Herkese Merhabalar,
Dijital verilerin
güvenliği günümüzde çoğu şirket için en öncelikli konulardan birisi haline
gelmiştir. Internet kullanımının ve internetten yapılan işlemlerin hacminin
artması, hem Avrupa’da hem de Amerika Birleşik Devletlerinde (ABD) T.J. Maxx ve
Home Depot gibi çeşitli bilgi güvenliği ihlali durumlarının ortaya çıkmasına
neden olmuştur.
Şirket içinde bulunan kıymetli
bilgilerin şirket dışına aktarılmasını engelleyen firewall, intrusion detection
systems (IDS) ve IPS benzeri birçok program ve yöntem bulunmaktadır. Bunlardan
son dönemde popüler olanlarından birisi de Symantec firmasının ürettiği Data
Loss Prevention (DLP) programıdır. DLP, bir şirketin sahip olduğu network
üzerinde yer alan bilginin (Word, Excel, Powerpoint, PDF vb. formatta) görünür
hale getirilip korunmasını sağlayan teknoloji olarak tanımlanmaktadır.
Bir başka ifade ile
DLP, bir şirket için değerli olan bilginin önceden tanımlanarak politikalar
vasıtasıyla DLP programına yüklenmesi sonucu görünür hale gelen kıymetli
bilgilerin (ticari sırlar, faydalı model, dizayn, çizim, finansal bilgilerin, müşteri
bilgilerinin, TC kimlik numaralarının, kredi kartı bilgilerinin vb.) şirket içinden dışarıya veya şirket
dışından içeri doğru yapılacak müdahaleler ile yasa dışı olarak kullanılmasını
engellemek üzere tasarlanmış bir programdır. Bu bağlamda DLP, halka açık veya kapalı, tüm mal
ve hizmet piyasalarında faaliyet gösteren şirketler için farklı veri güvenliği
ihtiyaçlarına cevap verebilecek nitelikte bir programdır.
Bu faydalı programı
bizim için farklı yapan husus, DLP’nin Türkiye’de ve de belki Avrupa’da ilk
defa Anadolu Efes bünyesinde uygulanmakta olan rekabet uyum programı
çerçevesinde çok detaylı biçimde yaklaşık 300’e yakın politika kombinasyonu ile
rekabet hukuku alanında kullanılması olmuştur.
Anadolu Efes bünyesinde
yürütülmekte olan rekabet uyum programının en önemli modüllerinden birisi
“monitoring”dir. Rekabet uyum programı çerçevesinde Anadolu Efes bünyesinde
yaklaşık 2.500 kişiye her yıl düzenli olarak verilen rekabet eğitimlerinin
etkinliğinin ölçülebilmesi adına, yine her yıl yaklaşık 100’e yakın habersiz
denetim yapılmaktadır. Ancak yapılan bu habersiz denetimler sadece o anın
fotoğrafını çekmekte, denetim bitirildikten sonraki günler açısından
çalışanların farkındalığını artırmak dışında herhangi bir özelliği
bulunmamaktadır. Dolayısıyla bir rekabet uyum programı uygulayıcısı açısından
iki habersiz denetim zamanı arasında bir belirsizlik dönemi ortaya çıkması söz
konusu olmaktadır. Bu belirsizliğin her ne kadar düzenli eğitim, düzenli
iletişim ve üst yönetimin çalışanlarına rekabet uyumun önemini belirten telkinleri
ile azaltılması mümkün olsa da, ortada tam olarak yok edilemeyen bir riskin
olduğu da bir gerçektir.
Ortaya çıkan bu
ihtiyacın tespit edilmesinin ardından 2014 yılı başında ABD ve Avrupa merkezli
farklı yazılım firmaları ile temas edilmiş, birkaç adet deneme kurulumu yaptırılmış
ancak söz konusu programlar hem sistemsel performans hem de istenene cevap
verebilme kapasitesi bakımından yeterli görülmemiştir. Daha sonra Symantec
firması ile temas kurulmuş, hayal ettiğimiz programın nasıl olması gerektiği ve
programdan beklentilerin ne olduğu kendilerine aktarılmıştır. Bunun üzerine DLP
programının denenmesine karar verilmiştir.
DLP 2015 yılı başından
itibaren deneme amaçlı olarak sınırlı sayıda şirket personeline yüklenmiştir. Daha
önce de bahsedildiği gibi 4 yılı aşkın süredir rekabet uyum programı
çerçevesinde oluşan know-how yardımı ile yaklaşık 300 civarında politika
oluşturulmuş ve program aktif olarak kullanılmaya başlanmıştır.
Program bünyesinde
rekabet hukuku bünyesinde yapılabilecek temel olarak üç fonksiyon
bulunmaktadır:
- Politikalar doğrultusunda iletişimin engellenmesi ("Block")
- Politikalar doğrultusunda iletişimin sorgulanması ("User Cancel")
- Rekabet hukuku açısından hassas verilerin işaretlenip (fiyat listeleri, pazarlama planları, lojistik planlar, bütçeler vb.) bu verilere kimin eriştiğinin veya bu verilerin hareket ettirilip ettirilmediğinin kontrolü.
Bloklama özelliği,
belirlenen politikaları içeren bir email’in veya onun ekine konulacak bir
dosyanın gönderilmesinin veya başka yere kopyalanmasının veyahut print edilmek
istenmesinin veyahut belirlenen politikaları içeren bir belge taşıyan bir
harici diskin takılarak bilgisayara kopyalama yapılmak istenmesinin tamamen
önüne geçmekte ve işlemi kesmektedir.
“User Cancel” ise
önceki paragrafta sayılan şeylerin aynısını yapmakta ancak işlemi kesmek yerine
kullanıcının karşısına bir uyarı kutucuğu çıkararak kendisine sorular
sorulabilmesine imkan vermektedir. Bu yolla, kullanıcıların işaretlediği şıklar
sayesinde eğitim eksiği olan ya da ilgili konu hakkında bilgisi olmayan kişiler
direk sistem tarafından Rekabet Uyum Müdürlüğüne raporlanmaktadır. Bu şekilde
problemler hem gerçek zamanlı takip edilmekte hem de kısa sürede kullanıcının
ihtiyaçlarına uygun olarak (tailor-made) giderilebilmektedir.
Bu sayılanlar dışında
DLP’nin rekabet hukuku alanında birçok farklı kullanım şeklinin daha bulunması
oldukça muhtemeldir. DLP programı, rekabet uyum programları kapsamında rekabet
uyumdan sorumlu kişilere destek olabilecek ve çalışan farkındalığını kısa
sürede artırabilecek nitelikte olan ve potansiyeli henüz % 100 kullanılamayan bir
programdır.
Şuana kadar ki tecrübeler
ışığında DLP uygulaması bakımından iki konunun önemli olduğu tespit edilmiştir:
- DLP’nin varlığı nedeniyle çalışanların rehavete kapılması ve “…nasıl olsa her şeyi DLP kontrol ediyor benim kullandığım yazışma dilime dikkat etmeme gerek kalmadı…” düşüncesinin ortaya çıkmasıdır. Bu nedenle, verilecek rekabet hukuku eğitimlerinde mutlaka DLP’nin sadece bir destek aracı olduğu, bunun dışında rekabet uyum konusundaki asıl sorumluların her zaman çalışanların kendi olduğu mutlaka vurgulanmalıdır.
- Programın politikalarının oluşturulması ve oluşturulduktan sonra güncel tutulması oldukça zaman almaktadır. Dolayısıyla buna zaman ayırabilecek bir operatörün varlığı zorunludur. Programın kişi başı aylık lisans bedeli ödenerek kolaylıkla satın alınması mümkün olmakla beraber, asıl önemli olan husus şirket içi sağlıklı iletişimi koruyacak ve network kapasitesini zorlamayacak nitelikte politikalar oluşturulmasıdır. Bunun için de bahse konu politikaları yazacak kişilerin hem rekabet hukukunu hem de ilgili şirketi, onun yatay ve dikey ilişkileri çerçevesinde işleyişini ve faaliyet gösterilen sektörü (jargonu ile beraber) çok iyi bilmesi gerekmektedir. Aksi halde, çok jenerik ifadeler kullanılarak oluşturulan politikalar hem şirket içi iletişimi sıkıntıya sokacak hem de “false positive” olarak nitelendirilebilecek sonuçların oldukça fazla sayıda ortaya çıkmasına neden olacak ve rekabet uyum anlamında hiçbir işe yaramayacaktır. Dolayısıyla DLP’nin rekabet hukuku alanındaki uygulamasının püf noktası, minimum “false positive” verecek politikaların oluşturulması ve onların sürekli takip edilerek sürekli güncellenmesidir. Dolayısıyla sadece programı almak aslında tek başına hiçbir şeyi çözmemektedir.
Türkiye’de türünün
belki de ilk örneği olan ve rekabet uyum alanında birçok yeniliğe imza atan
Anadolu Efes rekabet uyum programı kapsamında yine bir ilke adım atmanın
mutluluğunu yaşıyoruz. Hem programın bu alanda yeni olması hem de bizim bu
programı yeni kullanıyor olmamız nedeniyle öğrenme eğrisinin başında olmamıza
rağmen, kısa sürede önemli mesafe almış olmak bizim için de ayrıca memnuniyet
verici bir gelişmedir.
Bundan sonraki
hedefimiz, bu alanda daha da uzmanlaşıp bahse konu programı ve uygulamayı
Efes’in yurt dışı operasyonları ve Anadolu Grubunun diğer şirketlerine
taşıyabilmektir.
Tekrar görüşmek
dileğiyle,
M. Oğuzcan Bülbül
Anadolu Efes Rekabet
Uyum Müdürü
Hiç yorum yok:
Yorum Gönder