Veri Güvenliğinin İyileştirilmesinde Teknoloji ve Hukukun İşbirliği
Dünya genelinde nereye kadar gelişeceğini şimdiden tahmin edemediğimiz, hızla koşan, büyüyen ve değişen teknoloji kapasitesinin her geçen gün artması, internet kullanımı ve sosyal mecraların dünyayı düz, verileri kolay erişilebilir kılması ve dijital dönüşümün hem günlük hayatı hem de iş dünyasını hızla uçtan uca sarması beraberinde birçok avantajın yanı sıra kurumları veri güvenliği ve siber güvenlik riskleriyle de karşı karşıya bırakmaktadır.
Teknoloji çağına geçtiğimiz 20. yüzyılın ikinci yarısından günümüze dünyada ve ülkemizde bilişim teknolojilerinin yaygınlaşması, kullanımının hızla artması ve artık organizasyon ve kurumların dijital hayatı benimsemesi kaçınılmaz olmuştur. Farklı kategorilerdeki ve özelliklerdeki verilerimiz artık fiziksel ortamlardan çok dijital ortamlarda yoğun bir biçimde işlenmekte, paylaşılmakta ve saklanmaktadır.
Mevcut süreçte yaşanan teknolojik, hukuki, ekonomik ve süreçsel değişkenler formülize edilecek olursa, gelecek kuşakların yaşamakta olduğumuz yılları, 20. yüzyılın ikinci yarısı öncesinden ayırt edici şekilde nitelemek için günümüzün çokça kullanılan dijitalleşme tanımına vurgu yapacakları öngörülebilir. 21. yüzyıla geldiğimizde dijitalleşme yaklaşımı, kişisel kullanım başlangıç noktasından kurumsala büyüyen bir eksende sadece iş yapma biçimimiz değil, yaşamın her alanına etki eden bir değişim olarak, belirgin bir şekilde kendini göstermektedir.
Kurumlar tarafından veri güvenliğine yönelik risk tabanlı yaklaşımların belirlenmesi ve kurumların kendilerine uygun stratejileri benimsemeleri farklılık göstermektedir. Farklılaşan iş modelleri, teknolojik tehdit etmenleri, sektörel faktörler, organizasyonel hedefleri göz önünde bulundurulduğunda kurumlar regülasyon ve kanunlara uyum çerçevesinde zorunlu bir veri güvenliği ortamı sağlama yükümlülüğündedir.
Günümüzde siber güvenlik tehditleri, veri güvenliğinin ne kadar önemli olduğunu göstermektedir. Nitekim gerçekleşen siber atakların neredeyse tümü kişisel veriyi hedefler hale gelmiştir. Bu nedenle veri güvenliği hem bireyler hem de kurumlar için büyük öneme sahiptir. Veri güvenliğinin ve özellikle kişisel veri gizliliğinin yeterli seviyede sağlanamaması kurumların finansal kayıplar yaşamasına, iş operasyonu aksamalarına, itibar hasarlarına, mevzuat uyumsuzluğuna ve ticari sırların ifşa edilmesine neden olmaktadır.
Türkiye’de veri güvenliğine ilişkin güncel mevzuat yaklaşımlarına bakıldığında dünyadan çok da farklı olmadığı kolaylıkla görülebilir. Dijital ortamda verinin güvenliğinin sağlanması tüm iş modeli ve mevzuat uyumlarının kökenindedir. Veri güvenliğinin sağlanması konusunda birbirinden farklı yaklaşımlar aynı amaçla denetim ve kontrol fonksiyonlarını sağlamaktadır. Veri güvenliği ancak, veri güvenliğinin bozulmasına sebep olan ya da olabilecek risk ve tehditlerin tayin edilmesi ve yönetilmesi ile mümkündür.
Risk analizi ve yönetimi konusunda kurumsal organizasyonların küresel standart, çerçeve ve en iyi uygulama yaklaşımlarını yönetişim yapılarına entegre etmeleri şarttır. Sürekli izlenebilir ve ölçümlenebilir bir veri güvenliği olgunluk seviyesi farkındalığı, ancak belirlenmiş risklerin yönetimi ve yeni tehditlerin öngörülebilmesi ile mümkündür.
Kurumlar veri güvenliğinin sağlanması noktasında öncelikle veri güvenliğinin önemini ve uygulama yöntemini tüm çalışanlarına, hizmet aldıkları ve sağladıkları ilişkili taraflara açık, net ve anlaşılır şekilde duyurmalıdır. Büyük, orta ve küçük ölçekli kurumlar bilgi sistemleri yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele almalıdır. Bilgi sistemlerinin etkin yönetimi için gerekli finansman ve insan kaynağını sağlamalı, bilgi varlıklarının, elektronik ve fiziksel bilişim ortamlarının güvenliği, gizliliği, bütünlüğü ve erişilebilirliğini sağlamak amacıyla bilgi sistemleri üzerinde etkin kontrollerin tesis edilmesini amaçlamalıdır. Veri güvenliğinin sağlanabilmesi bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi ile mümkündür.
Ulusal ve uluslararası bakış açısıyla veri güvenliği çağımızın gelişen ve değişen dünyasında daha nice tehdit ve riskle karşılaşacaktır. Büyük veri, bulut bilişim, IoT gibi büyük teknolojik adımlar, bugün yaşantımızda dakikalar içerisinde milyonlarca kez kullanılmakta ve artık günlük yaşamın büyük bir parçası haline gelmiş durumdadır. Bireylerin ve kurumların kişisel veri güvenliğini sağlayabilmeleri için risklere karşı farkında olmaları ve dirençli güvenlik önlemleri almaları gereksinimi kaçınılmazdır. Türkiye’de son dönemde gerçekleşen siber güvenlik hareketinin global dünyada daha güçlü bir hale gelmesi, ulusal girişimlerle olduğu gibi uluslararası platformlarda da varlığını gösterebilmesi ile mümkündür. Bu anlamda ülkemizde teknolojik alanda atılan her veri güvenliği adımı, çeşitli hukuki dayanaklar ile güçlendirilmiştir.
Normatif bir bilim olan hukukun matematiğinde; birey, kurum ve devlet olmak üzere ana tarafların ortak menfaati gözetilecek şekilde hak ve özgürlüklerin korunması, ancak küresel dünya ile kucaklaşmış bir ulusal teknoloji zenginliği ile sağlanabilir. Ulusal ve uluslararası bakış açısıyla veri güvenliği, çağımızın gelişen ve değişen teknoloji sahasında daha nice tehditler ve risklerle karşılaşacaktır. Ulusal ve uluslararası veri güvenliğinin etkin bir şekilde sağlanabilmesi; verileri paylaşmamak değil, paylaşılan verileri koruyabilmek demektir. Dirençli siber güvenlik yapıları veri güvenliğinin sağlanmasında kaçınılmazdır.
“Veri Güvenliğinin İyileştirilmesi Sürecinde Küresel Standart, Çerçeve ve En İyi Uygulamaların Hukuki Uyuma Desteği” adlı eserde veri güvenliği ve risk değerlendirme kavramlarının teknik özellikleri üzerinde durulmuş ve bu kavramların detaylı incelemesi yapılmıştır. Kitapta veri güvenliğinin iyileştirilmesi hususunda teknoloji ve hukuk uyum ilişkisinin, ulusal ve uluslararası bakışla risk tabanlı yaklaşım ile ele alınması amaçlanmıştır. Risk tabanlı yaklaşım küresel standart, çerçeve ve en iyi uygulama örnekleri kapsamında risk yönetimi kuralları ile temellendirilmiştir. Dünyada ve Türkiye’de veri güvenliğine ilişkin yürürlükte olan mevzuatlara atıflarda bulunarak teknoloji ve uyum perspektifinde risk analizi ve denetim güvence fonksiyonlarının yeterliliğine ilişkin değerlendirmeler ve görüşler paylaşılmıştır.
Kurumlar dijital dönüşümün bir parçası olarak yönetişim kavramında BT yönetişimine gereken değeri verip, yönetim kurulu seviyesinde veri güvenliğini tartışıp aksiyon alabilecek ortak dili sağlamalıdırlar. Bu sayede teknoloji ve hukuk ilişkisi, yalnızca cezalardan kaçınmayı sağlayacak bir kontrol listesi niteliğinde değil, kurumsal iyileştirme adımlarını kararlılık ile atabilecek bir güç olacaktır. Yeni iş modelleri, yeni teknoloji çağında yeni nesiller ile artan risklere ve tehditler karşı veri güvenliğini etkin şekilde sağlayabilecek güç ve yetkinlikte olmalıdır.
