Giriş
Giderek dijitalleşen ekonomide, kesişimsel bir bilgi güvenliği disiplini ortaya çıkmıştır. Gitgide dijitalleşen ekonomimizin yarattığı riskler ile ilgili düzenlemeler çoğaldıkça, şirketler bir seçimle karşı karşıya kalmaktadırlar: Siber uyumu mevcut ekiplerin sorumluluğu haline getirmek ya da yepyeni bir işlev oluşturmak: iş, bilgi teknolojisi, gizlilik ve siber güvenliğin kesiştiği noktada yer alan siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum. Bu yazıda, yapılan incelemeye göre açıkça ikincisi desteklenmektedir.
Dijital devrim; iş, bilgi teknolojisi, gizlilik ve siber güvenliğin kesişiminde yer alan siber güvenlik yönetişimi, riski ve uyumunun (cybersecurity governance, risk and compliance) ortaya çıkmasına neden olmuştur. Bu fonksiyon, kuruluşların kullandıkları teknolojiler ve veriler ile ilişkili riskleri yönetmek ve azaltmak için uygulamaya koydukları süreçleri ve politikaları oluşturur ve denetler.
Gelişmekte olan teknolojiler kuruluşlara entegre edildikçe ve yeni ve güncellenen yasal uyum düzenlemeleri sürekli olarak uygulamaya konuldukça, siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyumda gezinmek giderek daha karmaşık hale gelmektedir. Bu ekiplerin karşılaştıkları zorlukların yanı sıra bugün kullanabilecekleri siber güvenliğe yönelik en iyi uygulamalardan bazılarını anlamak çok önemlidir.
1. Siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum ekipleri için gelişen zorluklar
Kurumsal yönetişim, politikalar, standartlar ve gözetim oluşturmaktan müteşekkil tüm kurumsal yönetişim, risk yönetimi ve yasal uyumun temel bir işlevidir; dolayısıyla güncellenmiş veya yeni güvenlik düzenlemelerinin uygulamaya konulması, bir kuruluşun politikaları uygulama biçimini etkiler. Bu işlevi etkileyen en önemli yeni düzenlemelerden bazıları; halka açık herhangi bir şirketin önemli siber güvenlik olaylarını dört gün içinde kuruma açıklamasını zorunlu kılan PCI-DSS [Payment Card Industry-Data Security Standards (Ödeme Kartı Sektörü Veri Güvenliği Standartları)] 4.0 veya yeni SEC (Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu) kamuyu aydınlatma yükümlülükleridir.
Mevcut düzenlemeler genellikle yıllık olarak güncellenmekte olup; yeni düzenlemelerin getirilmesiyle birlikte siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum liderlerinin bu değişiklikleri sürekli takip etmesi gerekmektedir. Özellikle güvenlik ve gizlilik konusunda sürekli yeni düzenlemeler eklenmektedir. Politika ve standartların en azından kuruluşun asgari yükümlülüklerini karşılaması gerekir, ancak aynı zamanda en azından sektörün minimum koşullarını da karşılamaları gerekir [örneğin, kredi kartları için Ödeme Kartı Sektörü (Payment Card Industry), sağlık hizmetleri için Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (Healthcare Insurance Portability and Accountability Act)].
Düzenlemelerle güncel kalmak zor olsa da bulut, Nesnelerin İnterneti, yapay zekâ ve üretken yapay zekânın yakınsaması (convergence of cloud, Internet of Things, artificial intelligence and generative artificial intelligence) da zorlayıcıdır. Bu yeni teknolojilerin ortaya çıkması ve bunların birbirine yakınlaşmasıyla birlikte siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum ekipleri, dikkate almaları gereken yeni güvenlik risklerini beraberinde getirdiğinden, sıfırdan yapılan alanlarla boğuşmaktadırlar.
Özellikle Amerika Birleşik Devletleri’nde, bu teknolojilerin çoğuna özgü sınırlı düzenleme mevcuttur. Yapay zekâ ile ilgili 2023 tarihli bir idari kararname bulunmakla beraber, yasal uyumdan bahseden herhangi bir çerçeve henüz mevcut değildir. Ulusal Standartlar ve Teknoloji Enstitüsü (National Institute of Standards and Technology) bir risk yönetimi çerçevesi yayınlamış olup bu üst düzeydedir. Öte yandan, Avrupa Birliği’nin yeni yapay zekâ yasası, yapay zekâyı düzenlemeye yönelik en büyük erken çabayı temsil ediyor ve birkaç yıl içinde tamamen uygulanabilir hale gelmesi bekleniyor. Artık şirketlerin boşluk değerlendirmeleri yapması ve yasal uyum yol haritaları geliştirmesi için zaman işlemeye başlamıştır.
Spesifik ve evrensel düzenlemeler gelişmeye devam ederken, siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum ekiplerinin, beklenen faydaları elde etmek için yeni teknolojileri güvenli bir şekilde dağıtma ve benimseme konusunda işletmelerini desteklemesi gerekiyor. Burası, bu ekiplerin gezinmesi gereken bir tür kurumsal yönetişim, risk yönetimi ve yasal uyumun sahipsiz bölgesidir.
Politikaların uygulanmasını, yasal uyum talimatlarının yerine getirilmesini ve güvenlik açıklarının giderilmesini sağlamak için kuruluş çapında işbirliği yapma konusunda zorluklar mevcuttur. Siber güvenlik kurumsal yönetişim, risk yönetimi ve yasal uyum ekipleri kullandıkları verileri oluşturmaz ancak bu verilerin doğruluğuna, eksiksizliğine ve güncelliğine güvenebilmeleri gerekir ki; bu kritik bir noktadır.
Ayrıca bazen kurumsal yönetişim, risk yönetimi ve yasal uyum ile işletme genelindeki diğer ekipler/bölümler arasında teşvikler ve hedefler açısından yeniden düzenleme yapılmasına ihtiyaç duyulur. İşin herhangi bir alanındaki bir kurumsal yönetişim, risk yönetimi ve yasal uyum ekibi, bir tür ases olarak görülebilir ki; bunların rolleri, iş ekipleri iş yapmak ve daha fazla satış yapmak isterken, yükümlülüklerin sınırlandırılmasına yardımcı olmaktır. Yeni kontroller işletmenin verimli çalışmasını engelleyebildiğinde bu iki hedef birbiriyle çelişebilir.
Sonuçta kurumsal yönetişim, risk yönetimi ve yasal uyum ekipleri, geleneksel olarak üç savunma hattı olarak adlandırılanlar da dâhil olmak üzere, işletme genelindeki kişiler ve ekiplerle etkileşime girer:
- Kontrolleri çalıştıran ilk hat ki; risk onlarındır, dış çevreyle yüzleşirler;
- Birinci hattı etkinleştiren yetenekleri ve araçları sağlayan ikinci hat,
- Çoğunlukla iç denetim olan üçüncü hat ki; bu grup daha bağımsızdır ve yönetim kurulu tarafından yetkilendirilmektedir.
Bu üç grubun geri bildirim döngülerine sahip olması ve siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyumla işbirliği yapması gerekir; farklı amaçları ve hedefleri vardır ama sonuçta hepsi şirketin kraliyet mücevherlerini korumasını ve güvenli bir şekilde faaliyet göstermesini istemektedir. Kimin neden sorumlu olduğunu belirlemek ve bunun açıkça tanımlanması bazen zor olabilir.
2. Siber güvenlik kurumsal yönetişim, risk yönetimi ve yasal uyumu doğru şekilde kullanmak
Siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum, diğer kurumsal yönetişim, risk yönetimi ve yasal uyum türleriyle karşılaştırıldığında sürekli büyüyen bir tehdit ortamı, devasa miktarda veri ve yeni ortaya çıkan düzenlemeler minvalinde yeni bir dizi zorluk sunmaktadır. Dahası, yasal uyum mutlaka bir saldırıyı önlemeyecektir; bunun yerine, ilgili ve proaktif uyum, bir saldırının sıklığının ve/veya etkisinin azaltılmasına yardımcı olabilir.
Siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyumu doğru bir şekilde elde etmek için üç unsurun mevcut olması gerekir. Öncelikle verilere güven duyulması zorunludur. Yasal uyumu ölçmek ve risk yönetimi kararları vermek için kullanılan verilere güvenebilmek, siber kurumsal yönetişim, risk yönetimi ve yasal uyum ekibinin başarısı için çok önemlidir. Ancak yukarıda da belirtildiği üzere bu bir zorluk olabilir. Güvenin gerçekleşmesi nasıl sağlanır? Verilerin sahipleri/yaratıcıları ile sürekli görüşmelerde bulunmak, yakınlık ve güçlü ilişkiler kurmanın anahtarıdır.
İkinci olarak hesap verebilirlik ve risk iştahı konusunda uyum sağlanmalıdır. Karışımda birden fazla kişi ve rol olduğunda hesap verebilirlik zordur. Farklı alanlardan kimin sorumlu olduğuna dair iyi tanımlanmış bir yapıya sahip olunması ve uyumlu değilse iyileştirme için belirlenmiş net bir yolun olması önemlidir.
Üçüncü unsur ise, işlem yapılabilir verilerin sağlanmasıdır. Yeterli iş bağlamıyla ve bunların nasıl kapatılacağına dair anında içyüzünü anlama olduğunda kontrol boşlukları hakkında rapor vermek daha etkilidir. Siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum ekiplerinin, kontrol sahiplerine ve liderlere ilgili ve eyleme geçirilebilir bilgilerle yardımcı olmak için iş terimleriyle konuşabilmeleri gerekir.
3. Büyüme ve güvenliğin buluştuğu yer
Siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum, başlı başına bir disiplin olarak ortaya çıkmıştır. Güvenlik ve gizlilik uyumu gereksinimleri artarken siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum ekiplerinin, kuruluşlarının iş hedeflerine ulaşmasına yardımcı olmak için karmaşıklığı ortadan kaldırırken stratejik olmaları gerekmektedir. Yasal uyumun zaman alıcı ve ağır bir iş olduğuna dair süregelen bir algı vardır ki; bu da çoğu zaman bir yük olarak görülmeye ve muamele görmeye devam ettiği anlamına gelmektedir. Bu, yasal uyumun ve gereksinimleri karşılama sürecinin kuruluşa birçok fayda sağladığı ve sonuçta stratejik bir avantaj olabileceği gerçeğini göz ardı etmektedir.
İşletmenin büyüme hedeflerini sorumlu bir şekilde desteklerken, güvenli politika geliştirme ve uygulamayı etkinleştirme ve destekleme fırsatı da bulunmaktadır. Artan yasal uyum yükümlülükleri belirli verimlilikleri engelleyebilir ancak siber güvenlik ile ilgili kurumsal yönetişim, risk yönetimi ve yasal uyum ekibi bu sorunun çözülmesine yardımcı olabilecek iş ortakları durumundadır.
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.