‘Sürekli Uyum’ Kuruluşların Geçmişe Odaklanmalarını Engeller*

Bugün 23 Ağustos 2023, yani ‘Türkiye Cumhuriyeti’nin 100 üncü kuruluş yılı…

1. Giriş

Düzenlemelerin kapsamı, manuel kontrollere güvenme sonucunda felakete davetiye çıkarır.

Akıllı kilitlerle tamamlanmış bir ev güvenlik sistemi hayal edelim. Şimdi de işe gitmek için evinizden çıktığınızı ancak ön kapıyı kilitleyip kilitlemediğinizi hatırlayamadığınızı düşünelim. Uygulamayı sorguluyorsunuz ve uygulama altı ay önce ön kapıyı kilitlediğinizi neşeli bir şekilde yanıtlıyor. Bilgiler doğru mu? Elbette doğrudur. Peki, yararlı mıdır? Kesinlikle hayır.

Güvenlik ve uyumluluk dünyasında bilgiler hızla geçerliliğini yitirir. Altı ay önce kapınızı kilitlemiş olmanızın bir önemi yoktur; kapınızın şu anda kilitli olup olmaması önemlidir. Peki, o zaman neden bu kadar çok kuruluş, konu uyumluluk olduğunda periyodik denetimlerden ve anlık görüntülerden memnun kalmaktadır?

Drata tarafından yürütülen son bir araştırma[1], kuruluşların yalnızca %40’ının uyumluluk kontrollerinin durumunu sürekli ve gerçek zamanlı olarak gözden geçirdiğini, yalnızca %2’sinin tam sürekli, otomatik uyumluluğa ulaştığını ortaya çıkardı. Bugün bu yeterince iyi değildir. Kuruluşların işlerine zarar verebilir ve onları düzenleyici cezalara maruz bırakabilir; ayrıca onları saldırı riskiyle karşı karşıya bırakabilir.

2. ‘Kutuyu işaretleyin’ zihniyetinden kurtulmak

Ne yazık ki kuruluşların önemli bir çoğunluğu, uyumluluğu kontrol edilmesi gereken bir kutudan biraz daha fazlası olarak görmeye devam ediyor ki; bu, işletmeye çok az faydası olan külfetli bir gerekliliktir. Tarihsel bağlamda bunu anlamak kolaydır. Otomatik araçlardan önce uyumluluğun manuel olarak yapılması gerekiyordu. Bu, sonuçta yalnızca anlık bir görüntü üreten bir denetim yürütmek için kaynakları iş açısından gerekli diğer alanlardan yönlendirmek anlamına geliyordu.

Yeni kurulan şirketler ile kaynakları kısıtlı diğer işletmeler için bu üretkenlik ve ivme kaybı özellikle zararlı olabilir. Sonuç olarak birçoğu uyumluluk konusunu iptal etmeyi seçiyor; ancak bunun gerçek sonuçları olabilir. Örneğin, çoğu potansiyel iş ortağının görmek isteyeceği sürüm olan Tip 2 SOC 2 doğrulama raporu[2], veri güvenliği etkinliğini altı aydan bir yıla kadar ölçer; bu da iyi bir rapor oluşturmak için bir yıldan fazla planlama ve yürütme gerektirebileceği anlamına gelmektedir. Ayrıca şirketin bir sonraki denetime kadar tam uyum içinde kalmasını sağlamak için özveri gerektirir.

Diğer yandan Kaliforniya Tüketici Gizliliği Yasası (California Consumer Privacy Act-CCPA[3]) ve Avrupa Birliği’nin (AB) Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR[4]) gibi veri gizliliği düzenlemeleri periyodik denetimler içermiyor ki, bu da şirketlerin bunları akıldan çıkarmasını kolaylaştırıyor. Kendinize bir şey olana kadar Kaliforniya Tüketici Gizliliği Yasası veya Avrupa Birliği Genel Veri Koruma Tüzüğü hakkında endişelenmenize gerek olmadığını söylemek kolaydır, ancak o zaman çok geç olabilir. Örneğin Kaliforniya Tüketici Gizliliği Yasası, şirketlere veri gizliliği sorunlarını tespit ettikten sonra düzeltmeleri için yalnızca 30 gün veriyor. Bunun yapılmaması ağır bir para cezasıyla sonuçlanabilir, ancak veri güvenliği uyumluluğuna öncelik vermeyen bir şirketin bunu yalnızca 30 gün içinde yapması son derece zor olabilir. Gerçek şu ki, şirketlerin yalnızca şu anda kendileri için geçerli olan uyumluluk standartları için değil, gelecekte kendileri için geçerli olması muhtemel standartlar için de her zaman ileriye dönük planlama yapması gerekiyor.

3. Uyumsuzluğun maliyeti artıyor

Kaliforniya eyaleti, 2022 yılında, Kaliforniya Tüketici Gizliliği Yasası ihlalleri iddiası nedeniyle Sephora ile 1,2 milyon Amerika Birleşik Devletleri (ABD) dolarlık bir anlaşmaya vardı[5] ve Kaliforniya Başsavcısı Rob Bonita o sırada Sephora’nın “tüketicilere kişisel bilgilerini sattığını açıklamadığını, kullanıcı isteklerini işleme koymada başarısız olduğunu” söyledi. Kaliforniya Tüketici Gizliliği Yasası’nı ihlal edecek şekilde, kullanıcı tarafından etkinleştirilen küresel gizlilik denetimleri yoluyla satıştan vazgeçildiğini ve Kaliforniya Tüketici Gizliliği Yasası’nın şu anda izin verdiği 30 günlük süre içinde bu ihlalleri gidermediğini belirtti.

Ortaya çıkan çözüm türünün ilk örneğiydi ancak kesinlikle son olmayacaktır. Kaliforniya Tüketici Gizliliği Yasası düzenlemeleri uyarınca Sephora’nın etkisi çok daha kötü olabilirdi. Ve Kaliforniya Tüketici Gizliliği Yasası’nın yakında yerini daha sıkı Kaliforniya Gizlilik Hakları Yasası’na (California Privacy Rights Act-CPRA) bırakmasıyla birlikte Kaliforniya eyaleti, veri gizliliği düzenlemelerini uygulamaya daha fazla adanmış hale geliyor. Yalnız da değiller; Colorado, Connecticut, Utah ve Virginia kendi veri gizliliği yasalarını yürürlüğe koydu ve daha fazla eyalet[6] de onların peşindedir. Avrupa Birliği’nin Genel Veri Koruma Tüzüğü, Birleşik Krallık’ın da kendisinin benzer mevzuatını çıkarma planları bulunmaktadır. Amerika ve dünya çapında faaliyet gösteren işletmeler için, veri gizliliği düzenlemelerine uyulmaması, işletmeleri yüksek mali cezalara maruz kalma riskiyle karşı karşıya bırakmaktadır.

Elbette SOC 2 gibi hukuki çerçeveler hükümet düzenlemeleri değildir, dolayısıyla uyumsuzluk para cezası riskini beraberinde getirmez. Ancak giderek daha fazla işletme önemli miktarda veri topladıkça, temiz bir SOC 2 onayı esasen bir gereklilik haline gelmiştir. Zayıf bir SOC 2 raporu veya daha kötüsü, SOC 2 raporunun olmaması muhtemelen iş kaybıyla sonuçlanacaktır. SOC 2 gibi standartlara uymak geleneksel anlamda zorunlu olmayabilir, ancak işlerini korumak ve büyütmek isteyen kuruluşlar için bunlar şarttır.

4. Otomasyon zamandan tasarruf sağlar, riski sınırlandırır ve iş yaratır

Otomasyon (automation), düzenli aralıklarla denetimler gerçekleştirmek yerine kuruluşların güvenlik kontrollerinin uyumluluk koşullarına göre nasıl performans gösterdiğini sürekli olarak görmelerine olanak tanır. Sürekli test ve doğrulama sayesinde güvenlik açıkları ve yanlış yapılandırmalar gerçek zamanlı olarak belirlenip düzeltilebilir, böylece uyumluluktaki herhangi bir aksaklığın hızlı bir şekilde ele alınması sağlanır. Günümüzün otomatikleştirilmiş uyumluluk araçları, kuruluşların kapsamdaki potansiyel boşlukların nerede olduğunu daha kolay görselleştirmesine yardımcı olabilir, kör noktaları ortadan kaldırabilir ve risk açıklarına ve politika ihlallerine yanıt vermek için gereken süreyi azaltabilir.

Bu çok önemlidir, çünkü işletmelerin işlediği veri hacmi katlanarak artmaktadır ve bu verilerin bulunduğu yer giderek daha merkezi olmayan bir hale gelmektedir. Veriler sunuculara, veri merkezlerine, bulut depolama alanına ve hatta dizüstü bilgisayarlar, akıllı telefonlar, satış noktası istasyonları ve diğer konumlar gibi yerel cihazlara yayılır. Bu genişleyen ağ mimarisi genelinde uyumluluğu manuel olarak sürdürmek ve doğrulamak, hem zaman hem de kaynak açısından önemli bir yatırım gerektirir. Zamanlarını başka bir yerde geçirmenin daha iyi olacağı kesin olan Bilişim Teknolojileri ve güvenlik çalışanlarından binlerce saat talep edebilir.

Otomasyon aynı zamanda insan hatası gibi sorunlara da maruz kalmaz ki; bu, yalnızca uyumluluğun sürekli olarak sürdürülmesini sağlamakla kalmayıp aynı zamanda bu çabaların doğruluğunu da artırabileceği anlamına gelir. Veri koruma hiçbir zaman şu anda olduğundan daha sıcak bir konu olmamıştı ve sürekli, güvenli ve uyumlu protokollerin kanıtını gösterme yeteneği, zaman geçtikçe daha da geçerli hale gelecektir. Açık, sürekli ve doğru bir uyumluluk kaydı, güven oluşturmaya yönelik uzun bir yol kat edebilir.

Bu güven daha sonra iş hızlandırıcı olarak kullanılabilir ve kuruluşların yeni ilişkiler geliştirirken uyumluluk durumlarını hızlı ve kolay bir şekilde göstermelerine yardımcı olur. Uyumluluk tek faktör olmasa da önemli bir faktördür ve zayıf bir uyumluluk performansı, itibarın zedelenmesine ve iş kaybına yol açabilir. İlişkiler güven üzerine kuruludur ve uyumluluğun otomatik ve sürekli olarak önceliklendirilmesi, potansiyel iş ortaklarına ve müşterilere, işleri ve verileri konusunda size güvenmeleri için gereken güveni sağlayabilir.

Motivasyonları ister ilave işleri güvence altına almak, ister yüksek maliyetli para cezalarından ve cezalardan kaçınmak ya da çalışan verimliliğini artırmak olsun, sürekli ve otomatik uyumluluğa öncelik vermenin günümüz işletmeleri için önemli bir olumlu etkiye sahip olabileceği açıktır. Kuruluşlar uzun süredir uyumluluğu bir yük olarak görüyordu ve bunun nedenleri de anlaşılabilirdi.

Ancak otomatik uyumluluk araçları giderek daha karmaşık hale geldikçe, işletmelerin kendilerini hantal ve zaman alıcı manuel doğrulama uygulamalarıyla sınırlamaları için çok az neden vardır. Bunun yerine, otomatikleştirilmiş ve sürekli uyumluluk uygulamalarını benimsemek, kuruluşların ve onların ortaklarının, müşterilerinin ve hatta denetçilerinin ihtiyaç duydukları bilgilere ihtiyaç duydukları anda sahip olmalarını sağlayabilir.

[1] Drata araştırması için bkz. < https://drata.com/resources/2023-compliance-trends >

[2] SOC 2, diğer adıyla Hizmet Organizasyonu Kontrol Tipi 2 (Service Organization Control Type), Amerikan Yeminli Mali Müşavirler Enstitüsü (American Institute of Certified Public Accountants-AICPA) tarafından geliştirilen bir siber güvenlik uyumluluk çerçevesidir. SOC 2’nin temel amacı, üçüncü taraf hizmet sağlayıcıların müşteri verilerini güvenli bir şekilde depolamasını ve işlemesini sağlamaktır. Çerçeve, beş güven hizmeti ilkesine dayalı olarak yüksek veri güvenliği standartlarını korumaya yönelik ölçütleri belirtir: güvenlik, gizlilik, kullanılabilirlik, gizlilik ve işleme bütünlüğü (security, privacy, availability, confidentiality, and processing integrity).

[3] CCPA için bkz. < https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5 >

[4] AB GDPR için bkz. < https://gdpr-info.eu/ >

[5] Bu konuda bkz. < https://www.faegredrinker.com/en/insights/publications/2022/9/sephora-settles-with-california-ag-for-1-2m-for-alleged-ccpa-violations >

[6] Bu konuda bkz. < https://iapp.org/resources/article/us-state-privacy-legislation-tracker/ >

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.