Bugün kişisel veriler ne kadar güvende? Verileri depolayan ve yöneten BT sistemleri ne kadar iyi korunuyor? Uluslararası standartlar var mı?
İngiliz hukuk firması Walker Morris, Fransa’daki Centre Technique de la Gendarmerie Nationale, Vodafone GmbH ve Bavyera Kızıl Haçı’nın ortak bir noktası var:
Bir şirketin veya kuruluşun temel bilgi güvenliği gereksinimlerini karşıladığını ve bilgi yönetim sisteminin yeterli olduğunu garanti eden ISO/IEC 27001 gibi uluslararası kabul görmüş bir sertifikaya sahip olmaları.
Bu gereksinimler, optimum veri koruması sağlamak, operasyonel verilerin bütünlüğünü güvence altına almak ve bir şirketin BT sistemlerinin kullanılabilirliğini güvenceye almak için gereken tüm önlemleri ve belgeleri içerir — risk analizi ve acil durum planları da dahil olmak üzere.
Yukarıda bahsedilen şirketlerin örnekleri, veri koruması ve özellikle veri güvenliği konularının giderek daha fazla önem kazandığını ve farklı sektörlerdeki yöneticilerin de bunu aynı şekilde gördüğünü gösteriyor.
AB’nin Genel Veri Koruma Yönetmeliği (GDPR) (25 Mayıs 2018’den itibaren yürürlükte) bilgiye ilişkin öz belirleme hakkını öngörüyor. ISO/IEC 27001 gibi uluslararası sertifikalar, şirketlerin mevcut veri ve BT güvenliği durumlarını değerlendirmelerine, etkili güvenlik standartları geliştirmelerine ve bu standartlara günlük işlerinde uymalarına yardımcı oluyor.
Ancak sertifikaya yakından bakmadan önce, sıkça karıştırılan iki terimi netleştirelim: veri koruma ve veri güvenliği.
Veri koruma – bilgiye ilişkin öz belirleme hakkı
AB’nin Genel Veri Koruma Yönetmeliği (GDPR), kişisel verilerin işlenmesine ilişkin temel hakları tüm Avrupa’da düzenleyerek uluslararası bir ölçüt oluşturdu.
Veri koruma, her vatandaşın “bilgiye ilişkin öz belirleme” hakkını güvence altına almayı ve verilerinin kötüye kullanılmasına karşı koruma sağlamayı amaçlar; bu nedenle Avrupa’daki şirketlerin şeffaflık ve bilgilendirme konusunda yeni yükümlülükleri vardır.
Temel kavramlar:
- Veri gizliliği
- Veri bütünlüğü
- Veri erişilebilirliği
Veri koruma ve veri güvenliği – fark nedir?
Veri korumanın aksine, veri güvenliği verileri manipülasyona, kayba ve yetkisiz erişime karşı korumayı amaçlar — bu, verinin belirli bir kişiye ait olup olmamasından bağımsızdır.
Yani veri güvenliği, verinin toplanıp toplanmadığıyla değil (bu veri korumanın görevidir), toplandıktan sonra nasıl korunduğuyla ilgilidir.
Bilgi güvenliği terimi ise her tür kaydedilmiş bilgiyi kapsar.
Elbette veri koruma ve veri güvenliği birbiriyle bağlantılıdır.
Facebook CEO’su Mark Zuckerberg, veri kötüye kullanımı suçlamalarına karşı kendini savunmak zorunda kaldı ve kamuoyu önünde AB’nin GDPR düzenlemesini övdü; ancak şirketlerindeki veri sorunlarını düzeltmenin birkaç yıl sürebileceğini de kabul etti.
Genel Veri Koruma Yönetmeliği (GDPR) – küresel koruma mı?
AB’nin yeni GDPR düzenlemesi küresel ölçekte öncü bir rol üstlendi.
Avrupa’daki veri toplayan şirketlerin bu yeni yasayı nasıl uygulayacağı merak konusu, çünkü veri korumanın temel ilkelerinden biri veri minimizasyonudur.
International Internet Society (ISOC) Kıdemli Direktörü Constance Bommelaer de Leusse, birçok şirketin asıl önceliğinin veriyi korumak değil, toplamak olduğunu belirtiyor.
Facebook yaklaşık iki milyar kullanıcının verilerini topladı ve uluslararası merkezi İrlanda’da bulunuyor.
Avrupa’daki veri koruma yasaları artık ABD’dekilerden daha katı; peki bu durum tüm Facebook kullanıcıları için geçerli olacak mı?
Zira AB’nin GDPR’sını ihlal eden şirketler milyonlarca avro ceza veya küresel cironun %4’üne kadar para cezası ile karşı karşıya kalabiliyor.
Facebook ve LinkedIn gibi şirketler, Avrupa dışı kullanıcılarının AB vatandaşlarıyla aynı hak ve dava imkanlarına sahip olmalarını engellemek için kısa süre önce idari merkezlerini yeniden konumlandıracaklarını açıkladılar.
İki milyar kullanıcının yalnızca 370 milyonu Avrupalı olduğu için bu kullanıcılar İrlanda merkezine bağlı kalacak.
Yapılandırılmış ve net: ISO 27001 sertifikasyon süreci nasıl işler?
ISO/IEC 27001 standardı, bir kuruluşun yönetim sisteminin yerine getirmesi gereken temel bilgi güvenliği gereksinimlerini tanımlar.
Ancak veri koruma ve güvenlik standartları uluslararası geçerliliğe sahip olursa, gerçekten uygulanabilirler.
Gerçek şu ki, her dijital uygulama veri üretir ve dünya çapında veri miktarları olağanüstü boyutlara ulaşmıştır.
Tüm işletmeler için geçerli birleşik uluslararası veri koruma ve güvenlik standartları olmadığı sürece, veri koruma bir sorun olmaya devam edecek ve verilerin toplanması, saklanması ve yönetimi potansiyel bir güvenlik riski oluşturacaktır.
Bu nedenle, işletmeleri temel güvenlik standartlarına uymaya teşvik edecek etkili bir uluslararası yapı gereklidir.
Bu, özellikle Endüstri 4.0 ile ilgili yeni gelişmeler bağlamında daha da önemlidir.
Yalnızca uluslararası düzeyde tanınan güvenlik yönetim standartları, iş ortaklarının, müşterilerin ve tüketicilerin yeni bilgi teknolojilerine ve sistemlerine güvenini kalıcı olarak sağlayabilir.
Bilgi güvenliği yönetimi: Uluslararası düzeyde bilgi güvenliği için aktif olarak çalışan kuruluşlar
Şu anda hem Avrupa’da hem de dünyada bilgi güvenliği alanında faaliyet gösteren ve iş birliği yapan çeşitli kuruluşlar bulunmaktadır.
Ulusal düzeyde örneğin Almanya’daki Federal Bilgi Güvenliği Ofisi (BSI) öne çıkar.
Avrupa düzeyinde Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı (ENISA) önemli bir odak noktasıdır.
Küresel düzeyde ise Uluslararası Standardizasyon Örgütü (ISO) bu alandaki temel kurumdur.
Bilgi güvenliği kavramı, örneğin BSI’nin IT temel güvenlik kataloglarında ve ISO 27001 uluslararası sertifikasyonunda yer almakta olup, açıkça bilginin korunmasını hedefler.
Bunun dışında, hem kişiler hem de ürünler için geçerli olan başka uluslararası sertifikasyonlar da vardır (örneğin Common Criteria standardına uygun ürün sertifikaları gibi).
ISO 27001’e göre ISMS sertifikasyonu – Öncü olmanın avantajları
2013 yılında ENISA tarafından yürütülen uluslararası bir vaka çalışması, Avrupa’daki Güvenlik Sertifikasyonu Uygulamalarını inceledi ve farklı büyüklükteki özel işletmeleri (11 ila 5.000 çalışan arası) araştırdı.
Bu çalışma, sertifikasyonun neden ve nasıl arandığına dair birkaç güçlü gerekçe ortaya koydu.
Güvenlik kalitesi yönetiminin iyileştirilmesinin yanı sıra, çalışanların güvenlik bilincini artırmak ve şirketin pazardaki konumunu güçlendirmek de önemli motivasyonlardı.
Çalışmada ayrıca, sertifikasyonun doğrudan maliyetinin çoğu durumda 10.000 avroyu geçmediği belirtildi.
Ancak ilk denetim öncesindeki hazırlık süreci — genellikle 6 ila 12 ay sürer ve envanter çıkarmayı da içerir — faaliyet alanına ve dijital olgunluk düzeyine göre ek maliyetler getirebilir.
Çalışanların bilgi düzeyine bağlı olarak eğitim de gerekebilir.
Araştırmaya katılan tüm şirketler, ISO 27001’e göre ISMS sertifikasyonu yaptırdıkları için çok memnun olduklarını ve denetim ile sertifikasyon maliyetlerinin, elde edilen fayda ve kârlara kıyasla düşük olduğunu belirttiler.
Bu memnuniyetin etkisi açıkça görülüyor:
2015–2016 yılları arasında dünya genelinde verilen ISO/IEC 27001 sertifikalarının sayısı %20 arttı ve ISO’ya göre bugün 33.290 sertifika verilmiş durumda.
Bu olumlu bir gelişme, çünkü uluslararası geçerli BT güvenlik standartları, dijitalleşme, veri ve bilgi patlamasının küresel zorluklarına sürdürülebilir çözümler oluşturulmasına yardımcı oluyor.