Çekirdek işinize odaklanmaktan sıkça bahsediyoruz ama kimse bunu söylemiyor: Şirketler çok fazla hizmete yayılınca güvenlik ve gizliliği aksatıyor. Bu durum sadece verimliliği değil, müşteri verilerini koruma gücünü de baltalıyor. Ben bunu defalarca gözlemledim.
Bir zamanlar "odaklanmak" lafını, TED konuşmalarından fırlamış boş bir iş terimi sanırdım. Teknoloji ve güvenlik dünyasında olup bitenleri görünce anladım ki, bu hassas verilerin yönetiminde en çok göz ardı edilen sorunlardan biri.
Şöyle ki, bir şirket herkese her şeyi sunmaya kalkınca fedakârlık kaçınılmaz olur. Genelde bu fedakârlık, müşteri verilerini koruyan altyapı ve kurallardan gider.
Teknoloji sektöründe bunu defalarca gördüm. Şirket net bir amaçla başlar, diyelim yönetilen BT hizmetlerinde uzman. Sonra biri parlar: "Neden siber güvenlik danışmanlığı da yapmayalım? Yazılım geliştirme, donanım satışı da ekleyelim?" Bir bakmışsın, her yöne çekilen şişman bir yapı.
Kağıt üstünde değer artıyor gibi. Gerçekte sınırlı kaynaklar —uzmanlık, dikkat, kalite denetimi— fazla alana yayılıyor. En kötüsü, güvenlik ve gizlilik kuralları sulanıyor.
Mantığı düşünün. Ekip MSP hizmetleri için eğitilmişse, o alana özgü iş akışları, standartlar ve uyum bilgisi oluşur. Altı farklı model ekleyince yeni uzmanlık, araçlar, onaylar gerekir. Sınırlar bulanıklaşır. Köşeler tıraşlanır.
Şirketler satıcı ilişkilerine, bayi kanallarına tonla para yatırır. Sonra güvenlikteki dev kör noktaları fark eder. Birden fazla model yönetince verilerin tutarlı işlenmesini sağlamak imkânsızlaşır.
Somut örnek vereyim: Temel işiniz MSP ama danışmanlık yapıyor, üçüncü parti yazılım satıyorsunuz. Danışmanlar müşteri verisi analizi öneriyor. Bayi ekibi yeni satıcılar ekliyor. MSP takımı altyapıyı yönetiyor. Kimse veri akışını konuşmuyor.
Bir anda veri farklı ekiplerde, farklı kurallarla dolaşıyor. Bayi ettiğiniz satıcılar ana müşterilere verdiğiniz gizlilik standartlarını tutturamayabilir. GDPR, CCPA gibi uyum sorunları çoğalır, baş edemezsiniz.
Kendimde ve konuştuğum liderlerde gördüm: Yeni fırsatı "olmazsa olmaz" diye kandırıyoruz kendimizi. "Müşteriye ucuz fiyat!", "Kariyer fırsatı!", "Tek durak mağaza!" diye hikâyeler uydururuz.
Sunumda harika. Ama asıl soru kaçıyor: Bunu güvenli yönetecek olgunluğumuz var mı?
Sorun, "hayır" demenin yenilgi gibi gelmesi. Para kaçırıyorsun sanırsın, hırssız görünürsün. Oysa "hayır" demek en güvenli karar olabilir.
Şaşırtıcı olan şu: Şirket ne yapmayacağına karar verince güvenlikte sihir olur. Her şey sıkılaşır. Ekipler uzmanlaşır. Kurallar tutarlılaşır. Denetim izleri netleşir. Müşteriler ne aldıklarını bilir.
İronik şekilde bu odak, güveni artırır. Bir işte ustasın, birçoğunda vasat değilsin. Gizlilik ve veri güvenliğine vakit ayırabildiğini bilirler.
İş okulunda "odak" diye öğretilen asıl ders bu: Kapsamı daraltmak altyapı, veri yönetimi, uyumda zor kararlar aldırır. Rahatsız eder. Sevdiği projeleri bırakmak gerekir. Bazı gelirler kesilir.
Karşılığı şu: Gizlilik ve güvenlik sonradan eklenen değil, operasyonun merkezi olur. Çünkü kapasiten var, düzgün uygularsın.
Kendi şirketindeki genişlemeyi düşünüyorsan sor: Bu yeni hizmet/ürün/ortaklık gizlilik ve güvenlik açısından güvenli mi? Sadece operasyonel değil.
Gelecek on yılda kazanacak şirketler her şeyi yapanlar değil. Birkaç işte takıntılı olanlar, bunu güvenlikle kanıtlayanlar. Bu farkı çoğu henüz görmedi.
Az yap. Çok koru. Keşke bunu daha erken duysaydım.
Etiketler ['business strategy', 'cybersecurity', 'data privacy', 'organizational focus', 'msp security', 'compliance management', 'data protection']