuna göre, bu yöneticinin yaptıklarını nasıl değerlendirmelidir?
Yönetişim Haritası
COBIT 5, Kurumsal Bilişim hizmetlerinin yönetişimi (GEIT) için bir çerçeve sunmaktadır. İlgilenenler detaylara buradan (kimlik bilgisi gerektirir) ulaşabilirler. Bu yönetişim çerçevesine göre Yönetim kurulu veya Bilişim Teknolojileri Yönlendirme Kurulu (IT Steering Committee) Kurumsal yönetişim için İzle (Monitor) Değerlendir (Evaluate) ve Yönlendir (Direct) aktivitelerinden oluşan bir döngü kullanmalıdır. Bu döngü, organizasyonun bütün hedefleri için kurumsal hedefler doğrultusunda kendi önceliklerine göre özelleştirmeli ve kullanmalıdır.
KVKK kapsamında üst yönetim olarak BT grubuna verilebilecek hedeflere (goals) örnekler aşağıda verilmiştir. Bu hedefler, organizasyonel hedefler doğrultusunda BT’ye özelleştirilmelidir:
- Hedef 1: BT yönetimindeki sistemlerde oluşan zafiyetlerden doğan riskler azaltılmalıdır.
- Hedef 2: KVKK kapsamında iletilen bilgi istekleri zamanında karşılanmalıdır.
- Hedef 3: BT yönetimindeki sistemlere yetkisiz erişim teşebbüslerinden doğabilecek riskler azaltılmalıdır.
BT Organizasyonunun, KVKK kapsamında değerlendirme yaptığı, buna bağlı olarak hedeflerini ve buna bağlı ön çalışmaları yerine getirdiğini kabul edelim. Bunlar arasından önemli olanlar aşağıda verilmiştir:
- Verilerin sınıflandırılarak, ilgili veri güvenliği politikalarının belirlenmesi
- Veri üzerinde işletilecek oluşturma, işleme, saklama ve imha süreçlerinin belirlenmesi
- Çalışanların süreçler konusunda eğitilmesi
- Kanunda, ilgili yönetmelik ve rehberlerde belirtilen tedbirlerin alınması için gerekli altyapının oluşturulması
Yukarıda belirtilenleri yerine getirmek için BT organizasyonu kendi içinde planlamalar yapacak, süreçleri işletecektir.
Yönetişim Planı
Bu süreçlere ait güvencenin üst yönetime sağlanması için BT yönetiminin hedeflerin yerine getirilip getirilmediğini takip edeceği aşağıdaki gibi örnek bir yönetişim planı yapması beklenebilir:
Gerçek zamanlı/günlük olarak bilgi sistemleri envanterinde takip edilerek, uygulama panoları (dashboards) ile veri sağlanabilecek konulara örnek anahtar performans parametreleri (KPI) aşağıda verilmiştir, organizasyonun risk iştahına göre sayılar özelleştirilebilir:
- Tespit edilen bütün zafiyetlerin ortalama giderilme süresi (Hedef 1)
- Resmi makamlardan iletilen bilgi istekleri karşılanması süreleri (Hedef 2)
- Elektronik ortamda BT yönetimindeki personeli için belirlenen uygulamalar için yetkisiz erişim teşebbüsleri (Hedef 3)
Düzenli olarak (örneğin 3 Aylık) üst yönetime sunulması istenebilecek raporlara örnekler aşağıda verilmiştir:
- Son 3 ay içinde kişisel verilere yönelik tespit edilen saldırılar (başarısız ve başarılı) hakkında bilgilendirme (Hedef 3)
- Son 3 ay içinde personelin güvenlik yetkinliğinin arttırılması için gerçekleştirilen faaliyetler hakkına bilgilendirme (Hedef 3)
Bu çalışmaların dışında iş denetim birimi veya dış denetçi tarafından yılda bir gerçekleştirilebilecek ve aşağıdaki alanları içeren denetlemeler yapılmalıdır:
- Yazılım ve Donanım envanteri toplama süreçlerinin sağlıklı çalışıp çalışmadığı
- Değişiklik Yönetimi uygulamalarının sağlıklı işletilip işletilmediği
- Bilgi Sistemleri güvenliği için uygulanan süreçlerin sağlıklı işletilip işletilmediği
Sonuç
Üst yönetimin BT organizasyonuna KVKK konusunda sorumluluk vermesi yeterli değildir. Üst yönetim devredilen risk yönetiminin sağlıklı yürütüldüğünü denetlemelidir. Burada amaç, BT yöneticisinin işini yapma verimliliğini, ya da yetkinliğini değerlendirmek yerine, iş hedefleri ve bağımlı riskleri yönetmek konusunda ortak görüşte olmasını sağlamak olmalıdır.