DLP yani Veri Kaybı/Sızıntısı Önleme çözümleri KVKK açısından oldukça önem arz etmektedir. KVKK Teknik Tedbirler Rehberi’nde de sıklıkla söz edilmektedir bu çözümden. Yönetilmesi kolay olmayan siber güvenlik çözümleri arasında yer alsa da oldukça fazla soruna çözüm olmaktadır.
KVKK kapsamında yaşanan en büyük sorunlardan biri; şirketlerin bir taraftan işlediği kişisel verileri ilgili kişilere bildirdikleri ölçüde işleyip paylaşırken diğer taraftan ilgili süreçlerini sürekli takip etmek durumunda kalmalarıdır. Binlerce kişilik şirketlerde bu takip oldukça zor olduğu için DLP gibi çözümlerin kullanılması gerekmektedir. KVKK uyumluluğun olmazsa olmazı kişisel veri envanteri, kurumlardaki tüm süreçleri kapsayacak şekilde oluşturulduğundan DLP ürünlerinin sağlıklı çalışması için gereken kurguya da çok değerli girdi sağlamaktadır. Bu da DLP ürünlerinin (aslında proje demek daha doğru olabilir) yönetilmesindeki zorluğu önemli ölçüde azaltmaktadır.
Kurumlarda bu kapsamda yaşanan en büyük sorunlardan biri e-posta yoluyla gizli olarak belirlenmiş veya istenmeyen içerikleri ilgili olmayan kişilere göndermek oluyor. DLP ürünlerinde, önceden belirlenmiş listelerde bulunan kelimeleri içeren belgeleri gönderirken çıkan uyarılar bu gibi sorunları oldukça azaltmaktadır. KVKK kapsamında yapılan belgelerin gizlilik sınıflandırma çalışmaları bu süreci de oldukça hızlandırmaktadır. Aynı zamanda yetkisiz erişimleri engelleme konusunda da DLP oldukça yararlı bir çözüm. Kurulun en çok önem verdiği konulardan biri de erişim yetkilendirmeleridir. Bu konu da da DLP, PAM gibi çözümlere önemli girdi sağlamaktadır. Her ne kadar çalışanlarımıza güvensek de bu önlemleri almak bazı durumlarda hayat kurtarabiliyor. Kötü niyetli bir çalışanın şirketin önemli verilerini hatta kişilerin özel nitelikli kişisel verilerini şirket dışına sızdırması hem maddi kayıplara hem prestij kayıplarına yol açabilir.
Kanunun bütününe baktığımızda ana başlıkların, kişisel verilerin korunması ve aktarılması için gerekli prosedürlerin belirlenmesi, farkındalık seviyelerinin artırılması ve gerekli teknolojilerin kullanılması olduğu görünüyor. Ayrıca KVKK Teknik Tedbirler Rehberi’nde de kişisel veri işleyen şirketlerin kullanması önerilen çözümler arasında DLP de ayrı bir başlık olarak bulunuyor. Kişisel Verileri Koruma Kanunu’nun 12. Maddesinde belirtilen “Kişisel verilere aykırı olarak erişilmesini önlemek” ifadesinin de gerçekleştirilebilmesi için DLP çözümleri kritik önem taşıyor. Burada yetkisiz kişilere kişisel verilerin aktarılmasının ve yetkisiz kişilerce bu verilerin işlenmesinin önlenmesi gerektiği belirtiliyor. DLP bu gerekliliğin yerine getirilmesi için de oldukça işlevsel.
DLP’nin Veri Sınıflandırma özelliği kişisel verilerin gizlilik sınıflandırılmasının yapılmasında da ayrı önem arz ediyor. Örneğin, e-posta’larda iletilen belgelerin içerdiği verilerin kritiklik seviyeleri belirlendikten sonra DLP’nin engellemeleri ve izinleri bu doğrultuda düzenlemesi Kanun’a uyumluluk anlamında elimizi güçlendiriyor. Diğer taraftan, kelime bazlı engelleme özelliği de Kanun’a uyumluluk sağlama anlamında değerli.
Özetle, KVKK kapsamına giren kişisel verilerin belirlenip sonrasında bu verilerin yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımı olarak DLP, KVKK Uyumluluk ve Sürdürülebilirlik açısından kilit öneme sahip.
