Yasal gereklilikleri bilerek hareket edin
Platin Bilişim, Resmi Gazete’de yayımlanarak yasalaşan Kişisel Verilerin Korunması Kanunu kapsamında kurumları doğru yatırım planı yapmaları konusunda uyardı.Kişisel Verilerin Korunması Kanunu-6698 (KVK), kişisel verileri tamamen veya kısmen otomatik olan yollarla işleyen ve kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm şirketlerin gündeminde olacak.
Yasanın yürürlüğe girmesinin ardından kurumlar için kişisel veri ve bilgi güvenliği kavramı gereksinimi daha da arttığı belirten Platin Bilişim İş Geliştirme Müdürü Mehmet Bayram,“Bilgi Güvenliği, bir bilginin yetkisiz kişilerce ele geçirilmesini, değiştirilmesini engelleme ve bilgiye yetkili kişilerin istenilen zamanda ve istenilen kalitede erişmesini sağlama anlamına geliyor. Bu kapsamında yeni yasa ile beraber kişilerin verilerin korunmasını sağmak şirketlerin en önemli amacı haline gelecek” dedi.
Bilgi varlıklarını yönetmenin, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemenin, güvenlik risklerine yönelik kontrolleri geliştirmenin ve uygulamanın da önem kazanacağını kaydeden Bayram şöyle konuştu: “Kurum itibarını geliştirmek ve kurumu, bilgi güvenliği kırılmalarından kaynaklanabilecek olumsuz etkilerden korumak da bu kanun sayesinde mümkün olacak.”
Öte yandan yasanın ihlali durumunda para cezaları, ihlal başına 5.000 TL – 1.000.000 TL arasında seyrediyor. Hapis cezası ise, Türk Ceza Kanunu hükümlerine atfen; 6 ay ile 3 yıl arası hapis cezası şeklinde. Veri ihlali ile ilgili bir kurumun basına haber olarak yansıması da ciddi bir itibar kaybı ortaya çıkaracaktır.”
“Şirketinizde örneğin iş başvurusundan müşteri memnuniyet programına kadar kayıt almak için kullandığınız her çeşit maktu formlar, müşteri kayıt sistemleriniz, internet uygulamalarınız, insan kaynakları sistemleriniz, e-posta sistemleri üzerindeki kayıtlarınız, analitik ve raporlama uygulamalarınız, satış ve operasyon sistemleriniz gibi pek çok farklı yöntemle veri işliyor olabilirsiniz. Bu noktada yasaya uyumlu yatırım planını devreye almanız gerekiyor” şeklinde sözlerini sürdüren Bayram konuyla ilgili şirketlere “ tavsiyelerde bulundu:
“Öncelikle uyum sürecinin yönetimi için bir uyum ekibi kurulması gerekir. Ardından şirkette veri işleme faaliyetlerine ve uyuma dair bir iç denetim yapılması öneriyoruz. Akabinde şirket içi ve dışı veri kullanım politikalarının belirlenmesi doğru olacaktır. Şirkette veri sorumlusunun temsilcisi görev tanımı ile yetkilendirmelerinin yapılması, şirket organizasyon şemasının yeniden düzenlenmesi, şirket adına veri işleyen üçüncü bir kişi var ise, hak ve yükümlülüklere dair sözleşme hazırlanması, kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması alınması gereken diğer önlemlerdir. Şirket tarafından kullanılan başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi gerekir.
Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin de eğitilmesi şarttır.”
Kişisel verilerin kötüye kullanılmasında ve siber suçlarla mücadele kapsamında alınacak tedbirler hakkında bilgi veren Platin Bilişim Satış Direktörü Pınar Bamyacı ise “Veri hırsızlıkları, fiziksel ve bilgi işlem güvenliğine yeterince önem verilmemesi, dizüstü bilgisayar hırsızlıkları, korsan faaliyetler, şirket çalışanlarının veri sızdırması gibi farklı şekillerde gerçekleşebilmektedir.
Alınacak teknolojik önemler arasında Veri Sızıntısı Koruma (DLP) ,Şifreleme (Encyption), Spam ve Oltama Mail Engelleme (Mail Secuirty Gateway) bibi önlemler yer almaktadır” dedi. Son beş yılın en büyük kişisel veri saldırıları hakkında hatırlatma yapan Bamyacı,
“Hafızalardan silinmeyen Home Depot vakasında etkilenen kişi sayısı 109 milyonu bulmuştu. Kuzey Amerika’nın ev ve inşaat malzemeleri alanındaki en büyük perakende zinciri olan Home Depot’nun açıklamasına göre hackerlar bir satıcının bilgilerini kullanarak sistemin ağına girmişler ve sistemin oto-kontrol sistemine kötü amaçlı yazılım yerleştirmişlerdi. Bu yazılım zaman içinde Amerika ve Kanada’da bulunan kullanıcıların bilgilerini topladı. Toplamda 53 milyon insanın e-mail adresi ve 56 milyon kredi kartı numarası ve borç bilgileri çalındı. Şirketin, sistemini yazılımdan kurtarması 62 milyon dolara mal oldu.” diyerek siber saldırıların kurumlara verebileceği maddi manevi zararın önemine dikkat çekti.