KVKK (Kişisel Verilerin Korunması Kanunu), kişilere ait olan verilen korunmasına ilişkin çıkartılan kanunun adıdır. Bugün özellikle internet dünyasının da etkisi ile hemen her noktada dilediğimiz veriye ulaşabiliyoruz. Bu da kişilerin verilerini ciddi anlamda tehlikeye sokmaya başladı. Avrupa Birliği’nde uzun zamandır geçerli olan ve kişilere ait bilgilerin kurumlar ve kuruluşlar tarafından korunmasını ön gören yasa, 2016 yılında Türkiye’de de devreye alınmıştı.

Hem kamu hem de özel kuruluşlar tarafından kişisel verilerin korunması için önlem alınması ve bu önlemlerin sürekli olarak sıkılaştırılması gerekmektedir. Aksi takdirde kurumlar yasal yaptırımlarla karşı karşıya kalabilirler.

Teknolojik dünya çerçevesinde kişilerin özeline ait verilerin korunması gerekliliğine yönelik ortaya atılan KVKK, bu verileri standartlar çerçevesinde toplamak, işlemek ve koruma altına almak zorunluluğunu ortaya koyar. KVKK’da rıza ya da rızasızlık kavramı aranmaz. Herhangi bir kurum ile bağı olduğu tespit edilen kişinin zorunlu olarak korunması gerekmektedir.

KVKK’nın kapsamı konusunda da ise çeşitli tartışmalar olsa da kapsam olarak oldukça geniştir. Kısacası tüm gerçek ve tüzel kişileri kapsayan sınırları bulunuyor.

Bilgi güvenliği yönetim sistemi nedir?

KVKK’nın kurumsal olanıdır. BGYS olarak kısaltılan Bilgi Güvenliği Yönetim Sistemi, kurumların hassas bilgilerinin yönetmek ve korumak için sistematik bir yaklaşımdır. Bu işin özünde olan nokta kurumsal olan gizli verilerin hassas bir şekilde korunmasıdır. Sistem çalışanları, iş süreçlerini ve bilgi teknolojilerini kapsamaktadır.

ISO 27001 kalite standardı kapsamında değerlendirilmektedir. Bu bilgiler içerisinde şirketin özüne yönelik veriler, müşterilerinin özel bilgileri, fikri mülkiyete yönelik veriler yer almaktadır.

Bilgi güvenliği yönetim sistemi standartları nelerdir?

ISO/IEC 27011 standardı, ISO/IEC 27001 standardının Bilgi Güvenliği ve Yönetimi Sistemi standartları içerisinde yer aldığını söyleyebiliriz. ISO/IEC 27002’nin de bilgi güvenliği konusunda izlenebilecek yollar arasında yer aldığı rahatlıkla dile getirilebilir.

Standartlar riskleri tanımanızı sağlar. Bu da riskleri yönetmenizi ve sistemlerin sürekli değişen ve gelişen sınırlarını belirli ölçüler içerisinde tutar. Dolayısıyla standartlar risklerin doğru bir şekilde yönetilerek, en iyi şekilde bertaraf edilmesini sağlamaktadır.

İşletmelerde bilgi güvenliği nasıl sağlanır?

İşletmelerin özellikle siber saldırı gibi risklere karşı bilgi güvenliği konusunda alabileceği bir takım önlemler bulunmaktadır.

Güvenlik mimarisinin doğru şekilde kurgulanması öncelikli adım olarak gösterilebilir. Özellikle son dönemlerde ortaya çıkan yeni nesil tehditlere yönelik güncel tehdit önleyici sistemler kullanılmalıdır.

Teknolojik alt yapının sürekli olarak güncel tutulması ikinci adımdır. İstatistiklere göre güncel olmayan sistemlerin yüzde 80’i saldırıya açık hale gelmektedir. Basit bir güncelleme eksikliği sonrasında saldırılara korumasız hale gelebilecek sistemlerin mutlaka güvenlik seviyeleri kontrol edilmelidir.

Kurumda çalışan kişilerin güvenlik konusunda bilgilendirilmesi mutlaka yapılmalıdır. Çalışanların kullandıkları bilgisayarlar eğer bilinçsiz bir kullanıcı ise saldırıya açık hale gelebiliyor. Bunun için özel tuzak kuran korsanlara karşı çalışanların uyarılması oldukça önemlidir.