Bankacılık Sektöründe Veri Sınıflandırma Araçlarının Kullanımı
Bankacılık sektörü denildiğinde aklımıza gelen başlıca konu “Veri” olduğu aşikardır. Bankalar tabiri caiz ise veri havuzu gibi kuruluşlardır ancak veriyi iyi kullanan, veriyi yönetebilen, kalitesini ölçebilen, veriyi sınıflandırabilen ve sınıflandırılmış veri üzerinde aksiyon alabilen kurumlar sektörde fark yaratmaktan kurumlar olmaya adaydır. Tüm bu bilgiler ışığında veri özelinde yapılacak çalışmaların temel çatısını verilerin daha verimli kullanılabilmesi ve korunabilmesi için sınıflandırma çalışması oluşturmaktadır.
Veri sınıflandırması çalışması yapılmadan önce mutlaka sektör bağımsız olarak “kurum içindeki kritik verilerim nelerdir” sorularının cevaplanmış olması şarttır. Kritik veri,hassas veri listesi çıkarılmadan veri sınıflandırma çalışması yapmak manasızdır. Kritik ve hassas veri kapsamına giren veriler tespit edildikten sonra sınıflandırma seviyeleri belirlenmelidir. Sektörde yapılan çalışmalarda gözlemlediğimiz üzere sınıflandırma sadece hassas veri özelinde yapılmakta olup kişisel veri özelinde ek bir sınıflandırma yapılmamaktadır. Vakıfbank veri sınıflandırma yaparken ikili sınıflandırma metodu seçerek sonrasında kurgulanacak veri akışı, veri güvenliği, veri maskelemesi süreçlerinde çift kırılımlı aksiyon alma kolaylığından faydalanma seçimini yapmıştır.
Etiket seçimi yapılırken lafzi ifadelerin arka planda numeric karşılıklara bağlanması sistem entegrasyonları yaparken işleri oldukça kolaylaştırmaktadır. Veri sınıflandırma işlemleri yapısal olmayan ortamlarda kullanıcıya yaptırılan işlemdir. Kullanıcının veriye yaklaşımı ve veriyi tanıması doğru sınıflandırma yapabilmesi adına oldukça önemlidir. Nihayetinde veri sınıflandırması ürünleri ile kullanıcılar veri koruma süreçlerine aktif olarak katkıda bulunduklarından dolayı veriye karşı olan farkındalıkları yükselir. Aynı zamanda tutarlı bir veri sınıflandırması ile kurum kültürünün bilgiye olan bakışı da geliştiği için iş yapış şekillerindeki sorumluluk anlayışı gelişir.
Veri sınıflandırma araçları ile belirlenen kurallar çerçevesinde sınıflandırılan veriler veri güvenliği araçlarına girdi olarak kullanılmalıdır. Böylece sınıflandırılan veriler veri güvenliği kuralları çerçevesinde kurum dışı paylaşımları kontrol altına alınabilir. Bu bakış açısı ile araç seçimi yapılırken sınıflandırma ve güvenlik araçlarının entegre çalışabildiği uygulamalar tercih edilmelidir.
Veriler nasıl sınıflandırılmalıdır konusuna gelince;
· Veri sınıflandırma işlemleri yaparken mutlaka kritik veri, hassas veri nedir tanımları yapılmalıdır
· Kişisel Veri (Örneğin Müşteri No, HesapNo, Kredi Kartı No, Kredi Risk Numarası, IBAN Numarası) ve “Özel Nitelikli Veri” kavramları mutlaka göz önünde bulundurulmalıdır.
· Sınıflanacak/ sınıflanan veri içinde kişisel veri varsa zorunlu etiket kullanımı tasarım öncesi düşünülmelidir.
· Veri sınıflandırma yapılırken veri sahibine sorumluluk verildiğinden doküman sahibinin verisini doğru sınıflandırabilmesi adına sorumlulara kurum içi kısa ve anlaşılır online eğitimler hazırlanmalıdır.
· Kişisel veri ve Özel Nitelikli kişisel veri olarak işaretlenmiş dokümanın ve Gizlilik seviyesi işaretlenmiş dokümanların sınıfı değiştirilmek istendiğinde uyarı olarak kullanıcı bilgilendirilmektedir.
· Sınıflandırılan dokümanlarda uygulanan kurallar çerçevesinde sınıflandırma yapmayan kullanıcılara çıkarılacak uyarılar mutlaka implementasyon öncesinde tanımlanmalıdır.
Tüm bu bakış açıları değerlendirildiğinde bankalar için müşteri özelinde fark yaratacak sistemlerin kurgulanması verinin sahiplendirilmesi/sınıflandırılması temelleri üzerine kurularak paylaşımına kadar olan süreçleri kontrol altına almaktan geçtiği gözlemlenmektedir. Verisi doğru sınıflandırılmış olan kurumlarda müşteri özelinde yapılacak kampanya/ürün teklifleri hususlarında fark yaratabilir.
