Data Loss Prevention, bilinen adıyla DLP, temelde veriyi korumak ve veri sızıntılarını önlemek için kullanılan bir güvenlik çözümüdür. Ana görevi; e-posta, bulut servisleri, web trafiği, mesajlaşma uygulamaları ve benzeri kanallar üzerinden akan bilgiyi izlemek, hassas verinin şirket sınırları dışına kontrolsüz biçimde çıkmasını engellemektir.
Yazan: SearchInform Bilgi Güvenliği Uzmanı Pınar Güneş
İlk bakışta DLP, yalnızca BT ve bilgi güvenliği ekiplerinin meselesi gibi görünür. Ya da en fazla, KVKK uyumluluğundan sorumlu ekiplerin gündemine girer sanılır. Oysa modern DLP sistemleri artık klasik bilgi güvenliği çerçevesinin çok ötesine geçmiş durumda. Bugün bu çözümler, şirketlerin hiç beklemediği alanlarda da ciddi fayda üretebilen araçlara dönüşmüş halde.
Peki DLP, veri sızıntısını önlemenin dışında bir şirkete ne kazandırır?
Donanım envanteri: Şirketin malı şirket içinde kalıyor mu?
Son yıllarda ekran kartı fiyatlarını takip eden herkes bilir: Bu alanda fiyatlar insanın moralini bozmakta oldukça istikrarlı.
Küçük ölçekli bir BT şirketinde yaşanan gerçek bir örnek üzerinden gidelim. Şirket, güçlü GPU’lara sahip yeni bilgisayarlar satın alıyor. Bir süre sonra çalışanlardan şikayetler gelmeye başlıyor: Bilgisayarlar yavaşlıyor, BI panelleri zor açılıyor, Photoshop’ta basit bir görseli düzenlemek bile işkenceye dönüşüyor.
Bir süre sonra sorunun sebebi ortaya çıkıyor. Çalışanlardan biri, yeni ekran kartını kendi eski ekran kartıyla değiştirmiş. Kendi kartı da artık emeklilik yaşına yaklaşmış bir model. Muhtemelen kimsenin fark etmeyeceğini düşünerek yapmış.
Buna benzer hikayeler bugün birçok yerde yaşanıyor. İşte bu tür durumların önüne geçmeye modern DLP sistemleri yardımcı olur. Kurumsal bilgisayarlara kurulan ajanlar, cihazların donanım konfigürasyonunu otomatik olarak toplar. Anakart, işlemci, RAM miktarı, bağlı diskler, çevre birimleri ve diğer bileşenler düzenli olarak izlenir. Böylece belirli bir cihazda olağan dışı bir değişiklik olduğunda şirket bunu zamanında fark eder ve doğru soruları doğru kişiye yöneltebilir.
Yazılım maliyetleri: Sessizce para yakan lisanslar
Şirketinizde satın alınan yazılımların kaç tanesi gerçekten kullanılıyor?
Gartner verilerine göre bir ofis çalışanı aktif olarak yaklaşık 11 uygulamayla çalışıyor. Absolute’un verileri ise kurumsal bir cihazda ortalama 67 yazılım yüklü olduğunu gösteriyor. İşte “yüklü olan” ile “gerçekten kullanılan” arasındaki bu fark, şirketler için ciddi bir maliyet kalemine dönüşebiliyor.
Yeni nesil DLP sistemi, bütçenizi korumakta da yardımcı olur. Sistem yalnızca donanım envanteri çıkarmaz; yazılım kullanımını da görünür kılar. Hangi uygulamaların gerçekten kullanıldığını, hangilerinin cihazlarda öylece durduğunu gösterir. Bu da şirketlere lisansları optimize etme, gereksiz abonelikleri iptal etme ve iş süreçlerine zarar vermeden maliyetleri azaltma imkanı verir.
Verimlilik: Suçlu aramak değil, sebebi bulmak
DLP yalnızca kontrol aracı değildir. Doğru kullanıldığında çalışan verimliliğini artıran bir teşhis aracına da dönüşebilir.
Kendi saha tecrübemden bir örnek vereyim. Yaklaşık 100 kişilik küçük bir proje ofisinde yönetim, bir çalışanın görevlerini ekip arkadaşlarına kıyasla belirgin şekilde daha geç tamamladığını fark etti. Normalde 5 günde bitmesi gereken işler, bu çalışanda ortalama iki haftayı buluyordu.
İlk refleks, her zaman olduğu gibi, “Acaba isteksiz mi çalışıyor?” sorusuydu. Ancak DLP tarafından alınan ekran kayıtları incelendiğinde bambaşka bir tablo ortaya çıktı. Çalışan, kullandığı proje yazılımının bazı temel fonksiyonlarını bilmiyordu. Bu yüzden birçok işlemi otomasyonla yapmak yerine manuel yapıyor, proje hazırlığına gereğinden fazla zaman harcıyordu.
Sorunun kaynağı anlaşılınca şirket çalışanı ek eğitime gönderdi. Sonuçta herkes kazandı. Çalışan yetkinliğini artırdı, üretkenliği yükseldi, şirket ise daha verimli ve kuruma bağlılığı artmış bir uzman kazandı.
Bu örnek bize şunu gösteriyor: Dijital izleme doğru niyetle kullanıldığında cezalandırma mekanizması değil, gelişim alanlarını ortaya çıkaran bir yönetim aracıdır.
İşçi-işveren uyuşmazlıkları: Duygular değil, veriler konuşsun
Yeni nesil DLP çözümleri çalışma hayatının gerçek fotoğrafını çekebilir: Kim güne ne zaman başlıyor, kim ne zaman bitiriyor, kim gerçekten işle meşgul, kim YouTube’a dalıyor, kim sürekli fazla mesai yapıyor, kim kurumsal kanallarda uygunsuz iletişim kuruyor?
Bu nedenle uyuşmazlıklarda DLP verileri hem işverenin hem çalışanın lehine kullanılabilecek objektif bir zemin sağlar.
Bazı durumlarda çalışan yoğun çalışıyormuş gibi görünür; fakat aslında mesai saatleri içinde dışarıdan aldığı başka işlerle uğraşıyordur. Örneğin pratikte, bir muhasebe çalışanının mesai saatleri içinde işvereninden habersiz şekilde başka şirketlere hizmet verdiği örneklerle karşılaşmak mümkündür.
Burada iki ayrı sorun doğar. Birincisi bilgi güvenliğidir. Bir şirketin finansal belgeleri, başka bir şirketin sunucularına veya bilgisayarlarına taşınmamalıdır. İkincisi ise iş disiplinidir. Çalışan, ücretini aldığı mesai süresi içinde asıl görevi yerine başka işlerle meşgulse, doğal olarak ana iş süreçleri de aksar.
Bu gibi durumlarda DLP, işverenin varsayımlarla veya soyut suçlamalarla hareket etmesini engeller. Kararlar duyumlara göre değil, somut verilere göre alınabilir.
Tersinden bakarsak, DLP çalışanı koruyan bir araç da olabilir. Diyelim ki bir çalışan sürekli fazla mesai yapıyor, geceleri projeler üzerinde çalışıyor, iş yükünü tek başına taşımaya çalışıyor. Bu durum zamanında görülürse yapılacak şey bellidir: Görev dağılımı yeniden düzenlenir, bazı işler outsource edilir ya da ek personel alınır. Aksi halde çalışan kısa sürede tükenir ve şirket değerli bir çalışanını kaybeder.
DLP ise şirket içinde kimin gerçekten aşırı yüklendiğini gösterir. Böylece hem çalışanın iş yükü dengelenir hem de yönetim kritik personeli elde tutma şansı yakalar.
DLP artık yalnızca güvenlik aracı değil
Modern DLP sistemleri artık sadece veri sızıntısını önleyen teknik çözümler olarak görülmemeli. Bu sistemler, şirketlerin işleyişini daha derinden anlamasını sağlayan yönetim araçlarıdır.
Donanımın durumu, yazılım lisanslarının verimli kullanımı, ekiplerin üretkenliği, fazla mesai düzeni, iş disiplinine ilişkin sorunlar ve insan kaynakları süreçlerinde adil karar alma ihtiyacı… Bütün bu alanlarda DLP, yönetime somut ve ölçülebilir veri sunabilir.
Bu nedenle DLP’ye yalnızca bilgi güvenliği departmanının ihtiyacı varmış gibi bakmak eksik olur. Doğru kurgulanmış bir DLP sistemi, şirketin tamamı için stratejik bir veri kaynağıdır. Bugünün rekabetçi iş dünyasında da iyi yönetim, artık yalnızca sezgiyle değil, doğru veriye zamanında ulaşmakla mümkün.
