Makale
Kurumlar; ISO 27001, COBIT ve SOX gibi uluslararası standartlar çerçevesinde bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamakla hukuken yükümlüdür. Bilgi güvenliği ihlallerinin artması, bu standartlara uyumu zorunlu kılmıştır. Bu yazıda, bilgi güvenliği standartları ve kurumsal hukuki yükümlülükler detaylıca incelenmektedir.
Kurumsal Bilgi Güvenliği Standartları ve Hukuki Yükümlülükler
Günümüzde bilişim teknolojilerinin hızla gelişmesi ve verilerin dijital ortamlarda devasa boyutlarda depolanması, bilgi güvenliği kavramını doğrudan hukuki bir zemine taşımıştır. Bilgi güvenliği, kurumların sahip olduğu bilgi varlıklarının izinsiz veya yetkisiz bir biçimde erişilmesini, kullanılmasını, değiştirilmesini ve ifşa edilmesini önleme amacı taşır. Hukuki bir perspektiften değerlendirildiğinde, şirketler sahip oldukları kurumsal bilgi varlıklarının ve kişisel verilerin korunması konusunda çok ağır sorumluluklar altındadır. Bilgi güvenliğinin üç temel unsuru olan gizlilik, bütünlük ve erişilebilirlik, kurumsal yasal yükümlülüklerin temelini oluşturur. Sözleşmelerle veya kanunlarla koruma altına alınan verilerin güvende tutulması, kurumsal itibarın ötesinde bağlayıcı bir hukuki zorunluluktur. Bilişim dünyasında kurumlar, geçerli bilgi güvenliği standartlarına uyum sağlayarak sundukları hizmetlerde oluşabilecek riskleri minimize etmek durumundadır.
Bilgi Güvenliğinin Temel Unsurları ve Hukuki Boyutu
Hukuk uygulamaları bağlamında bilgi güvenliği, sadece teknik bir altyapı meselesi değil, aynı zamanda idari ve yasal bir uyum sürecidir. Kurumlar, hizmet sundukları kişilerin verilerini korumak için gizlilik, bütünlük ve erişilebilirlik ilkelerine mutlak suretle riayet etmek zorundadır. Gizlilik ilkesi, bilgiye sadece yetkilendirilmiş kişilerce ulaşılabilmesini güvence altına alır; özellikle yasal koruma altındaki durumlarda veya gizlilik sözleşmelerinde büyük önem taşır. Bütünlük ilkesi, verinin yetkisiz kişilerce değiştirilmesine veya yok edilmesine karşı korunmasını, yani verinin kesin, doğru ve geçerli kalmasını hukuken güvence altına almayı ifade eder. Son olarak erişilebilirlik ilkesi, doğru yetkilendirilmiş kişilerin ihtiyaç duydukları anda hizmete ve veriye ulaşabilmesini sağlar. Verinin bütünlüğünün sağlanamadığı bir senaryoda, eksik veya yanlış bilgi ortaya çıkacak, bu da doğrudan hukuki ihtilaflara ve telafisi güç kurumsal tazminat sorumluluklarına yol açabilecektir.
Uluslararası Bilgi Güvenliği Standartları ve Kurumsal Uyum
Kurumların yasal yükümlülüklerini kusursuz yerine getirebilmesi ve güvenlik risklerini yönetebilmesi için uluslararası bilgi güvenliği yönetim sistemlerine tam uyum sağlaması gerekmektedir. Bu kapsamda öne çıkan ISO/IEC 27001 standardı, kuruluşların bilgi güvenliği risklerini kurmak, izlemek ve iyileştirmek için temel yasal ve operasyonel gereksinimleri kapsar. Özellikle güven ve güvenilirliğin hayati önem taşıdığı sektörlerde, bilgi güvenliği yönetim sistemleri standardına uygunluk, mevzuat açısından bir zorunluluk olarak değerlendirilmektedir. Öte yandan, bir bilgi teknolojileri yönetişim modeli olan COBIT standartları, ülkemizde Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından regüle edilerek bankacılık sektörü için yasal bir çerçeve haline getirilmiştir. Ayrıca, finansal sahtekarlıkların önüne geçmek amacıyla ABD'de yürürlüğe giren ve küresel ticari etkileri olan Sarbanes-Oxley Yasası (SOX), şirket yöneticilerine ağır cezai yaptırımlar getirmiştir. SOX yasası, yerel düzenleyicilerin de benzer iç kontrol ve denetim mekanizmalarını hayata geçirmesine emsal oluşturmuştur.
Kurumsal Yükümlülükler Kapsamında Çerçeve Standartlar
Bilişim hukuku bağlamında kurumların uygulaması gereken temel denetim ve yönetişim çerçeveleri, şirketlerin yasalara uyum sürecini doğrudan etkilemektedir. Kurumların yasal sorumluluklarını sınırlandırabilmeleri ve faaliyetlerini mevzuata uygun sürdürebilmeleri için aşağıdaki standartlara entegre olmaları büyük önem taşır:
- ISO/IEC 27001: Tüm kuruluş türlerini kapsayan, bilgi güvenliği yönetim sisteminin kurulması, sürdürülmesi ve iyileştirilmesini taahhüt eden uluslararası bağlayıcı standarttır.
- COBIT: Bilgi teknolojileri hedefleri ile iş hedeflerini bir araya getiren, ülkemizde bankacılık sektöründe BDDK tebliğleriyle yasal bir alt yapıya kavuşan yönetişim modelidir.
- COSO: Risklerin tespit edilmesi, işlemlerin etik ve yasalara uygun gerçekleştirilmesi ve hesap verebilirlik sorumluluğunun yerine getirilmesi için tasarlanmış bütünleşik iç kontrol çerçevesidir.
- Sarbanes-Oxley Yasası (SOX): Kurumsal finansal sahtekarlıkları önlemeye yönelik olarak, şirket üst yöneticilerine şahsi ve cezai sorumluluklar yükleyen, hisse senedi sahtekarlıklarını ağır suç kapsamına alan yasal düzenlemedir.
Bilgi Güvenliği İhlalleri ve Hukuki Yaptırımlar
Şirketlerin belirlenmiş bilgi güvenliği politikalarına uyum sağlamaması, yalnızca kurumsal itibar ve veri kaybına değil, aynı zamanda ciddi idari para cezalarına ve tazminat davalarına sebebiyet vermektedir. Kurumsal bilgi varlıklarının güvenliği kanunlara uygun şekilde sağlanmadıkça, müşterilerin ve paydaşların kişisel verilerinin güvenliği de hukuken temin edilemez. Güven esasına dayalı olarak çalışan kurumların bu verileri koruyamaması, yasal yükümlülüklerin ağır bir ihlali anlamına gelir. Hizmet alan dış müşteriler ve paydaşlar açısından, ilgili kurumun yasal yükümlülüklerini yerine getirdiğini bilmesi en temel haklarındandır. Bilgi sistemleri güvenlik standartlarının etkin bir biçimde uygulanması, olası sızıntı ihlallerinde şirketin hukuki kusur oranını hafifleten bir unsur olarak işlev görür. Standartlara kasten veya ihmalen uyulmaması durumunda ise şirket yöneticileri, yargı mercileri önünde doğrudan ihmalkarlık ve denetim eksikliği sebebiyle sorumlu tutulacaktır.