27 Mart 2015 Cuma

DLP KULLANIMI VE REKABET UYUM PROGRAMLARI

Herkese Merhabalar,

Dijital verilerin güvenliği günümüzde çoğu şirket için en öncelikli konulardan birisi haline gelmiştir. Internet kullanımının ve internetten yapılan işlemlerin hacminin artması, hem Avrupa’da hem de Amerika Birleşik Devletlerinde (ABD) T.J. Maxx ve Home Depot gibi çeşitli bilgi güvenliği ihlali durumlarının ortaya çıkmasına neden olmuştur.

Şirket içinde bulunan kıymetli bilgilerin şirket dışına aktarılmasını engelleyen firewall, intrusion detection systems (IDS) ve IPS benzeri birçok program ve yöntem bulunmaktadır. Bunlardan son dönemde popüler olanlarından birisi de Symantec firmasının ürettiği Data Loss Prevention (DLP) programıdır. DLP, bir şirketin sahip olduğu network üzerinde yer alan bilginin (Word, Excel, Powerpoint, PDF vb. formatta) görünür hale getirilip korunmasını sağlayan teknoloji olarak tanımlanmaktadır.

Bir başka ifade ile DLP, bir şirket için değerli olan bilginin önceden tanımlanarak politikalar vasıtasıyla DLP programına yüklenmesi sonucu görünür hale gelen kıymetli bilgilerin (ticari sırlar, faydalı model, dizayn, çizim, finansal bilgilerin, müşteri bilgilerinin, TC kimlik numaralarının, kredi kartı bilgilerinin  vb.) şirket içinden dışarıya veya şirket dışından içeri doğru yapılacak müdahaleler ile yasa dışı olarak kullanılmasını engellemek üzere tasarlanmış bir programdır.  Bu bağlamda DLP, halka açık veya kapalı, tüm mal ve hizmet piyasalarında faaliyet gösteren şirketler için farklı veri güvenliği ihtiyaçlarına cevap verebilecek nitelikte bir programdır.

Bu faydalı programı bizim için farklı yapan husus, DLP’nin Türkiye’de ve de belki Avrupa’da ilk defa Anadolu Efes bünyesinde uygulanmakta olan rekabet uyum programı çerçevesinde çok detaylı biçimde yaklaşık 300’e yakın politika kombinasyonu ile rekabet hukuku alanında kullanılması olmuştur.

Anadolu Efes bünyesinde yürütülmekte olan rekabet uyum programının en önemli modüllerinden birisi “monitoring”dir. Rekabet uyum programı çerçevesinde Anadolu Efes bünyesinde yaklaşık 2.500 kişiye her yıl düzenli olarak verilen rekabet eğitimlerinin etkinliğinin ölçülebilmesi adına, yine her yıl yaklaşık 100’e yakın habersiz denetim yapılmaktadır. Ancak yapılan bu habersiz denetimler sadece o anın fotoğrafını çekmekte, denetim bitirildikten sonraki günler açısından çalışanların farkındalığını artırmak dışında herhangi bir özelliği bulunmamaktadır. Dolayısıyla bir rekabet uyum programı uygulayıcısı açısından iki habersiz denetim zamanı arasında bir belirsizlik dönemi ortaya çıkması söz konusu olmaktadır. Bu belirsizliğin her ne kadar düzenli eğitim, düzenli iletişim ve üst yönetimin çalışanlarına rekabet uyumun önemini belirten telkinleri ile azaltılması mümkün olsa da, ortada tam olarak yok edilemeyen bir riskin olduğu da bir gerçektir.

Ortaya çıkan bu ihtiyacın tespit edilmesinin ardından 2014 yılı başında ABD ve Avrupa merkezli farklı yazılım firmaları ile temas edilmiş, birkaç adet deneme kurulumu yaptırılmış ancak söz konusu programlar hem sistemsel performans hem de istenene cevap verebilme kapasitesi bakımından yeterli görülmemiştir. Daha sonra Symantec firması ile temas kurulmuş, hayal ettiğimiz programın nasıl olması gerektiği ve programdan beklentilerin ne olduğu kendilerine aktarılmıştır. Bunun üzerine DLP programının denenmesine karar verilmiştir.

DLP 2015 yılı başından itibaren deneme amaçlı olarak sınırlı sayıda şirket personeline yüklenmiştir. Daha önce de bahsedildiği gibi 4 yılı aşkın süredir rekabet uyum programı çerçevesinde oluşan know-how yardımı ile yaklaşık 300 civarında politika oluşturulmuş ve program aktif olarak kullanılmaya başlanmıştır.

Program bünyesinde rekabet hukuku bünyesinde yapılabilecek temel olarak üç fonksiyon bulunmaktadır:
  • Politikalar doğrultusunda iletişimin engellenmesi ("Block")
  • Politikalar doğrultusunda iletişimin sorgulanması ("User Cancel")
  • Rekabet hukuku açısından hassas verilerin işaretlenip (fiyat listeleri, pazarlama planları,       lojistik planlar, bütçeler vb.) bu verilere kimin eriştiğinin veya bu verilerin hareket ettirilip ettirilmediğinin kontrolü.

Bloklama özelliği, belirlenen politikaları içeren bir email’in veya onun ekine konulacak bir dosyanın gönderilmesinin veya başka yere kopyalanmasının veyahut print edilmek istenmesinin veyahut belirlenen politikaları içeren bir belge taşıyan bir harici diskin takılarak bilgisayara kopyalama yapılmak istenmesinin tamamen önüne geçmekte ve işlemi kesmektedir.

“User Cancel” ise önceki paragrafta sayılan şeylerin aynısını yapmakta ancak işlemi kesmek yerine kullanıcının karşısına bir uyarı kutucuğu çıkararak kendisine sorular sorulabilmesine imkan vermektedir. Bu yolla, kullanıcıların işaretlediği şıklar sayesinde eğitim eksiği olan ya da ilgili konu hakkında bilgisi olmayan kişiler direk sistem tarafından Rekabet Uyum Müdürlüğüne raporlanmaktadır. Bu şekilde problemler hem gerçek zamanlı takip edilmekte hem de kısa sürede kullanıcının ihtiyaçlarına uygun olarak (tailor-made) giderilebilmektedir.

Bu sayılanlar dışında DLP’nin rekabet hukuku alanında birçok farklı kullanım şeklinin daha bulunması oldukça muhtemeldir. DLP programı, rekabet uyum programları kapsamında rekabet uyumdan sorumlu kişilere destek olabilecek ve çalışan farkındalığını kısa sürede artırabilecek nitelikte olan ve potansiyeli henüz % 100 kullanılamayan bir programdır.

Şuana kadar ki tecrübeler ışığında DLP uygulaması bakımından iki konunun önemli olduğu tespit edilmiştir:

  • DLP’nin varlığı nedeniyle çalışanların rehavete kapılması ve “…nasıl olsa her şeyi DLP kontrol ediyor benim kullandığım yazışma dilime dikkat etmeme gerek kalmadı…” düşüncesinin ortaya çıkmasıdır. Bu nedenle, verilecek rekabet hukuku eğitimlerinde mutlaka DLP’nin sadece bir destek aracı olduğu, bunun dışında rekabet uyum konusundaki asıl sorumluların her zaman çalışanların kendi olduğu mutlaka vurgulanmalıdır.
  • Programın politikalarının oluşturulması ve oluşturulduktan sonra güncel tutulması oldukça zaman almaktadır. Dolayısıyla buna zaman ayırabilecek bir operatörün varlığı zorunludur. Programın kişi başı aylık lisans bedeli ödenerek kolaylıkla satın alınması mümkün olmakla beraber, asıl önemli olan husus şirket içi sağlıklı iletişimi koruyacak ve network kapasitesini zorlamayacak nitelikte politikalar oluşturulmasıdır. Bunun için de bahse konu politikaları yazacak kişilerin hem rekabet hukukunu hem de ilgili şirketi, onun yatay ve dikey ilişkileri çerçevesinde işleyişini ve faaliyet gösterilen sektörü (jargonu ile beraber) çok iyi bilmesi gerekmektedir. Aksi halde, çok jenerik ifadeler kullanılarak oluşturulan politikalar hem şirket içi iletişimi sıkıntıya sokacak hem de “false positive” olarak nitelendirilebilecek sonuçların oldukça fazla sayıda ortaya çıkmasına neden olacak ve rekabet uyum anlamında hiçbir işe yaramayacaktır. Dolayısıyla DLP’nin rekabet hukuku alanındaki uygulamasının püf noktası, minimum “false positive” verecek politikaların oluşturulması ve onların sürekli takip edilerek sürekli güncellenmesidir. Dolayısıyla sadece programı almak aslında tek başına hiçbir şeyi çözmemektedir.

Türkiye’de türünün belki de ilk örneği olan ve rekabet uyum alanında birçok yeniliğe imza atan Anadolu Efes rekabet uyum programı kapsamında yine bir ilke adım atmanın mutluluğunu yaşıyoruz. Hem programın bu alanda yeni olması hem de bizim bu programı yeni kullanıyor olmamız nedeniyle öğrenme eğrisinin başında olmamıza rağmen, kısa sürede önemli mesafe almış olmak bizim için de ayrıca memnuniyet verici bir gelişmedir.

Bundan sonraki hedefimiz, bu alanda daha da uzmanlaşıp bahse konu programı ve uygulamayı Efes’in yurt dışı operasyonları ve Anadolu Grubunun diğer şirketlerine taşıyabilmektir.

Tekrar görüşmek dileğiyle,

M. Oğuzcan Bülbül
Anadolu Efes Rekabet Uyum Müdürü




Hiç yorum yok:

Yorum Gönder