Sermaye Piyasası Kurulu’nun aldığı karara göre; kurum, kuruluş ve ortaklıkların bilgi sistemlerinin yönetimi, Kişisel veri güvenliği, doğrudan yönetim kurulunun görev ve sorumlulukları arasında yer alıyor. Yönetim kurulları; bilgi gizliliğinin sağlanması, bilgi güvenliğiyle ilgili risklerin azaltılması ve gerekli kaynak ayrılmasından sorumlu olacak.
Günümüzde gelişen rekabet koşullarıyla birlikte şirketler, müşterilerine yönelik daha fazla kişisel veriye erişmeye ve bunları en etkin bir şekilde işlemeye çalışıyor. Operasyonlarını rekabetçi, istikrarlı ve güvenli bir çizgide sürdürmek isteyen kurum ve şirketler; bilgi sistemlerinin güvenlik, performans, etkinlik, doğruluk ve sürekliliğini sağlayacak finansman, kişisel veri güvenliği, alt yapı ve insan kaynağını sağlamak zorunda.
Kişisel veri güvenliği yönetim kurulu sorumluluğunda
Sermaye Piyasası Kurulu (SPK) tarafından açıklanan ‘Bilgi Sistemleri Yönetimi Tebliği’ne göre kurum ve şirketlerin üst yönetimini yeni görevler bekliyor. Bilgi sistemlerine ilişkin politikalar, süreçler ve prosedürlerin her yıl gözden geçirilmesi; potansiyel risklerin etkileriyle birlikte tespit edilmesi ve risklerin azaltılmasına yönelik faaliyetlerin hayata geçirilmesi, yönetim kurullarının sorumlulukları arasına ekleniyor. Yönetim kurulları, bilgi sistemlerinin güvenliğiyle ilgili kararları alma ve uygulamanın yanı sıra, kişisel verilerin güvenliğini ihlal eden konularda da direkt sorumlu olacak. Bu açıdan personelin farkındalığını artırmaya yönelik eğitimlerin verilmesi de yine yönetim kurullarının görevleri arasına giriyor.
Planla, analiz et, denetle
SPK’nın son tebliğinin yönetim kurullarına bilgi sistemleri güvenliği gibi teknik bir konuda da önemli sorumluluklar yüklediğini belirten Clonera Bilişim Hizmetleri Hizmet Çözümleri ve Satış Müdürü Doğan Yılmaz; bu alanda yönetim kurullarının konusuna hakim bağımsız danışmanlık firmalarından destek almasının kritik önem taşıdığını vurguladı. Yılmaz; şirketlerin risk önceliklerine göre, tüm kritik iş süreçlerinin devamlılığını sağlamak için iş sürekliliği planlarını hazırlamaları ve gerekli önlemleri almaları gerektiğini ifade etti. Risk analizlerinin yılda en az bir defa veya bilgi sistemlerinde meydana gelebilecek önemli değişikliklerde tekrarlanması gerektiğini söyleyen Yılmaz; bilgi sistemlerindeki olası teknik açıklara ilişkin de yılda en az bir kez sızma testi yaptırılması gerektiğini bildirdi. Yılmaz, tüm bu zorunlulukların gerektirdiği donanım ve yazılım ihtiyaçları, firmaları ciddi yatırımlar ile karşı karşıya bıraktığı gibi, gereken know-how’ın edinilmesi ve projelerin gerçekleştirilmesi için ihtiyaç duyulan BT iş gücünün tesis edilmesi noktasında da önemli maliyetler çıkardığını sözlerine ekledi.
Yılmaz, Clonera’nın sunduğu profesyonel hizmetlerle, SPK’nın getirdiği yeni yükümlülüklerin önemli bir kısmını; firmalara donanım ve yazılım yatırımı yaptırmadan, insan kaynağı maliyeti oluşturmadan dışarıdan sağladığının da altını çizdi.