Microsoft araçları ve iş ortakları ile Genel Veri Koruma Regülasyonunu destekleyin

Microsoft olarak, bilgi güvenliğinden sorumlu yöneticiler (CISO’lar), enformasyon müdürleri (CIO’lar), verilerin korunmasından sorumlu yöneticiler (DPO’lar) ile bir araya gelerek, onların Genel Veri Koruma Regülasyonu (GDPR) hakkındaki düşünce ve kaygıları üzerine tartışıyoruz. GDPR konusunu ele aldığımız bu yazıda, bu kaygıların ele alınmasına yardımcı kaynaklar sunuyoruz.

“Microsoft, müşterilerimizin GDPR ile uyumluluğuna nasıl yardımcı olabilir?” ve “Microsoft’un, GDPR yolculuğunu destekleyen araç ve hizmetleri var mı?” yaygın sorulan sorular arasında yer alıyor. Bir diğeri de ” GDPR gerekliliklerini karşılamak için Microsoft teknolojisine yapılan güncel yatırımları nasıl kullanabilirim?” sorusu.

Bunların yanıtlanmasına yardımcı olmak için aşağıdaki konuları ele alacağım:

  • GDPR değerlendirme aracı
  • Microsoft iş ortakları ve GDPR
  • Microsoft Uyumluluk Yöneticisi
  • Azure Information Protection’daki yeni özellikler

CISO’lar için Araçlar

CISO, CIO ve DPO’lar için başlatma etkinliklerini kolaylaştırabilecek araçlar bulunmaktadır. Bu araçlar, GDPR uyumluluğunu, geliştirilmesi en önemli olan alanlar da dâhil olmak üzere, daha iyi anlamalarına yardımcı olabilir.

  • Başlamak için Microsoft, her işletme veya kurumun çevrimiçi kullanabileceği bir ücretsiz GDPR değerlendirme aracısunmaktadır. Değerlendirme soruları, müşterilerimizin GDPR uyumluluk çalışmalarını basitleştirmek için uygulayabilecekleri teknoloji ve adımları tanımlamalarına yardımcı olmak amacıyla geliştirilmiştir. Bu araç, mevcut altyapılarda zaten mevcut olabilecek Microsoft teknolojilerinin özelliklerine daha fazla görünürlük ve anlayış da sağlamaktadır. Araç, zaten var olanları ve her bir GDPR yolculuğunu desteklemek için eksik olanları da ortaya çıkarabilir. Değerlendirme sonucunda tam bir rapor gönderilmektedir. Bunun bir örneğini hemen aşağıda paylaşıyoruz.

Resim 1: GDPR değerlendirme aracı

Bir örnek olarak aşağıda, Değerlendirmenin birinci sorusunun karşılığına bakın. Bu eşleştirme, Microsoft teknolojisinin kişisel verilerin toplanması, depolanması ve kullanılmasına dair gereklilikleri nasıl destekleyebildiğine dayanmaktadır. Öncelikle mevcut kişisel verilerin tanımlanması gerekmektedir.

  • Azure Data Catalog, kişisel veriler için birçok ortak kaynağın kaydedilebileceği, etiketlenebileceği ve aranabileceği bir hizmeti sağlamaktadır. Azure Search, müşterilerimizin verileri kullanıcı tanımlı dizinler genelinde bulmasına olanak tanır. Azure Active Directory’de kullanıcı hesaplarını aramak da mümkündür. Örneğin, CISO’lar Azure Data Catalog portalını kullanarak, kayıtlı veri varlıklarından önizleme verilerini kaldırabilir ve katalogdan veri varlıklarını silebilir:

Resim 2: Azure Data Catalogue

  • Dynamics 365, kayıtlardaki kişisel verileri aramak için Advanced Find, Quick Find, Relevance Search ve Filters gibi birden fazla yöntem sağlamaktadır. Bu işlevlerin her biri kişisel verilerin tanımlanmasına olanak tanır.
  • Office 365,kişisel verilerin Exchange Online, SharePoint Online, OneDrive İş ve Skype Kurumsal ortamları genelinde tanımlanabileceği güçlü araçlar içerir. Content Search, ilgili anahtar sözcükler, dosya özellikleri veya yerleşik şablonları kullanarak kişisel verilerin sorgulanmasına olanak tanır. Advanced eDiscovery, yakın eş kopya dosyaları bularak, e-posta iş parçacıklarını yeniden oluşturarak ve kilit temaları ve veri ilişkilerini tanımlayarak, ilgili verileri geleneksel anahtar sözcük aramalarına göre daha hızlı ve daha yüksek kesinlikle tanımlar. Resim 3’te Güvenlik ve Uyumluluk Merkezi ve Advanced eDiscovery’de eDiscovery yönetimi ve kullanımı için yaygın iş akışını göstermektedir.

Resim 3: Güvenlik ve Uyumluluk Merkezi ve Advanced eDiscovery

  • Windows 10ve Windows Server 2016, kişisel verileri bulmak için, yerel ve bağlı depolarda saklanan verileri bulabilen ve bazı ortak dosya ve veri türleri için dosya ve öğeleri dosya adı, özellikleri ve tam metin içeriğine göre arayabilen PowerShell gibi araçlara sahiptir.

GDPR gerekliliklerine yönelik bir soru temelinde örnek bir sonuç Resim 4’te gösterilmektedir.

Resim 4: GDPR gereklilikleri ile Microsoft platformu özelliklerinin eşleşmesinin örneği

CISO’lar için Kaynaklar

Microsoft’un GDPR’ye yaklaşımı ağırlıklı olarak iş ortakları ile birlikte çalışmaya dayanmaktadır. Bu nedenle, GDPR değerlendirme aracının, kapsamlı Microsoft Partner Network aracılığıyla müşterilere sağlanan daha geniş bir sürümünü oluşturduk. Bu araç, bir kurumun hazırlıklı olup olmadığına dair ayrıntılı bir analiz ve Microsoft ürün ve özelliklerinin bu yolculuğu nasıl basitleştirebileceği de dâhil olmak üzere, uyumluluk için nasıl hazırlanmak gerektiği hakkında eyleme dönüştürülebilir rehberlik sağlamaktadır.

Microsoft Ayrıntılı GDPR Değerlendirmesi, müşterilerin GDPR’ye hazırlık yolculuklarının hangi aşamasında olduğunu değerlendiren müşterilere yardımcı olan Microsoft iş ortakları tarafından kullanılmak için oluşturulmuştur. Ayrıntılı GDPR Değerlendirmesi ile birlikte, iş ortaklarımızın müşteri değerlendirmelerini kolaylaştıran destekleyici materyal de sunulmaktadır.

Kısaca söylersek, Ayrıntılı GDPR Değerlendirmesi, Microsoft iş ortaklarının müşterinin genel GDPR olgunluğunu değerlendirmek amacıyla müşteri ile birlikte çalıştıkları üç adımlı bir süreçtir. Aşağıdaki Resim 5’te bu adımların üst düzey bir genel görünüşü verilmektedir.

Resim 5

İş ortağının çalışma süresinin, aşağıda göreceğiniz gibi, kurumun karmaşıklığına ve katılımcıların sayısına bağlı olarak 3-4 hafta olması, toplam çalışmanın ise tahminen 10-20 saat sürmesi beklenmektedir.

Resim 6: Çalışmanın süresi

Microsoft Ayrıntılı GDPR Değerlendirmesi’nin kullanım amacı, Microsoft iş ortaklarının müşterilerinin genel GDPR olgunluğunu değerlendirmesidir. GDPR uyumluluğunun kanıtlanması amacıyla sağlanmamaktadır. Müşteriler, kendi GDPR uyumluluklarını sağlamaktan sorumludur ve rehberlik için kendi yasal ve uyumluluk ekiplerine danışmaları önerilmektedir. Bu araç, müşterinin GDPR uyumluluğu yolculuğunu desteklemek için iş ortakları tarafından kullanılabilecek kaynakları vurgulamaya yöneliktir.

Kurumsal uyumluluğu sağlamanın zorlu bir süreç olabileceğinin farkındayız. Kurumlar için önemli olan tüm güncel düzenlemelere uymak ve sınırlı kurum içi yeteneklerle denetimleri tanımlamak ve uygulamak zordur.

Bu zorlukların ele alınabilmesi için Microsoft, Microsoft bulut hizmetlerini kullanan kurumların veri koruma ve düzenleme standartlarını daha kolay karşılamalarına yardımcı olmak için yeni bir uyumluluk çözümü olan Compliance Manager‘ı duyurdu. Bugün kullanıma sunulan önizleme programı, uyumluluk yönetimi zorluklarını ele almaktadır; ayrıca:

  • Microsoft bulut hizmetlerinde gerçek zamanlı risk değerlendirmesine olanak tanır.
  • Veri koruma yeteneklerini geliştirmeye yönelik eyleme dönüştürülebilir anlayışlar sağlar.
  • Yerleşik denetim yönetimi ve denetime hazır raporlama araçları yoluyla uyumluluk süreçlerini basitleştirir.

Resim 7’de, Microsoft bulut hizmetleri kullanımında önemli olan yasal veri koruma gerekliliklerine karşı uyumluluk durumunu gösteren bir pano özeti görülmektedir. Bu panoda GDPR, ISO 27001, ISO 27018 gibi çeşitli veri koruma standartları ve düzenlemelerindeki denetim uygulamalarına dair Microsoft’un ve sizin performansınız özetlenmiştir.

Resim 7: Uyumluluk Yöneticisi panosu

Bütünsel bir bakış edinmek yalnızca başlangıçtır. Ne yapılması ve nelerin iyileştirilmesi gerektiğini daha detaylı anlamak için Compliance Manager’da bulunan zengin bilgileri kullanabilirsiniz. Microsoft tarafından yönetilen her bir denetim, uygulamayı ve test bilgilerini, test tarihi ve sonuçlarını gösterir. Araç, önerilen eylemleri adım adım rehberlik ile birlikte sağlar. Kurumunuz tarafından yönetilen denetimlerin verimli biçimde uygulanması için Microsoft bulutu özelliklerinin nasıl kullanılabileceğinin daha iyi anlaşılmasına yardımcı olur. Resim 8’de bu aracın sağladığı bilgilere bir örnek görülmektedir.

Resim 8: Veri koruma yeteneklerinizi artırmanıza yardımcı bilgiler

Son Microsoft Ignite konferansında Microsoft, Azure Information Protection tarayıcısını duyurdu. Bu özellik şu anda genel önizlemede kullanılabilir. Bu, önemli kurum içi verilerin yönetilmesine, korunmasına ve müşterilerimiz ile iş ortaklarımızın GDPR gibi düzenlemelere hazırlanmalarına yardımcı olacaktır.

Veri sınıflandırma taksonomisi tanımlama ve bu iş kurallarını e-posta ve belgelere uygulama yeteneğini sağlamak amacıyla Azure Information Protection (AIP)  hizmetini yayınladık. Bu özellik, verilerin, nerede depolandığı veya paylaşıldığından bağımsız olarak yaşam döngüsü boyunca korunması için önemlidir.

Hassas bilgilerin doğru biçimde yönetilmesi için Microsoft’un mevcut dosyaların keşfedilmesi, etiketlenmesi ve korunmasına nasıl yardımcı olabileceğine dair birçok soru alıyoruz. AIP tarayıcı ile:

  • Bulut depolamaya veri geçirme projelerini planlarken zehirli verileri yerinde kaldığını sağlamak amacıyla mevcut depolarda saklanan hassas verileri keşfedebilirsiniz.
  • Kişisel bilgileri içeren verileri bulabilir; yasal ve uyumluluk gereksinimlerini karşılamak için bunların nerede saklandığını öğrenebilirsiniz.
  • Başka çözümler kullanılarak dosyalara uygulanan mevcut meta verilerden yararlanabilirsiniz.

Azure Information Protection Tarayıcı‘nın önizleme sürümüne kaydolmanızı ve Microsoft’un GDPR ve genel güvenlik konularını nasıl ele aldığına dair bilginizi geliştirmek için aşağıdaki yararlı kaynaklara bakmanızı öneririm: