TÜRK ŞİRKETLERİNDE BİLGİ GÜVENLİĞİ

Türk Şirketlerinde Bilgi Güvenliği


Türkiye’de genel olarak, tedbirsizlik ile kendine fazla güvenme olguları birbiriyle çok yarışır. Bunların hemen arkasından ise çoğu zaman üçüncü olarak farkında bile olmamak gelir. Bir çok şirket henüz bilgi güvenliği sağlanması gerektiğinin farkında bile değil. Farkında olan şirketler ise zamanında mutlaka başlarına bir olay geldiği için tedbirler almıştır. Bazı şirketlerde bilgi güvenliği hakkında bir farkındalık olsa dahi, standart çözümler yerine sırf maliyetlerden dolayı standart altı çözümlere yöneliyorlar ki, bu aslında parayı sokağa atmaktan başka bir şey değil.

Bilgi güvenliğine yönelen tehditlerin içten veya dıştan geliyor olup olmadığına bakmaksızın, kurumlar öncelikle neye sahip olup olmadığını bilmek zorunda. Yani elindeki değer nedir, bu değer nasıl korunur ve bu değer bir anda yok olursa ne yapılır? Bugün şirketlerin elindeki en büyük değer, eşya, araç, gereç ve bina gibi sabit değerlerden çok işlenmiş verilerinin bulunduğu veritabanı ve uzun sürelerdir biriktirilen know-how bilgisidir. Hemen hemen bütün iş süreçleri, bilgisayarlarla, yazılımlarla, internetle ve insan kaynağıyla yürütülüyor, ama bu sürecin içindeki her halkanın kendine has zayıf noktaları var. Bu her zayıf nokta iyice analiz edilip, en önemli değer olan veritabanlarından başlayarak tüm halkalar birlikte eş zamanlı olarak güçlendirilmelidir.

Her sektörün kendine has gizlilikleri ve buna bağlı olarak bilgi güvenliği politikaları var. Bazı sektörlerin ellerindeki veriler daha hassas ve manipüleye daha açık. Örneğin bankacılık, sağlık ve sigorta sektörlerinin verileri hassas olduğundan kendine has bilgi güvenliği standartlarını hukuki ve teknik olarak sağlamak zorundalar. Ayrıca, Avrupa Birliği’nin de veri korumaya yönelik önemli düzenlemeleri ve standartları bulunduğunu belirtmek gerekiyor. Kalite standardı anlamında ise ISO 27001 standardı veri koruma anlamında kayda değer zorunluluklar gerektiriyor.

Bilgi güvenliği yatırımı için seçilen partnerlerin kalitesi ve tecrübesi çok önemli. Özellikle sermayesini veriye dönüştürmüş kurumlar için bu hayati bir öneme sahip. Kurumlar, partnerlerini seçerken, ulusal veya uluslararası anlamdaki bilinirlik, güvenirlilik ve deneyimlilik kriterlerine bilhassa dikkat etmeliler. Sözleşme yaparken bütün risklerin analizini yapabilmeli ve bunu sözleşmelere yansıtabilmeliler. Tabi sadece bunlar değil, aynı zamanda esnek, sürdürebilir ve geliştirilebilir çözüm sunabilen partnerler tercih edilmeli. Çünkü teknoloji hızla ilerliyor ve kimse eski teknolojiye bağımlı kalmak istemeyecektir.

Her şeyden önce, kurumlar kendi içlerinde bilgi güvenliği politikası içeren bir belge oluşturmak zorunda. Veriler sınıflandırılmalı ve gizlilik dereceleri belirlenmelidir. Hangi veriye kimin nasıl ulaşacağı saptanıp buna göre erişim yetkileri düzenlenmelidir. Şifre ve parolaların sık sık değiştirilmesi zorlanmalıdır. Tüm veri sistemlerinin hem en güçlü unsuru olan, hem de en zayıf halkası olan insan faktörü unutulmamalıdır. Tabii ne olursa olsun tüm aşamalarda az maliyetli değil, güçlü ve yenilikçi özelliği ön plana çıkan çözüm ortaklarıyla çalışmalıdır.

Bilgi güvenliğinin sağlanması gereken her sektör önemlidir. Ama en çok tehdit altında olan bazı sektörleri de belirtmek gerekir. Bankacılık, sigortacılık, sağlık, internet servisleri ve elektronik ticaret alanında çalışan firmaların ekstra tedbirlere ihtiyacı olduğu çok açık.

Tüm dünyada big data (devasa veri) ve cloud computing (bulut bilişim) kavramları çok sık tartışılıyor. Bulut bilişim alanında karşılıklı haklar ve sorumluluklar alanı henüz tam anlamıyla yapılandırılabilmiş değil. Ayrıca Devasa Veri meselesi, veri çeşitliliği, veri karmaşıklığı, güvenlik zaafiyeti, hız ve gerçek zamanlı çalışma zorluğu anlamında büyük sorunlar yaratabilen bir konu olarak karşımıza çıkıyor. Bu iki konu dünyada oldukça trend konular olarak konuşulmaya devam edecek.

 

2020 © Selçuk Şahin Hukuk Bürosu/Law Firm