Geçtiğimiz günlerde Kişisel Verileri Korunma Kurumu tarafından KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler) başlığı altında bir rapor yayımlandı. Veri güvenliğinin sağlanması için kurumlara rehber olacak bu rapor, 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu’na dayanılarak hazırlandı.
İngiltere menşeli Keepnet Labs adlı siber güvenlik firmasının CEO’luk görevini yürüten Ozan Uçar, yayımlanan bu raporu firmalar için Habertürk için yorumladı. “Kişisel Verilerin Korunması; Kişisel verilerin işlenmesinin disiplin altına alınması ve bu bağlamda Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını hedef almaktadır” diye başlayan Uçar, ayrıca Anayasa’nın 20. maddesine göre herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu belirterek, bu hakkın korunmasına ilişkin usul ve esasları 4 Mart 2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunuçıkarıldığının altını çizdi.
Uçar’a göre bu kanun firmalarca yeterince önemsenmedi. Bu kanunu önemseyen firmalar ise yeterli önlemi alamadı. Nitekim bu rehber sayesinde, kafalardaki soru işaretlerine de cevaplar bulunmuş oldu. Çünkü Kişisel Verilerin Korunması Kanunuhükümleri her ne kadar kesin olsa da, bu kanun uygulanması için yol ve yöntemlerin netleştirilmemesi, muğlakta oluşu, etkili bir çözüm mekanizması oluşturulamamasına neden olmuştu.
Firmalar kendi dinamikleri çerçevesinde kişisel verileri korumaya çalışsalar da kanunda geçen hükümleri doğru bir şekilde uygulamada ortaya koydukları başarı tartışılır. Bu rapor bir rehber niteliği taşıdığı için önem arz ediyor. Çünkü rehber Kişisel Verilerin Korunması Kanunu çerçevesinde kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamalara açıklık getirmek ve iyi uygulama örneklerinin oluşturulmasını sağlamak için hazırlandı.
Özellikle Raporun 2.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları bölümünde siber güvenliği sağlama konusunda farkındalık eğitimlerinin önemine değinilerek, saldırılarda siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşıdığı belirtilmiş; bilinçli ve eğitimli çalışanların önemini üzerinde durulmuştur.
Günümüz siber saldırılarında en önemli savunma hattanın insan unsuru olduğunun farkında olan Kişisel verileri koruma kurulu, özellikle böyle bir bölüm yayımlayarak son kullanıcıların eğitiminin önemine yer vermiştir.
Günümüzde başarılı siber saldırılarının %91’i insan kaynaklı olduğu gerçeğinden yola çıkarsak, farkındalık eğitimlerinin ne kadar önemli olduğu anlatmaya gerek yok. Çünkü, insan faktörü herhangi bir işletmedeki en büyük güvenlik açığıdır. Çalışanlar şirketlerin en önemli varlığı olsalar da, aynı zamanda en büyük güvenlik riskini oluşturmaktadır.
Son yıllarda ortaya çıkan güvenlik ihlallerine bakıldığında, yanlışlıkla veya kasıtlı olarak kötü amaçlı yazılım girişi yapılıp yapılmadığına bakılmaksızın, insan faktörü güvenlik açığı açısından en risk olmuştur. İşletim sistemleri güncellenirken, güvenlik açıkları yamalarla kapatılıyor ve bu şekilde güvenlik riskleri ortadan kaldırılmaktadır.
Benzer şekilde, çalışanlar da işletim sistemleri gibi sürekli güncellemeli ve ortaya çıkan yeni saldırılardan nasıl kaçınacağı konusunda farkındalık eğitimleri verilmelidir. Çalışanlar işletmelerin varlıkları olduğu için sürekli yatırım yapılmalıdır. Yüzlerce çalışanı olan bir şirkette bir kişinin güvenlik konusunda yetersiz olması, bütün çalışanları etkileyebilecek sonuçların doğmasına sebep olabilmektedir.
YORUMLAR