Veri güvenliğinin çok önemli olduğu zamanları yaşıyoruz. Bugün bilgi teknolojileri günlük hayatımızın her aşamasında yaygın olarak kullanılıyor. Kurumlarda destek birimi olarak yer alan ve hep masraf kalemi olarak görülen bilgi işlem daireleri ve şirketlerdeki bilgi işlem müdürlükleri büyük bir değişim ve dönüşüm geçiriyor. Bilgi işlem müdürlükleri, bilişim teknolojileri müdürlüklerine dönüştüler. Bu önem hassas verilerin ve ana omurga işlerin bilişim teknolojilerinden geçmesi nedeniyledir. Veri bu kadar önemli olunca onları korumak da zor olmaya başladı. İşte tam bu sırada Bilgi Güvenliği Yönetim Sistemi BGYS dediğimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı bir metodoloji olarak hayatımıza girdi. Bugün ülkemizde ISO 27001 danışmanlık hizmeti alabileceğiniz bir çok kurum bulunuyor.
Birçoğumuz standartların 20’inci yüzyıl icadı olarak görebilir
Standarların tarihi yeni değil. Bildiğimiz ilk standartlaşma 4500 yıl önce Mısır'da piramitlerin yapımında kullanılan taşların ölçüsünde kullanılmıştır. Standartların kullanımı insanlık tarihi kadar eski olmasına rağmen zaman zaman sıkıntı yaşıyoruz. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı bir metodoloji olarak iyiydi fakat sadece yasal zorunluluklar nedeniyle yasak savmak için kullanılınca kurumlar için hem bir maliyet kalemi hem de çalışanlar tarafından angarya olarak algılanmaya başladı. Peki, burada hata nerede? Hata her şeyi dejenere etmeye meyilli, sistemli çalışma konusunda mesafe alamamış kafasını hep kuralları aşma konusunda çalıştıran sosyolojik yapımızdadır. Millet olarak çalışkanız, kıvrak ve analitik bir zekaya sahibiz ama aynı zamanda disiplinsiz ve sistemli çalışmaya karşı hep direnç gösteren yapıya sahibiz.
Özellikle uluslararası standartlar yapısı gereği, her kurum tarafından, her coğrafyada kolaylıkla uygulanabilir kurallar bütünüdür. ISO 27001 bilgi güvenliği yönetim sistemi standardı da bir kalite standardı olup bilgi güvenliği ile ilgili gerekleri yerine getirme konusunda yeterli güveni sağlamak için uygulanan planlı ve sistematik etkinlikler bütünü olarak tanımlanmaktadır. Veri güvenliği günümüzün en önemli sorunudur. Bu konuda tüm dünyada büyük bir çalışma var. Ülkemizde Kişisel Verilerin Korunması Kanunu hayata geçti. Biz bu kanuna kısaca KVKK diyoruz. Yine Avrupa Birliği Genel Veri Koruma Tüzüğü diğer bir deyişle Avrupa Birliği Genel Veri Koruma Yönetmeliği nihayet hayata geçti. Ama görülüyor ki kurumlarımızın çoğu bu kanunlara hazır değil. ISO 27001 danışmanlık hizmeti veren kurumların bu regülasyonlar konusunda müşterilerini bilgilendirmeleri gerekiyor.
ISO 27001 Bilgi güvenliği yönetim sistemi ile İnsanları, süreçleri ve teknolojiyi yönetmek ISO 27001, dünyada en yaygın kullanılan bilgi güvenliği i standardıdır. Standart geniş tabanlı ve kapsamlı bir bilgi güvenliği yönetim sistemi kurulması için üç temel yönünü kapsar. Bunlar: İnsanlar, süreçler ve teknolojidir. Bu üç yönlü yaklaşımı kullanarak verileri korumak en akılcı yaklaşımlardan biridir. Şirketler kendi verilerini sadece teknolojiye dayalı risklerden değil aynı zamanda bilinçsiz çalışanlardan ve her türlü kötü erişimden korumak durumundadırlar. Eğer bir ISO 27001 danışmanlık hizmeti alıyorsanız büyük ihtimalle danışmanınız birçok iyi uygulamayı yerinde görmüş olduğundan şirketinizin bilgi güvenliğinin gelişmesine büyük katkı sağlayacaktır.
GDPR, KVKK ve ISO 27001 standardı uyumu nasıl sağlanabilir?
Kuruluşunuz ISO 27001'i uygulayarak bilgi güvenliği yönetim sistemini amacına uygun olarak kullanırsa, bilgi güvenliğini kurum kültürü haline getirdiyseniz GDPR ve KVKK konusunda endişe etmeyiniz. Aslına bakacak olursanız AB Genel Veri Koruma Yönetmeliği yani GDPR ile bizdeki Kişisel Verilerin Korunması Kanunu aynı kaynaktan beslenen kanunlar. Türkiye’nin yetişmiş insan gücü KVKK’yı AB’den önce çıkararak önemli bir iş yapmış oldu. Kurumlarımız eğer ISO 27001 gibi standartları hakkı ile uyguluyorlarsa bu kanunlara geçişte sıkıntı yok. ISO 27001 danışmanlık hizmeti veren kurumların bu hizmeti verirken muhataplarına bu standartların gerçekten uygulanması konusunda ikna edici örneklendirmelerin yapılmasında fayda var. Veri güvenliğinin sağlanması şirketlerin iş sürekliliği açısından birinci derece önemli. ISO 27001 standardı bakıldığında KVKK ve GDPR gibi regülasyon ve organizasyonlarca kuruluşun veri güvenliğini uluslararası en iyi uygulamalarla uyumlu bir şekilde yönetilmekte olduğunun en önemli göstergesidir.
ISO 27001 bilgi güvenliği risklerini azaltmak için kullanılabilecek 100’ün üstünde kontrolün ana hatlarını çizmektedir. GDPR ve KVKK ile ilgili sistem, süreç ve organizasyon oluşturma ve bu süreçleri BGYS ile entegre etme akıllıca bir davranış olacaktır. Tüm yükü DPO’lara veya Veri Sorumlusu’na yıkmak otomatikman o sistemin işlemeyeceği anlamına geliyor. VMİ Danışmanlık veri güvenliği konusunda üçüncü taraf IT denetimleri, GDPR denetimleri gerçekleştirmektedir. Hassas veri güvenliği daha karmaşık bir sorun haline geliyor
ISO 27001’in temel ilkeleri olan gizlilik, bütünlük, erişilebilirlik, doğruluk, kullanılabilirlik ve sürdürülebilirliğin sağlanmasına yüksek hassasiyet göstermek gerekir. GDPR ve KVKK’ya göre kuracağınız sistemi açık, net olarak tanımlamalı ve şeffaf olmalısınız. Bilgi envanterini çıkarmalı ve sınıflandırmalısınız. Sınıflandırılan bu verilerin üzerinde risk analizi yapmalısınız. Bugün her alanda baş döndürücü bir hızla ilerlemeler yaşanıyor. Veri güvenliği gittikçe daha karmaşık bir sorun olmaya başlıyor. VMİ Danışmanlık olarak bilgi yönetimi, entegra raporlama, bilgi güvenliği danışmanlık hizmeti, ISO 27001 danışmanlık hizmeti, siber güvenlik danışmanlık hizmeti, kişisel verileri korunması kanunu KVKK danışmanlığı, AB genel veri koruma yönetmeliği GDPR danışmanlık hizmetleri vererek ülkemize hizmet etmeye devam ediyoruz.