Lostar: Kişisel Veri Güvenliği Rehberi tavsiye niteliğinde önemli bir doküman

Bilgi teknolojilerinin sosyal, ticari ve kurumsal her alanda artan önemi ve beraberinde getirdiği siber tehditler, ülkeleri kişi hak ve özgürlüklerini korumaya yönelik yasal düzenlemeler yapmaya zorluyor.

Türkiye’de bu alanda atılan en önemli yasal adımlardan biri yaklaşık iki yıl önce yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK) olmuştu.

KVKK sonrası uyum sürecini kolaylaştırmak için geçtiğimiz aylarda Kişisel Verileri Koruma Kurumu tarafından “veri sorumlularının alması gereken teknik ve idari tedbirlere” ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımlandı.

Rehberi ve beraberinde getirdiklerini Siber Bülten’e değerlendiren Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar’a göre, kurul tarafından yayınlanan bu dokümanın ve ilgili maddelerinin en önemli özelliği yasal bir yaptırım gücünün olmaması.

“Bu rehber, bizim tavsiye niteliğinde diyebileceğimiz, herhangi bir yaptırımı olmayan, tek tek her satırı yapmak zorunda olmadığımız ama ‘acaba biz bu işi nasıl yaparız’ diye düşündüğümüzde bize yanıt veren dokümanlardan bir tanesi,” diyor Lostar.

KVKK’ya göre, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan veri sorumlusu, kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü “teknik ve idari” tedbirleri almakla yükümlüdür.

“Peki ama ‘kurum bu verilerin güvenliğini sağlarken neler yapabilir, nedir bu teknik ve idari adımlar?’ sorusunu cevabını bu dokümanda buluyoruz,” şeklinde konuşuyor Lostar.

CEO’ya göre, banka, sigorta şirketi ya da sağlık kuruluşlarının bilgi işlem altyapılarındaki kişisel verileri korumak için neler yapılabileceklerine ilişkin idari ve teknik adımlar bu rehber doküman sayesinde daha net olarak belirtiliyor.

“Aslında bu rehber, şirketlerin yüzde 99’unu çok güzel bir şekilde kapsıyor ve çok güzel yol gösteriyor. Kurumlar ne yapacağını anlamak için bu rehbere bakıyor olacak.”

 

-Mağduriyetleri giderebilecek bir rehber

Lostar’a göre Verileri Koruma Rehberi’nin şöyle bir yararı daha var.

“Biz güvenlik camiasında biliriz, yüzde yüz güvenlik olmaz diye. Mükemmel güvenli önlemleri altında bile saldırıya uğrayabilirsiniz. Bu durumda Kişisel Verileri Koruma Kurulu’nun sizlerin bu konuda bir kusurunuz olup olmadığını değerlendirme durumu söz konusu olacaktır,” diye belirtiyor Lostar ve ekliyor:

“Böyle bir mağduriyet durumunda, eğer siz bu rehber dâhilindeki maddeleri uygulamış olduğunuzu ve gerekli önlemleri aldığınız gösterebilirseniz, yaşamış olduğunuz veri çalınması olayının aslında sizin kusurunuzdan değil de karşı taraftan kaynakladığını ispatlama olasılığınız artıyor.”

Lostar’a göre raporda siber saldırılara karşı kişisel veri güvenliğini sağlamak için çalışan eğitiminin önemi de ciddi şekilde vurgulanıyor.

Rehberin dokümanın “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” adlı maddesinde, kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmalarının, kişisel veri güvenliğinin sağlanması için hayati önem taşıdığı özellikle belirtiliyor.

 

-Siber güvenlik şirketleri için yeni rehberlik hizmeti

KVKK yayınlandığından beri kurumlar kanunla uyumlu hale gelebilmek için birçok çalışma yapıyor.

Lostar’a göre bu çalışma farklı yollardan geçerek mümkün ve bu yollardan bir tanesi içeride tutulan verileri daha güvenli hale getirmek.

“Bizim için bu doküman son derece değerli. Resmi bir kurum tarafından yayınlanmış olmasının da çok ciddi bir anlamı var,” diyor tecrübeli CEO.

Murat Lostar’a göre yayınlanan rehber, kurumların veri güvenliği ile ilgili yapmış oldukları çalışmaları inceleyip, idari ve teknik anlamda almaları gereken başka ne gibi veri güvenliği önlemleri olduğunu ve bunların nasıl gerçekleştirebileceklerini ayrıntılı ve düzgün bir raporla sunabilecekleri bir hizmet de başlattı: “Bu veri güvenliğini yeterince sağlıyor muyum sorusunun cevabını veren bir hizmet.”

Lostar’a göre bu hizmet kapsamında güvenlik şirketi, hizmet alan kurumun bilgi güvenliği ile ilgili almış olduğu farklı idari ve teknik önlemleri değerlendiriyor ve rehber doküman ile kıyaslıyor.

“Bu alınan önlemlerin bu rehber dokümanın hangi maddelerine nasıl uyduğunu ya da uymayan yerlerin neler olduğunu ortaya koyuyoruz.”

Ayrıca, bu değerlendirme sonucunda kurumun hangi maddelerle ilgili hiç çalışma yapmamış olduğu ortaya çıkıyor.

“Ve bu eksilerin tamamlanması için neler yapması gerektiğini bir rapor haline getirip, bir yol haritasıyla beraber müşterimize teslim ediyoruz,” diye ekliyor Lostar.

Lostar Bilgi Güvenliği’nin kurumlar için hazırlamış olduğu “Güvenlik Rehberi” yazısına aşağıdaki link üzerinden ulaşabilirsiniz:

https://lostar.com.tr/2017/08/sirketler-icin-guvenlik-rehberi.html

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[mailpoet_form id=”1″]

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.