Bilgi Güvenliği Yönetim Sistemi (BGYS) ve Kurumlar İçin Önemi

Rekabetin Yeni Anahtarı: Algoritmik İşlemlerde Derinleşen Dijital Dönüşüm

Bilgi Güvenliği Yönetim Sistemi (BGYS) ve Kurumlar İçin Önemi

İnfina Yazılım BT Yöneticisi Emre Kenan ve İnfina Yazılım Sistem ve Bilgi Güvenliği Uzmanı Midya Şola, Türkiye Kurumsal Yatırımcı Yöneticileri Derneği tarafından yayınlanan Kurumsal Yatırımcı Dergisi Nisan 2025 sayısı için "Bilgi Güvenliği Yönetim Sistemi (BGYS) ve Kurumlar İçin Önemi" başlıklı yazıyı kaleme aldı. Derginin tamamına ulaşmak için buraya tıklayın.

Günümüzde bilgi, kurumlar için en değerli varlıklardan biridir. Bilginin korunması, güvenliğinin sağlanması ve etkin biçimde yönetilmesi; sürdürülebilirlik, müşteri güveni ve rekabet gücü açısından hayati önem taşır. Bu noktada Bilgi Güvenliği Yönetim Sistemi (BGYS), kurumlara bilgi güvenliği risklerini yönetme ve bilgi varlıklarını koruma konusunda kapsamlı bir çerçeve sunar.

BGYS, kurumları yetkisiz erişim, veri sızıntısı, bilgi kaybı gibi tehditlere karşı korurken iş süreçlerinin kesintisiz devamını sağlar. Aynı zamanda, yasal ve düzenleyici gerekliliklere uyum konusunda rehberlik ederek bilgi güvenliğini sistematik bir şekilde ele alır. Etkin bir BGYS uygulaması, kurumların bilgi güvenliği konusundaki yetkinliklerini artırır, kurumsal itibarlarını korur ve uzun vadede rekabet avantajı sağlar.

2025 Yılıyla Gelen Değişiklikler

2025 yılında yürürlüğe giren VII-128.10 sayılı tebliğ ile BGYS kapsamında önemli değişiklikler yapılmıştır. Tebliğin kapsamı genişletilmiş, kripto varlık hizmetleri de sisteme dahil edilmiştir. Buna ek olarak "bilgi güvenliği ihlali", "API", "çok faktörlü kimlik doğrulama" gibi yeni tanımlar mevzuata eklenmiştir.

Yeni düzenlemeler, kurumların BGYS politikalarını yılda en az bir kez gözden geçirmesini ve güncellemesini zorunlu kılmaktadır. Ayrıca, bilgi güvenliği sorumlusu atanması ve bu kişinin bilgi sistemleri yönetiminde bağımsız bir rol üstlenmesi gerektiği vurgulanmıştır. Bu değişiklikler, bilgi güvenliği yönetiminin daha sistematik ve düzenli yürütülmesini hedeflemektedir.

Risk Envanteri, Süreç Sahipliği ve Felaket Senaryoları

Kurumlardan artık bilgi sistemleri risk envanterlerini oluşturmaları ve bu envanteri düzenli olarak analiz etmeleri beklenmektedir. Bu analizler yılda en az bir kez yapılmalı ve kritik değişikliklerde tekrarlanmalıdır. Kurumsal varlıkların, örneğin bir çek koçanı ya da bilgilendirme tabelası gibi unsurların bile yüksek gizlilik düzeyine sahip olabileceği unutulmamalıdır. Dolayısıyla, risklerin belirlenmesi, ölçülmesi, izlenmesi ve raporlanması süreçleri yeni tebliğde daha detaylı şekilde ele alınmaktadır.

Felaket senaryoları karşısında iş sürekliliğini sağlayacak hazırlıkların yapılması büyük önem taşımaktadır. Her sürecin sahibi belirlenmeli, rol ve sorumlulukları net olarak tanımlanmalı, süreçlerin performansı ölçülmelidir. Bu adımlar, kurumların beklenmedik durumlara karşı hazırlıklı olmasını sağlayacaktır.

Ağ Güvenliği ve İş Sürekliliği Planları

Yeni tebliğle birlikte kurumsal ağ güvenliği konusunda da önemli düzenlemeler getirilmiştir. İç ve dış tehditlere karşı kurumsal ağların korunması, mobil cihazların ağ erişimine ilişkin güvenlik politikaları, uzaktan erişimde çok faktörlü kimlik doğrulama gibi unsurlar detaylandırılmıştır.

Ayrıca, bilgi sistemleri süreklilik planlarının geliştirilmesi ve işletilmesi yönünde de daha kapsamlı hükümler yer almaktadır. Yedek sistemlerin yurt içinde bulundurulması, kabul edilebilir kesinti süreleri ve veri kaybı sınırlarının belirlenmesi gibi kriterler, iş sürekliliği kapsamında göz önünde bulundurulması gereken başlıca unsurlar arasında yer almaktadır.

Sonuç

Yeni BGYS düzenlemeleri, bilgi güvenliğinin yalnızca teknik bir konu değil, aynı zamanda kurumsal stratejinin ayrılmaz bir parçası olduğunu bir kez daha ortaya koymuştur. Kurumların bu alanda gerekli önlemleri alması, yalnızca yasal gereklilikleri yerine getirmekle kalmayacak; aynı zamanda kurumsal süreklilik, müşteri güveni ve itibar açısından da büyük fayda sağlayacaktır.

İnfina olarak bilgi güvenliğini işimizin merkezine koyuyor; güçlü ve sürdürülebilir bir bilgi güvenliği altyapısı inşa etmek için süreçlerimizi düzenli olarak gözden geçiriyor, yasal düzenlemeler doğrultusunda politikalarımızı güncelliyoruz. Kurumsal dayanıklılık ve gelecek vizyonu için bilgi güvenliğine yapılan her yatırımın, aslında güvene, başarıya ve sürdürülebilirliğe yapılan bir yatırım olduğuna inanıyoruz.