Anasayfa / Blog
Bilgi işlem, insan kaynakları, muhasebe, hukuk gibi birimler verinin en çok bulunduğu ve işlendiği birimlerdir. Bilgi işlem departmanı ise özellikle bu verilerin teknik açıdan güvenliğinin korunması konusunda başrol oynamaktadır. Kişisel veriler tüm departmanların sürecine etki eden bir faktördür. Bu yüzden hiçbir departman Kişisel Verilerin Korunması Kanunu’nun dan muaf sayılamaz. Tüm birimlerin ekip şeklinde süreci yürütmesi önemli bir husustur. Tek bir birimin sorumluluğuna bırakılmaması gerekmektedir. Farkı süreçlere ve disipline sahip olan departmanlar da KVK ile ortak bir payda da buluşturmuştur. Bu birimlerden birisi de Bilgi İşlem Departmanı’dır. Bilgi işlem birimi teknik tedbirler başta olmak üzere birçok mekanizmayı düzenlemektedir. Şirket bünyesinde departmanlar tarafından kullanılan araç gereçlerin sistem sorumluluğu bilgi işlem (IT) birimine aittir.
Günümüz dünyasında hız kazanan dijitalleşme ile verilerin, saklandığı ve muhafaza edildiği ortamlarda teknoloji kullanılmaktadır. (e-saklama, bulut sistemleri vb.) Elektronik ortamlarda saklanan verilerle birlikte fiziksel ortamda saklanan verilerin korunmasında yine teknolojik sistemlerden (şifreli girişler, kimlik doğrulama sistemleri veya sunucu odası gibi.) yararlanılmıştır. Teknolojiden uzak kalmak ve geleneksel yöntemlerle süreci yönetmek imkansızlaşmıştır. Bu süreç kişisel verilerin korunmasını da etkilemiştir. Kişisel verilerin teknik açıdan (teknik tedbirler) güvenliğinin sağlanması bilgi işlem departmanının sorumluluğundadır. Diğer departmanlara ise teknik tedbirler konusunda eğitimler düzenlemeli ve belirli periyot aralığında kontroller ve denetimler gerçekleştirmelidir. Çünkü tüm departmanlar birbirlerini tamamlayıcı, destek veya paralel olarak ilerlemektedir. Örneğin, mail kullanıcılarına (personellere) “phishing”(oltalama/yemleme) vb. saldırılar düzenlenmektedir. Bilgi işlem departmanı bu gibi durumlar için tüm çalışanlarına eğitim vermelidir. Ayrıca yeni katılan personeller için oryantasyon eğitimlerinde bilgilendirilmeli ve şirket bünyesinin ihtiyacına göre bu konuda bilgi seviyesini belirleyici sınavlara tabi tutulmalıdır. Seviyesine ve ihtiyacına uygun temel eğitim verilmelidir. Bilgi işlem birimi personellere habersiz denetimler düzenlemelidir. Denetim raporuna ortaya çıkan zafiyetlere göre de tedbirleri yeniden gözden geçirmelidir.
Bilgi işlem departmanı / IT verilerin yedeklenmesi, erişilmesi, yetki matrislerinin oluşturulması, ağ güvenliğinin sağlanması vb. teknik tedbirlerden sorumludur. Bununla birlikte kurum bünyesinde kullanılan programların güvenliği ve işleyişinden (PKDS, CRM, NETSİS, SAP) sorumludur. Kurumun fiziksel iç ve dış güvenliği (kamera kayıtları, şifreli odalar) birçok teknik açıdan tedbir gerektiren tüm süreçlerden sorumludurlar. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin işyerlerinde bu açıdan önemli bir husustur. 27001 sistemini özveriyle uygulanmalı ve yönetilmelidir. Hukuk ve iç denetim biriminden destek alınarak bu süreç sağlıklı bir şekilde yürütülmelidir. Bilgi işlemin bilgileri ışığında bu süreçlerin daha sistemli yürütülmesi ve diğer personellere de ekti etmesi sebebiyle mevzuata uyumlu politika ve prosedürler belirlenmelidir.
Teknik tedbirler ve idari tedbirler ayrı bir mekanizma olarak işlediği gibi birbirilerine paralel olarak da işlediği noktalar bulunmaktadır. İhtiyaç halinde ise dışardan destek de alınmalıdır. Sızma testi, DLP gibi yazılımlar (teknolojiler) kullanılmalıdır.
Kurumun ihtiyacına göre tüm teknik tedbirleri ve teknik tedbirleri etkileyen tüm süreçleri bilgi işlem departmanı tespit etmeli ve gereken tüm tedbirleri almalıdır. Bununla birlikte gündemi takip etmeli tüm sistemin güncel ve korunaklı olduğundan emin olmalıdır. İhtiyaçları belirlemeli ve eksiklikleri gidermelidir. Bilgi işlem sistemin ilerlemesi ve faaliyetlerin yürütülmesinde, tüm teknolojik gereksinimleri sağlayan birimdir. Güvenlik önlemleri almak, zafiyetlerin farkına varmak, işlem güvenliğinin sağlanması vb. konulardan sorumluluklarını yerine getirmelidir.
Kurulun yayınladığı veri güvenliği rehberinde teknik tedbirler tabloda belirtilmiştir.
TEKNİK TEDBİRLER
Yetki Matrisi
Yetki Kontrol
Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği
Uygulama Güvenliği
Şifreleme ve Anahtar Yönetimi
Sızma Testi
Saldırı Tespit ve Önleme Sistemleri
Log Kayıtları
Veri Maskeleme
Veri Kaybı Önleme Yazılımları
Yedekleme
Güvenlik Duvarları
Güncel Anti-Virüs Sistemleri
Silme, Yok Etme veya Anonim Hale Getirme
Teknik tedbirlerin alınması ve hukuka uygun olacak şekilde yönetilmesi süreç zarfında karşılaşılan zafiyetleri aza indirgeyecektir. Örneğin şirket bünyeniz de kurula şikayet neticesinde yapılan incelemede zafiyet bulunsa bile eğer teknik tedbirler tam anlamıyla uygulanmış ve doğru zamanda müdahaleler gerçekleştiyse kurul bu durumda sadece yayın yapılması ve durumun düzeltilmesini istemektedir. Aksi taktirde 6698 sayılı Kişisel Verilerin Korunması Kanunu mevzuatında yer alan kabahatler ve suçlar başlığı altında md.17 ve md.18 gereğince olaya göre kurul tarafından cezalar kesilmektedir.
Bilgi işlem biriminin görevlerini şu şekilde sıralayabiliriz.
a) Veri güvenliği ile ilgili iş ve işlemleri yürütmek.
b) Kişisel verilerin korunmasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü tedbirin alınması hususundaki işlemleri yürütmek.
c) Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumlarına ilişkin alınması gereken tedbirlerle ilgili işlemleri yürütmek.
ç) Özel nitelikli kişisel verilerin işlenmesi için alınması gereken önlemleri belirlemekle ilgili çalışmaları yürütmek.
d) Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenlerle ilgili iş ve işlemleri yürütmek.
e) Veri aktarımına ilişkin alınması gereken güvenlik önlemlerini belirlemek.
f) Tüm birimlerinin bilgi işlem ve otomasyon ihtiyacını karşılamak ve işletimini sağlamak,
g) Firmanın mevcut bilişim altyapısının kurulumu, bakımı, ikmali, geliştirilmesi ve güncellenmesi ile ilgili işleri yürütmek, haberleşme güvenliğini sağlamak ve bu konularda görev üstlenen personelin bilgi teknolojilerindeki gelişmelere paralel olarak düzenli şekilde hizmet içi eğitim almalarını sağlamak.
h) Firmanın internet sayfaları, elektronik imza ve elektronik belge gibi uygulamalar ile ilgili teknik çalışmalar yapmak.
ı) Siber güvenliğinin sağlanmasına yönelik çalışmalar yapmak ve firmanın bilgi işlem hizmetlerini yürütmek.
Bilgi işlem biriminin görevleri itibariyle sorumluluklarını hukuka uygun olacak şekilde yerine getirmeleri veya getirmemeleri durumunda neler ile karşılaşabileceklerini örnek KVKK Kurul Kararlarını inceleyebilirsiniz.