Siber güvenlik alanında hizmet sunan Forcepoint™, uluslararası hukuk şirketi Hogan Lovells iş birliğiyle kurumların stratejik verilerini korumaya yönelik iş gücü izleme politikalarına ve bunun hukuki boyutuna dair bir araştırma gerçekleştirdi. “Küresel Dünyada İş Gücü Yönetiminin Siber Riskleri: Hukuki Bakış” adlı rapor ile araştırma sonuçları açıklanan çalışma, Türkiye’nin de içerisinde bulunduğu 15 ülkede, 10 temel iş gücü izleme yöntemine odaklanıyor.
Küresel kuruluşlar bir yandan kurum içi veri yönetimi süreçlerini GDPR gibi yeni ve daha katı yönetmeliklere göre düzenlerken, bir yandan da kişisel müşteri verilerinin korunması gibi zorlu süreçleri yönetiyor. Kurum içi ve dışı tehditlerden korunma ve veri kaybının önlenmesinde, bilgi kaynaklarının kullanımının izlenmesi önemli bir rol oynuyor. Bununla birlikte; Hukuk, IT ve İK ekipleri ile şirket yönetimleri, hem çalışanların kişisel gizliliği ve yasal haklarına uyumlu hareket etmek hem de veri ve IP bilgilerinin korunmasını sağlamak zorundalar. Uluslararası ölçekte iş yapan kurumlar ise her ülkede farklılık gösteren yasal yükümlülüklere göre politikalarını farklı şekillerde tasarlıyor ve uyguluyor. Dolayısıyla iş gücünün izlenmesi her geçen gün daha zorlu bir hal alıyor.
Bu araştırma fikrinin kendi kurumsal ihtiyaçlarından yola çıkarak oluştuğuna değinen Forcepoint CISO’su Allan Alford; “Dünyanın lider siber güvenlik kurumu olarak kendi insan odaklı güvenlik programlarımızı oluştururken iş dünyasına da öncülük ediyoruz. Veri Koruma / Gizlilik Etki Değerlendirme (DPIA/PIA) sistemlerimizi yeni dünyanın gerekliliklerine göre güncellerken fark ettik ki hukuki rehberliğe ihtiyaç duyuyoruz. Bu ihtiyacı yakın zamanda müşterilerimizin de hissedeceği fikri doğrultusunda gizlilik ve uygulama konusunda uzman hukuk firması Hogan Lovells’ı bu konuda araştırma yapmak üzere görevlendirdik. İnanıyorum ki ortaya çıkan bu kapsamlı rapor küresel iş dünyası için bir rehber niteliği taşıyacak” dedi.
Bu çalışma, uluslararası hukuk alanında, özellikle siber odaklı iş gücü tehdit programı uygulaması konusunda yayınlanan ilk inceleme olarak önemli bir yere sahip. Çalışma ayrıca uygulama programlarını gözden geçiren kurumlar için güçlü bir kaynak olarak öne çıkıyor. Hogan Lovells ekibi, araştırmalarını iş gücü izlemeyi içeren siber savunma programları konusunda üç ana hukuki alanda gerçekleştirdiler. Bunlar; veri gizliliği ve veri koruma yasaları, iletişim gizlilik yasaları ve istihdam yasaları.
Araştırma sonuçlarının yanı sıra yayınlanan çalışma, kuruluşların kendi politikalarını oluşturmalarında yol gösterici olacak soru kiti ve gizlilik koruma yöntemleri ile 15 farklı ülke için özel yönlendirmeler ve öneriler sunuyor.
Değişen siber dünya ve buna dair yönetmelikler, iş gücü izleme ihtiyacını artırıyor
Geleneksel yöntemler ve araçlar, insan kaynaklı tehditlere yönelik nitelikli bilgi sağlama konusunda başarısız oluyorlar. Bu nedenle, kurumların insan odaklı siber davranışları (kullanıcılar, veriler ve ağlardaki kesişmeler) anlama talebi artıyor.
Veri kaybının kurumlar için önemli bir itibar kaybı da olduğunu ifade eden Hogan Lovells’in ortaklarından Harriet Pearson; “Son dönemdeki vakalar gösteriyor ki siber saldırılar şirketlerin operasyonel akışlarını bozuyor, itibarlarını zedeliyor ve hukuki sorunlara yol açıyor. Siber saldırılar ister kurum içinden ister dışarıdan geliyor olsun, kurum çalışanları şirketlerin siber tehditlere açık olup olmamasında önemli bir rol oynuyor. Bu nedenle siber riskleri etkin bir şekilde belirlemek, önlemek ve azaltmak için kurumların hem iç hem de dış tehditlere yönelmeleri gerekiyor. Dolayısıyla kullanıcıların kritik verilerle ve bilgi kaynaklarıyla etkileşiminin izlenmesi kurumlar için stratejik öneme sahip” dedi.
Uluslararası farklılıkları anlamak
“Küresel Dünyada İş Gücü Yönetiminin Siber Riskleri: Hukuki Bakış”, iş gücü izlemenin incelenen 15 ülkede farklılık gösterdiğini ortaya koyuyor ve Hogan Lovells tarafından her bir ülkenin gerekli yasal uyumluluk işlemleri için oluşturduğu puanlamayı içeriyor. Bazı ülkelerde kurumlar, iş gücü izleme konusunda geniş haklara sahipken, diğerlerinde ise ancak yeterince şüpheli bir durum halinde bireysel iletişim ve bilgileri analiz etme haklarına sahipler.
Kurum politikalarında dengenin önemli olduğunu belirten Alford; “Her iş gücü izleme programı iş gücünün güvenini garanti altına alacak şekilde ölçülü, saygılı ve şeffaf bir şekilde uygulanır olmalı. Bu, dikkatlice dengelenmesi gereken bir süreç: iş verenler ve çalışanlar, birbirlerini korumak için el ele hareket etmeliler. Hepimiz, bireysel ve kurumsal verilerimiz için daha iyi bir güvenlik istiyoruz. Bu da çalışanların ne zaman, nasıl ve neden şirket verileriyle etkileşime geçtiğiyle ilgili net ve önemli bir takım gizlilik uygulamalarına olan ihtiyacı ortaya çıkarıyor” şeklinde konuştu.
Birçok ülkede iş gücü izleme uygulamaları, çalışan temsilcileri ve çalışanların bireysel izni ile gerçekleştirilebiliyor. Örneğin; Amerika Birleşik Devletleri’nde kurumlar, bilgi sistemlerini siber güvenlik nedeniyle izlemeleri konusunda, yasadan muaf tutuluyor. Bunun yanında Finlandiya’da, işverenlerin çalışanlarının iletişim içeriklerine ulaşması genellikle yasaklanmış durumda.
Kaynak : 