Uzaktan çalışma, çalışanların ofis dışındayken aktif ve üretken kalmalarına yardımcı oluyor. Teknolojinin gelişmesiyle birlikte, son birkaç yıldır kuruluşlar için giderek daha popüler bir seçenek haline geliyor.
Bu teknolojiler COVID-19 salgını sürecinde de her zamankinden daha da fazla önem kazanıyor. Sosyal izolasyon, bir çoğumuzu evlerimizde kalmaya zorluyor. Böylelikle uzaktan çalışma çoğumuz için bir seçenek değil bir zorunluluk haline geliyor.
Uzaktan çalışma kurumlar için hassas ticari ve kişisel verilerin korunması ve iş sürekliliği sürecinde birçok yeni zorluklar getiriyor. Bu nedenle bilgi güvenliği süre zarfında en öncelikli konu oluyor. Diğer birçok sorunu yönetirken ihtiyacınız olan son şey veri ihlali yaşanması olmalı.
Verilerin korunması
Kuruluşlar verilerine erişmek için yeni bir yol belirlediğinde aslında verileri daha fazla risk altına sokuyor. Uzaktan çalışma, çalışanın ve kuruluşun verilerin ne zaman ihlal edildiğinin belirlenmesi zor olabileceği için kasıtlı zarar verme riskini arttırıyor.
Riskleri Azaltmak İçin İlk Değerlendirilmesi Gereken Tedbirler Nelerdir?
- Log yönetiminin daha kapsamlı ele alınması,
- DLP uygulamalarının kullanılarak veri paylaşımlarının kontrol edilmesi ve kayıt altına alınması,
- Kimlik doğrulama yöntemlerinin güvenliğinin arttırılması ( 2 aşamalı doğrulama gibi ),
- Erişim sınırlarının belirlenmesi ( işin gerçekleşebilmesi için gereksinimlerin belirlenmesi ve gerektiği kadar erişim yetki verilmesi hatta bu yetkinin verilebilmesi için resmi bir prosedürün uygulanması gerekiyor. ),
- Taşınabilir cihazların güvenliği sağlanmalı. Taşınabilir cihazlardaki veriler kaybolmaya, çalınmaya, fiziksel hasarlardan oluşabilecek veri kaybına karşı korunmalı. ( Disklerin şifrelenmesi, yedeklenmesi, taşınabilir cihazlarda kritik verilerin bulundurulmaması mümkünse uzaktan erişilerek kullanılması, mobil cihaz yönetimi uygulamaları gibi çözümler gibi. ),
- Verilerin aktarılması sırasındaki güvenlik tehditlerinin ele alınması gerekiyor. Özellikle uzak erişimlerde verilerin yetkisiz kişilerce okunması veya değiştirilmesini önlemek amacıyla uygun şifreleme çözümleri uygulanmalı,
- Gizlilik ve ifşa etmeme anlaşmalarının imzalatılması.
Kuruluşlar, risk açıklarını belirlemeli, değerlendirmeli. Yüzde yüz veri güvenliğini sağlamak imkansız gibi görülebilir. Fakat ihlal olayı yaşandığında hasarı azaltmanın yolları var. Bunu sağlayabilmek için de iyi bir risk işleme metodolojisi ve etkin bir ihlal olayı yönetimi sürecinin uygulanması gerekir.
Bu kontrollerin uygulanması için, ISO 27001, 27002, 31000, 27701 gibi uluslararası standartlardan ve KVK Kurumunun yayınlamış olduğu teknik ve idari tedbirler kılavuzlarından da faydalanabilirsiniz.
Gizlilik
Kuruluşlar iş bilgisayarlarını ve aygıtlarını kötüye kullanımdan korumak ve çalışanlarının cihazlarını nasıl kullandığını izlemek için 3. parti uygulamalar kullanma eğiliminde olabilir. Basılan tuşları kaydedebilen, fare hareketlerini izleyebilen veya ekran görüntülerini kaydeden çok sayıda yazılım var. Ancak bu yaklaşım KVK Kanunu’na uyumda ciddi sorun yaratıyor.
Uzaktan çalışanlar, düzensiz zamanlarda çalışabilir. Cihazlarını hem kişisel hem de iş nedeniyle kullanıyor olabilir. Bu nedenle bir çalışanın işini ve özel hayatını izlemek arasında ayrım yapmak imkansız olur. Bu sebeple, çalışanlarınızın gizlilik hakkını ihlal etmeden cihazları izlemenin bir yolu bulunmuyor.
Veri aktarımı
Veriler bir konumdan diğerine aktarılırken, sızmayı önlemek için maskelenerek isimlendirilmeli veya şifrelenmesi gerekir.
Veri maskeleme yöntemleri kişiyle ilişkilendirilebilecek verileri, takma adlar gibi başka bilgilerle değiştirerek gerçek bilgileri gizlerler. Böylelikle verilerin ifşa olması durumunda kişi tespitinin yapılmasının mümkün olmayacağından veri sahiplerinin bu olumsuzluktan etkilenmesinin önüne geçilir.
Bununla birlikte takma adların, veriye erişimi olan herkesin veri kümesinin bir kısmını görüntülemesine izin verirken, tam veriye erişimin yalnızca onaylı kullanıcıların erişmesine izin verilmeli.
Takma adlandırma ve şifreleme aynı anda veya ayrı ayrı kullanılabilir.
Daha detaylı bilgi için KVK Kurumunun yayınlamış olduğu “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi” ne göz atabilirsiniz.
Kişisel Verilerin Korunması Konusundaki Uzmanlığınızı Artırın
Kuruluşunuzun kişisel verilerin hassasiyetinin sağlanması konusundaki kontrollerin daha etkin bir şekilde uygulanması konusunda uzmanlardan yardım alınmalı. Veri koruma görevlisi (DPO) eğitimleri ile bu konudaki yetkinliklerinizi arttırabilirsiniz.
Bu eğitimler GDPR ve KVKK hakkında kapsamlı bir genel bakış sağlar. Yeni koronavirüs pandemisinden kaynaklanan veri koruma risklerini ele almanıza yardımcı olur.
Eğitimlerin haricinde Veri Koruma Görevlisi (DPO) hizmetlerinden faydalanabilirsiniz. Bilgi işlem çalışanlarınızın günlük rutin görevlerinin dışında tüm bu işleri bir çalışanın yapması çok fazla mümkün olmuyor. Hukuki yorumlama, Bilgi Teknolojileri ve Bilgi Güvenliği konuları ile birlikte uluslararası standartlar konusunda bilgi sahibi olunması gereksinimleri de düşünüldüğünde süreç daha da zorlaşır. Ancak bu süreçlerin mevzuata uygun yürütülmesinden ve güncellenmesinden bir kişinin sorumlu olması gerekir. Veri Sorumlusunun kanuna uyum faaliyetlerinin yürütülmesi için ayırması gerekeceği insan kaynağının yukarıda bahsedilen yetkinliklere sahip olmasını sağlamak hem güç hem maliyetli bir çözüm. Bunun yerine alanında uzman, yetkin ve tecrübeli dış kaynak kullanması daha uygun olur.
DNS Danışmanlık Hizmetleri
DNS Danışmanlık olarak, veri sorumlularının yükümlülüklerini yerine getirmesi için kaliteli hizmetler sunuyoruz.
- KVKK Uyum Ekibinin Kurulumu ve Eğitimi,
- Kişisel Veri Envanterlerinin Oluşturulması ve Güncellenmesi,
- VERBİS Bildirimi ve Bilgi Güncelleme,
- Risk Analizlerinin Yapılması,
- Hukuki metinlerin oluşturulması ve Güncellenmesi,
- Teknik Tedbir Prosedürlerinin Oluşturulması,
- Periyodik İç Denetimlerin Uygulanması ve Raporlanması,
- Kişisel Veri İhlal Yönetimi,
- Kişisel Verilerin Korunması Kanunu Kapsamında Avukatlık Desteği,
- İş Süreçlerinin KVKK’ ya Uygun İşletimi,
- Kişisel Verilere Yönelik Başvuruların Yönetilmesi,
- Çalışanların Farkındalık Eğitimlerinin Verilmesi,
- Teknik Açıklıkların Sertifikalı Uzmanlarca Periyodik Taranması
Uzman bir ekipten kaliteli hizmet almak için DNS Danışmanlık ile iletişime geçebilirsiniz.