Günümüzde bahsi geçen uyumluluk regulasyonu, AB’nin Genel Veri Güvenliği Regulayonu’dur (GDPR). Fakat pek çok şirket 25 Mayıs’a hazır olmadığı gibi, yine bir çoğu bunun risklerinden de bihaberler. Elbette, kuruluşunuzun GDPR’a tabii olup olmadığını bilmek sadece başlangıçtır. Uyum sağladığınızdan emin olmak için adımlar atmanız gerekiyor.
Daha fazla uyumluluk yönetmelikleri yürürlüğe girdikçe, iş süreçlerini değiştirmek, geliştirmek veya tamamen dönüştürmek ve zorunlulukları karşılamak, kurumlara çok fazla iş çıkarmaktadır. Tabii ki bu çaba anlamlı, şöyle ki: Bu süreç, müşterilerinize, verilerinin korunmasıyla başlayarak, sağlam bir güven ilişkisi kurmaya ne kadar kararlı olduğunuzu gösterme fırsatıdır. Aynı zaman büyük para cezalarından da sizi kurtarır.
Elbette, çalışanlar bordada ter dökmedikçe, rotadaki gemide hiçbir araç ya da süreç, tek başlarına etkili olmayacaktır. Doğru bir güvenlik eğitim programı, kurumunuzda veri güvenliğine çalışanların sahiplenmesini teşvik edecek, gereken dönüşümü daha sağlam bir temel üzerine oturtmanıza yardımcı olacaktır. Herkesin yılda bir kere izlediği yarım saatlik güvenlik eğitim videosu (veböylece bilginin önemini hatırladıklarını kanıtlayan! beş dakikalık sınavı geçtikleri) yetersiz kalmaktadır.
Dünyadaki her çalışan, kurumsal bilgi işleme politikalarını takip etmelerini zorunlu kılan bir iş sözleşmesi imzalar. Yanlışlıkla yapılacak bir sızıntı bile işten çıkarılmaya neden olabilir, ancak acaba kendilerine hangi araçları sunarak, kendilerini bu regülasyona uyumlu davranmalarını sağlayabiliriz?
Günümüzde bu tür sızıntıların bedelleri çok ciddi noktalara ulaşıyor ve insanların hafızaları arama motorları nedeniyle oldukça güçlendi. Cezalar katlandı, itibar kayıpları kurumların batmasına, çalışanların işsiz kalmasına yol açabiliyor. İşte bu yüzden çalışanlar, çözümün bir parçası olmalıdır.
Peki, ekiplerinizin etkin, güvenli veri işleme uygulamaları içinde çalışmalarını, bunu bir alışkanlık haline getirmelerini nasıl sağlayacaksınız? İşte size, onları sonsuza kadar kazanma hedefinizde destek olacak programa odaklanmanızı sağlayacak üç yol.
1) Kurumun veri ve veri koruma politikaları hakkında farkındalık yaratın
Bu, herkese GDPR ya da başka bir uyum mevzuatına derinlemesine bir genel bakış sunmanız gerektiği anlamına gelmez. Bunun yerine, organizasyon genelinde, hangi tür verilerin korunması gerektiğini bilmeleri gerekiyor; bu tür bilgiler, işlerinin bir parçası olmasa bile.
Veri türlerini öğrendikçe, her veri türüne, hangi hassasiyet seviyesinin, hangi nedenle uygulanması gerektiğini de bilmeleri gerekecektir. Çalışanlar politikaları anladığında, ellerinden geçen verilerle nasıl davranacaklarına karar vermeleri daha da kolaylaşır.
İnsanlar eğitimden ayrıldıklarında, öğrenmeleri bitmemelidir. Farkındalığı, farklı çeşitli yollarla teşvik etmeye devam etmelisiniz:
- Etrafa hatırlatıcı posterler yerleştirebilirsiniz
- Sürekli eğitim tazeleme seansları yapılabilir
- Güvenlik konusunda nasıl dikkatli olunduğuyla ilgili hikayeler paylaşılabilinir
Bir farkındalık temeli olmaksızın, bir sonraki adımda, çalışanlardan günlük çalışmalarında bilgi hassasiyetini göz önünde bulundurmalarını bekleyemezsiniz.
2) Veri güvenliğiyle ilgili farkındalığı teşvik
Bilgi güvenliği farkındalığı kavramı yankılandıkça, çalışanlarınız ellerinden geçen verilerin korunmasına daha fazla odaklanabilirler. GDPR ile birlikte bu, çok anlamlı bir hedeftir. Organizasyonunuz etrafta dolaşan verileri dikkate alan kişilerden yararlanacaktır. Bu kişiler veri ihlallerine karşı ilk savunma hattınız olacaklar.
Farkındalık çabalarınız, veri duyarlılığı ile ilgili hatırlatıcılar sağlayarak farkındalığın güçlenmesine yardımcı olur.
Farkındalığı yüksek çalışanlarla, veri korumada teknolojinin kullanımını daha etkili hale getirir. İşaretleri uygulayan ve veri koruma politikalarını tetikleyen araçların sunulması, günlük iş akışına farkındalığı doğrudan katmanın yaratmanın ek bir yoludur. Her belgenin hassasiyet düzeyi açıkça belirtildiğinde, çalışanların o belgeleri nasıl ele almaları gerektiğini anlamaları daha kolaydır.
Teknoloji, en hassas belgelerin yetkisiz alıcılara gönderilmesini engelleyerek, istenmeyen veri ihlallerini, sızıntı ya da kayıpları önlemeyi bir adım daha ileriye götürür.
Kim bilir kaç sefer, bir sonraki toplantıya yetişme ya da akşam vaktinde çıkmak için çabalarken, klavyede gönder tuşuna basmanızla bilikte e-postayı yanlış alıcı ya da alıcı grubuna gönderdiğinizi fark ettiniz? Giden gitmiştir artık ve bu kaza/hataları önleyecek bir araç paha biçilmez bir değerdedir.
3) İnsanları uygun bir şekilde aksiyon almaları ve hesap verebilir hale gelmeleri için yetkilendirin
Bilgi Güçtür. Bilgiyi eyleme geçirmek, öğrendiklerini pekiştirir. Tüm kurumunuzda, bütün veri güvenlik çabalarınıza yönelik eğitim, gözlem, denetim ve muhafaza etme sorumluluğuna sahip sadece bir elin parmakları kadar çalışanınız olduğunda, bu ekibin kurum içinde yaratacağı, en iyi veri güvenlik uygulamalarını yürekten destekleyen her departmandan çalışanlarınızdan oluşacak bir ordu, başarınızı garanti altına alınacaktır.
Verilerin güvenli paylaşımıza yönelik çalışanlarınızın farkındalık ve düşüncelilikleri, itibar koruyucu-önleyici eylemlere dönüştüğünde, süreklilik sağlamak açısından bu anları ödüllendirin ve hikayelerini kurum içinde paylaşın.
Eğitim, bir güvenlik kültürü oluşturmanın anahtarıdır
Tüm bu çabaların sonucu kurumunuzu, çalışanlarınızda güvenli bilgi paylaşımı farkındalığının bir statüko haline geldiği bir güvenlik kültürüne götürecektir. Kuruluşunuz genelinde hassas verileri korumak için tüm şirketin bir arada çalışmasını sağladığınızda, bir sonraki veri koruma düzenlemesinin ne olduğu önemli değildir, tüm kuruluşunuz bu yeni gelecek düzenlemeye hazır olacaktır.
Yazan: Doug Snow
Doug Snow, TITUS Müşteri İlişkileri Bölümü Başkan Yardımcısıdır. Kendisi 30 yıllık BT ve proje yönetimi deneyimi ile, müşteri ihtiyaçlarının süreç boyunca karşılanmasından sorumlu takımınına önderlik etmektedir.