Bildiğiniz gibi GDPR yönetmeliği 25 Mayıs 2018’den beri yürürlükte. GDPR’nin detayları konusundaki kafa karışıklığı yavaş yavaş giderilmiş gibi gözüküyor ama şirketler kendilerini GDPR’ye uyumlu hale getiren projeleri uygulamakta halen zorlanıyor.
Benim kişisel izlenimim, bir şirketin GDPR’ye uyumlu hale gelmesi, tek kelimeyle ‘’zor’’ bir iş. Bende bu yazımda SAP sisteminizi GDPR uyumlu hale getirmek için uygulamanız gereken kritik adımlardan bahsetmek istiyorum.
Benim düşünceme göre, SAP sisteminizin GDPR ile ilgili olup olmadığı gibi bir soru sorarak zamanınızı boşa harcamayın. Buradaki asıl düşünülmesi gereken, SAP sisteminizi GDPR uyumlu hale getirmek için hangi adımları gerçekleştirmeniz gerektiğidir. Bu adımları çok kısa bir şekilde açıklamak istiyorum. (Veri öznelerinin haklarını ve GDPR düzenlemesinin diğer temellerini zaten bildiğinizi varsayıyorum.)
1. SAP Güvenlik Denetim Günlüğü
Aslında bu sadece SAP sisteminizi GDPR uyumlu hale getirmekle ilgili değil. SAP güvenliğinden bahsetmek istiyorsanız herhangi bir filtre kullanmadan SAL (Security Audit Log)’ı aktif hale getirmelisiniz. SAL, sistemdeki tüm kullanıcı girişleri, RFC girişleri, işlem çağrıları gibi sistemle etkileşime giren kullanıcı ve sistemler ile ilgili tüm verileri toplar. Security Audit Log’ın, SAP standardında ‘’varsayılan’’ olarak devre dışı olduğunu ve manuel olarak etkinleştirmeniz gerektiğini unutmayın. Bir de, Security Audit Log’un olası performans ve veri maliyeti etkileri hakkında yaygın bir inanç var. Birçok SAP notunda belirtildiği gibi, SAP Security Kernel’e gömülüdür. Dolayısıyla SAL’ın sistem üzerinde gözle görülür bir performans etkisi yoktur. Veri maliyeti ile yapılan bir benchmark çalışmasının sonucuna göre, yaklaşık 1000 kullanıcısı olan bir sistem, her gün 500 MB log üretiyor ve bu da 6 ayda 180 GB’lık bir veri yükü anlamına geliyor. 200 GB’lık veri maliyeti, beklenmedik bir olay karşısında olayın kök nedenini bulabilme olanağı karşısında önemsizdir.
2. Kişisel Veri Envanteri
“Kişisel” olarak işaretlenebilecek ne kadar bilgiye sahip olduğunuzu bilmek çok önemlidir. Zaten SAP sistemlerinizde kişisel bilgiler olsun ya da olmasın, bu kadar çok veriye sahip bir şirket, veri güvenliği/gizliliği için dijital dönüşümünü başlatmalıdır. GDPR gibi düzenlemeler sizi her zaman bu tür dönüşümlere başlamaya teşvik ediyor. Bu nedenle, bu zorunluluğu bir fırsat olarak görmek gerek.
Kişisel veri envanterinizi halen oluşturmadıysanız bu işe hemen başlasanız iyi olur. İlk başta karmaşık görünebilir, ancak şunu unutmayın; satıcı, müşteri ve çalışan ana verileri, kişisel bilgilerin çoğunu tutar ve SAP veri mimarisi, bu verileri toplamamıza olanak tanıyacak standartlıkta kurgulanmıştır.
3. Rıza Yönetimi
GDPR, kişisel bilgilerin işlenmesi konusunda katı bir regülasyondur. Herhangi bir haklı sebebiniz olmadığı müddetçe (sözleşmeler, yasal gereksinimler ya da rıza beyanı) bir kişiyi tanımlayacak bir veriyi tutamazsınız.
Dolayısıyla, şirketinizi çalışır durumda tutmak için kişisel bilgileri işlemeniz gerektiği sürece, veri sahibinin izinlerini ve saklamalarını yönetmeniz gerektiğinin oldukça açık olduğunu düşünüyorum. Bu kişinin verilerini işlemek istiyorsanız, belirli bir süre için kişilerin onaylarını toplamanız ve kanıtlamanız gerekir.
Bu arada, kişinin tüm bilgilerinin işlenmesi için bu kişiden izin alınması yeterli değildir. Amaçlarınızı tanımlamanız ve kişisel bilgilerinizi bu amaçlarla ilişkilendirmeniz gerekmektedir. Eğer bir çalışanınızdan doğum gününde kullanabileceği bir indirim için onay aldıysanız, bu bilgiyi sağlık sigortası için kullanmamalısınız.
4. Hibrit Erişim Yönetimi
SAP’nin birçok ERP programı gibi rol bazlı yetkilendirme ile yönetildiğini biliyoruz. Ancak artan regülasyonlar ve yeni iş gereksinimleri bizi erişim yönetimi için çok daha karmaşık senaryolar üretmeye zorluyor. Bu nedenle SAP’nin RBAC (Role-based Access Control) yeteneklerini nitelik bazlı erişim kontrolü (ABAC) yöntemleriyle zenginleştirmemiz gerekiyor. Örneğin, GDPR ile birlikte bir alana veya uygulamaya özgü tanımlanacak erişimlerin geçerli izin verilerine veya bir iş amacına göre filtrelenerek verilmesi gerekebilir. Ayrıca konum veya zaman gibi gerçek zamanlı bilgiler de daha karmaşık erişim yönetimi durumlarını çözmemize yardımcı olabilir. Belki hemen bugün değil ama er ya da geç, bu tür iş ihtiyaçlarımızla yüzleşeceğiz, bu yüzden çok geç olmadan başlamak daha iyi.
5. Tek Erişim Kaynağı
SAP karmaşık bir sistemdir, çok sayıda hassas veri içerir ve bir sistemi ‘’single source of truth’’ olarak belirleyecekseniz benim seçimim SAP olacaktır. Bir önceki başlıkta bahsettiğim gibi, erişim yönetimi hususunda bütünsel bir bakış açısı kazanmamız gerekiyor. Bu nedenle, SAP verilerini kullanan tüm sistemlerin yalnızca SAP’den gerekli verileri kullandığından emin olmak için ABAC tekniklerini kullanmalısınız. Web hizmetlerine, BI bağlantılarına, RFC bağlantılarına ve dosya/rapor indirmelerine kontroller koymalısınız.
6. Denetim, Kayıt ve Dokümantasyon
Her şeyin izleme ile ilgili olduğunu hepimiz biliyoruz. Ne yaptığınızı ve nasıl yaptığınızı göremiyorsanız, programlar geliştirmek veya hukuk uzmanlarından tavsiye almak anlamsızdır. Bence, Security Audit Log ve SAP’nin diğer günlük raporları başlamak için harika bir yer. Hassas verilerin endüstriden endüstriye, hatta şirketten şirkete değiştiği de bir gerçek. Örneğin, yalnızca kritik SAL kayıtlarını günlüğe kaydeder ve raporlarsanız, kullanıcı oluşturma, kullanıcı verilerini değiştirme ve tablo görüntüleme gibi kritik işlemleri gözden kaçırırsınız ve bu işlemleri kimse kontrol etmediği sürece herhangi bir SAP sistemini hackleyebilirsiniz. Bu nedenle, kendi riskinizi bilin ve SAP sisteminizin güvenli olduğundan emin olmak için kendi raporlarınızı oluşturun.
GDPR yolculuğunuzu özetlemek için aşağıdaki ‘piramidi’ kullanabileceğimizi düşünüyorum;
Son olarak, SAP sistemlerinde suistimalin yaygın olduğunu söylemeliyim. Bence GDPR uyumlu bir SAP sistemi güvenli bir sistem için mükemmel bir başlangıç noktasıdır. Bu sayede dijital dönüşüm yolculuğumuzu mahremiyet ve veri güvenliği bakış açısıyla zenginleştireceğiz. Görmezden geldiğimiz acı bir gerçek var: Kişisel verileri gizli tutma potansiyelimizden çok uzaktayız. Bunun bir sonucu olarak, ERP sistemleri için gizliliğe duyarlı bir kültür oluşturmaya başlamak için şimdiden daha iyi bir zaman olmadığını düşünüyorum.