Bu Help Net Security röportajında Microblink Bilgi Güvenliği ve BT Operasyonları Başkanı Bojan Belušić, Tasarımdan Gelen Gizlilik ile GDPR gibi düzenleyici çerçeveler arasındaki ilişkiyi tartışıyor. Gizlilik ilkelerinin ürün ve süreç geliştirmenin başlangıcından itibaren entegre edilmesi, uyumluluğu sağlar ve verimliliği ve etkinliği artırır.
Ayrıca, gizlilik ve güvenlik uygulamalarında farkındalık ve sürekli iyileştirme kültürünü savunurken, kuruluşların, özellikle de eski sistemlere sahip olanların karşılaştığı ortak zorluklara da değiniyor.
Belušić, bu ayın sonlarında gerçekleşecek olan CISO odaklı bir etkinlik olan DEEP Konferansının konuşmacılarından biri.
Tasarımdan Gelen Gizlilik ile GDPR gibi düzenleyici çerçeveler arasındaki ilişkiyi açıklayabilir misiniz?
Tasarım gereği Gizlilik, veri minimizasyonu, şeffaflık, izin, saklama ve en baştan silme gibi gizlilik gerekliliklerini uygulamayı amaçlayan ürün ve süreç geliştirmede bir ilkedir. İşlemenin yasallığı ve veri doğruluğu, bütünlüğü ve gizliliği gibi GDPR’nin (tasarım gereği veri koruması) temel gereksinimlerinden biridir. Bu, GDPR’de açıkça atıfta bulunulan bir husus olmasına ve AB bölgesindeki veri denetleyicileri için bir yükümlülük olmasına rağmen, uygulamada hala nadiren yapılmaktadır.
Tasarımdan Doğaya Gizlilik ve Tasarımdan Güvenliği projenin başlangıcından itibaren uygulamak, ilgili gereksinimleri proje tamamlandıktan sonra uygulamaya koymaktan çok daha ucuz ve zaman açısından verimli hale getirir. Aynı zamanda daha yüksek kalitede uygulama sağlar ve bu da olayların olasılığını ve bu olayların sonuçlarını azaltır. Bu nedenle kuruluşlar bu ilkeleri uygulamaya daha fazla yatırım yapmalıdır.
Deneyimlerinize göre, kuruluşların Tasarımdan Doğan Gizliliği uygulamaya çalışırken, özellikle de eski sistemlerle uğraşırken karşılaştıkları ortak zorluklar nelerdir?
Kuruluşlar, Tasarımdan Doğan Gizlilik gibi bilgi ve farkındalık eksikliğinden kaynaklanan ilkeleri tartışırken hala birçok önyargıya sahiptir. Hassas özel verileri işleyen birçok kuruluşun yalnızca kağıt üzerinde özel bir Veri Koruma Görevlisi vardır ve DPO rolünü yerine getiren bu kişi genellikle konu hakkında yetersiz eğitime sahiptir ve yanlış bilgilendirilmiştir. Şirketler, GDPR yürürlüğe girdiğinde yüzeysel bir dönüşüm geçirdi ve rolleri ve sorumlulukları tanımladılar, çoğunlukla dış danışmanlar tarafından yönetildiler ve şimdi kuruluşlardaki DPO’lar sadece minimum gereksinimleri karşılamaya çalışıyor ve her şeyin en iyi şekilde sonuçlanmasını umuyor.
Bu dönüşümler sırasında şirketlerdeki eski sistemlerin çoğuna ‘bakıldı’, etki değerlendirmeleri yapıldı ve ilgili risklerle ilgili tartışma böylece sona erdi. Tasarımdan Gizlilik ve Tasarımdan Güvenlik gibi ilkelerin yeterli düzeyde uygulanması için tüm kuruluşun bunun yapılması gereken bir şey olduğunun farkında olması ve tüm paydaşların desteğinin sağlanması gerekmektedir. Tasarım gereği Gizlilik’in doğru şekilde uygulanmasıyla, gizlilik risklerinin başlangıçta belirlenmesi, aynı zamanda projenin sonuna kadar dikkatli bir şekilde yönetilmesi ve ardından periyodik olarak yeniden değerlendirilmesi gerekir. Bu, eski sistemlerde de yapılması gereken bir şey, özellikle de eski sistemlerde yapılacak büyük değişiklikler için.
Tasarıma Göre Gizlilik ve Tasarıma Göre Güvenlik sıklıkla karşılaştırılır. Bu kavramların nasıl kesiştiğini ve odak ve uygulama açısından nerede farklılaştığını detaylandırabilir misiniz?
Tasarımdan Gelen Gizlilik ve Tasarımdan Güvenlik çoğu zaman iç içe geçmiş durumdadır ve bu ilkelerden birini uyguladığınızda kesinlikle diğeri üzerinde de çalışıyor olacaksınız. Tasarım Yoluyla Güvenlik, sistem ve yazılım tasarımına ve uygulamasına, daha sonraki test ve yama alıştırmaları olarak değil, başlangıçtan itibaren ve tüm geliştirme yaşam döngüsü boyunca yerleştirilmiş güvenlik önlemleriyle yaklaşan bir ilkedir. Bu ilkelerin her ikisi de bir risk değerlendirmesiyle başlar, ancak biri daha çok kişisel verilerin gizliliğine ve veri sahibi haklarına odaklanırken, diğeri genel olarak tüm verilerin ve ilgili sistemlerin gizliliği, bütünlüğü ve kullanılabilirliğiyle ilgilenir.
En az ayrıcalık, bilinmesi gereken erişim, veri şifreleme ve denetim günlüğe kaydetme gibi her ilkeye yönelik bazı gereksinimler ve ilgili önlemler birbiriyle örtüşmektedir. Bununla birlikte, Tasarımdan Doğan Gizlilik’in daha çok süreçlere ve prosedürlere odaklanan hukuki bir sorun olması ve Tasarımdan Gelen Güvenliğin şifreleme, kimlik doğrulama, giriş doğrulama ve hata işleme gibi önlemlerin teknik uygulamasına çok daha fazla dayanması nedeniyle temel farklılıklar vardır.
Tasarımdan Doğan Gizliliği operasyonlarına dahil etmek isteyen küçük kuruluşlar veya yeni kurulan şirketler için bazı en iyi uygulamaları paylaşabilir misiniz?
Daha önce de belirttiğim gibi, Tasarım Yoluyla Gizliliğin uygulanması, güçlü ve iyi eğitimli bir Veri Koruma Görevlisinin bulunmasına ve üst yönetimin desteğine bağlıdır; bu, daha sonra bu gereksinimlerin kuruluş genelinde yeterince tartışılmasını sağlayacaktır. DPO’nun daha sonra kuruluşta farkındalık yaratmaya ve kişisel verileri işleyen bir sistem veya süreç bir şekilde değiştirildiğinde her zaman dahil edileceğinden ve onlara danışılacağından emin olmak için çok zaman harcaması gerekir.
Startup’lar ve Scaleup’lar belirli riskleri, özellikle de yapay zeka projeleri üzerinde çalışan şirketler gibi ağırlıklı olarak büyük veri kümelerine dayanan riskleri kabul etmeye daha açık olma eğilimindedir. Bu kuruluşların, gizlilik ve güvenlik risklerini başlangıçta bir kenara bırakmanın, bunların gelecekte çözülmesini çok daha zorlaştıracağının farkında olmaları gerekir. Yıllar önce yapılan hataları düzeltmek zor, hatta imkansız bir iş olabilir.
Düzenleyici değişikliklere veya veri ihlallerine tepki vermekten kaçınmak için şirketlere Tasarımdan Doğan Gizlilik konusunda proaktif kalmaları konusunda ne gibi tavsiyelerde bulunursunuz?
Hem Gizlilik hem de Tasarım Yoluyla Güvenlik, eğitime yatırım ve farkındalık yaratma konusunda bu sorunun cevabı aynıdır. Hem DPO’ların hem de CISO’ların kendilerini eğitmek ve ardından riskler ve en iyi uygulamalar hakkındaki bilgileri üst yönetime ve organizasyonun her bölümündeki meslektaşlarına yaymak için çaba harcaması gerekir. Herkese, ISO 27001 ve 27701 veya OWASP ASVS gibi, ellerinde bulunan denenmiş ve test edilmiş en iyi uygulamaları ve standartları kullanmalarını öneririm.
Ayrıca bu alandaki herkese, kuruluşla mümkün olduğunca etkileşime girmelerini, gizlilik ve güvenlik riskleri hakkında sürekli tartışmalarını, ilgili bilgileri kuruluş genelinde paylaşmalarını ve genel olarak kendilerini diğerlerinden birkaç adım önde olmaya zorlamalarını tavsiye ederim.