Doğanlar Holding IT Direktörü Fatih Özengin: “BU YAPIYI KENDİ İÇİNİZDE İÇSELLEŞTİRMENİZ LAZIM”

“KVKK konusunu üç boyutta ele alabiliriz. Birincisi Türkiye’deki proje yapış ve organizasyon kültürü açısından ele almak lazım. KVKK’yı IT projesi olarak görülmemeli kesinlikle. Çünkü işin belli sacayakları var. Bir tanesi hukuk, diğeri satış ve pazarlama, bir tanesi IT, en önemlisi de insan kaynakları. Birinci handikap şu oluyor. Böyle bir proje geldiği zaman bu projeyi kim üstlenmeli? Genelde bu departmen IT oluyor ancak bu da çok büyük bir hata. İkincisi işi kim alırsa alsın, örgüt kültürüne veya organizasyon kültürüne, Türkiye’deki projelerin yapılış şekli çok önemli. Çünkü ikinci gün bu işe zaman ayıracak insan bulamıyorsunuz. Herkesin kendine göre sorumlulukları ve başka işleri oluyor. Bir önemli hatamız da şu, sanki her yaptığımız işi sadece bir kere yapıyoruz, başka bir çalışmaya gerek yokmuş gibi davranıyoruz. Halbuki birçok projede olduğu gibi KVKK da yaşayan, devamlı güncellenen bir süreç. Bu sorumluluğu üzerine alacak özerk bir grubun olması önemli. Bu grubun devamlı kanunda olan değişiklikleri takip edip, bunu sürecinde güncelleyecek bir yapının kurulması lazım. Çünkü güncellemeleri takip edemediğiniz noktada, içerdeki işleyişiniz eksik kalabiliyor. Hepimiz 4-5 sene önce bu projelere başladık. O zamanlar Regülasyonlar çok yeni idi. Birtakım uygulamaların gelmesiyle herkesin tercrübeleri artmaya başladı. Bir ihlal veya şikayet olması durumunda KVKK komitesinin vereceği karar, sizin yaptığınız yatırımla beraber, altyapı yatırımlarınız ile de direkt bağlantılı. Komite ‘bu bir münferit olay mı?’ diye bakıyor. Bu gibi durumlarda cezadan daha önemlisi kurumun kaybedeceği imajdır.. Bu konuya önem veren, bunu kurumsal bir sorumluluk haline getiren şirketlerin imajlarını zarar görmemesi için elinden gelen tüm çabayı gösteriyor. Bu kültürü kendi yapılarında ve işleyişlerinde içselleştirip, rutin hale getiriuyorlar. BT altyapı platformunun  çok önemli olduğunu birkez daha belirtmemiz lazım (Priviliged Access Management vs gibi) . Bu altyapıyı iyi kurduysanız, size vereceği cezayı minimumda tutabiliyorsunuz. Ama buradaki önmeli sorun hiçbir platform ve çözümün, kurumları uçtan uca KVKK konusunda tam olarak koruyamaması. 4-5 ayrı çözümle yatırım yapmanız gerekebiliyor. Bu yatırımlara uygun insan kaynağı bulunması, bulunsa da idame ettirilememesi de apayrı önemli sorunlar. Yapılandırılmış veri dediğimiz ERP datalarını ayrı görmek gerekiyor. Rıza aldıktan sonra bu metni de paylaşmak için bir iş akışı mekanizması kurulması, ‘bu veriyi burada kullanabilir miyim?’ diye tekrar onay alınması gerekecek. Peki yapılandırılmamış veriyi nasıl tutacağız? Hepsi için ayrı ayrı çözümler olduğunu görüyoruz. Özetle; proje yapış kültürü, ikincisi bunun sorumluluğunun alınması, üçüncüsü orada çıkan yapının içselleştirilmesi ve kurumsallaştırılması, dördüncüsü bu KVKK ihtiyacına yönelik platformun netleştirilmesi, seçim konusunda en azından 1-2’ye indirilebilmesi ve daha fazla sayıda çözümle muhatap olunmaması önemli. KVKK ve Bilgi Güvenliği yatırımları ve projeleri birnevi kaza sigortası niteliğinde. Başınıza bir şey gelmeden bunun acısını anlamıyorsunuz. Ne zaman bu cezalar caydırıcı veya imaj kaybı ölçülebilir hale geliyor, o zaman yatırımlar yapılabilir, hızlanabilir hale geliyor.”