İnfina Blog

Bilgi Sistemleri Yönetimi ve Güvenlik

Bilgi Sistemleri Yönetimi ve Güvenlik

Bilgi ve Veri Güvenliği günümüzde finans kurumlarının en çok yatırım yaptığı ve sürekliliğini sağlamak için en çok efor sarf ettiği alanların başında gelmektedir.

Sermaye piyasalarında risk unsuruna genelde yatırımcıların gözünden bakılır ve “Piyasa Riski” ön plandadır. Kurumlar açısından bakıldığında ise birçok risk tanımı bulunmaktadır. Bunların en önemlilerinden biri de iş sürekliliğini odağına alan “Operasyonel Risk”tir. İş sürekliliğine baktığımızda, ilk sıralarda “Bilgi ve Veri Güvenliği” ile “Teknoloji Güvenliği” gelmektedir.

Bankacılık Düzenleme ve Denetleme Kurumu ve Sermaye Piyasası Kurumu tarafından da bu konu hassasiyetle takip edilmektedir. Örneğin 5 Ocak 2018 Tarih ve 30292 Sayılı Resmi Gazete’de yayınlanan Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) aşağıdaki özetle aşağıdaki hususlar zorunlu tutulmuştur:

  • Portföy Yönetim Şirketleri ve Aracı Kurumlar için duruma göre 3 yılda bir veya 2 yılda bir “Bilgi Sistemleri Bağımsız Denetimi” yaptırması,
  • Bilgi Sistemleri’nin, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından periyodik olarak sızma testine tabi tutulması,
  • 5 yıllık bir süre ile aktif olacak etkin bir denetim izi kayıt mekanizmasının oluşturulması,
  • Bilgi Sistemleri’nin sürekliliğini sağlamak üzere Bilgi Sistemleri Süreklilik Planı hazırlaması ve bu çerçevede ikincil sistemlerini tesis etmesi,
  • Birincil ve ikincil sistemlerin yurtiçinde bulundurması,
  • Yılda en az 1 defa Olağanüstü Durum Merkezi (ODM) üzerinden müşteri iş sürekliliği testlerinin yapılması ve raporlanması,

Alt yapı risklerini kontrol etmek için düzenlenen bu konulara ek olarak diğer önemli bir konu da, Kişisel Verilerin Korunması Kanunu (KVKK) ile gelen yükümlülüklerdir. Finans kurumlarının müşterileri ile sözleşme ilişkileri düşünüldüğünde, hesap açılış süreçleri başta olmak üzere birçok kişisel veriyi kullandıkları sistemler üzerinde tutmaktadırlar. Bu verilerin güvenliği, açık rıza onaylarının takibi ve loglanması, verinin kişilerin talebi ve mevzuatın uygun gördüğü kurallar çerçevesinde imha edilmesi veya anonimleştirilmesi gibi önemli başlıklar, finans kurumlarının büyük hassasiyetle takip ettiği konulardır.

Günümüzde Covid 19 pandemisinin özellikle bilgi güvenliği üzerindeki etkisi çok büyüktür. Uzaktan çalışma ortamının oluşmasıyla birlikte, siber saldırıların sayısının %500 oranında arttığına dair tespitler bulunmaktadır. Elbette bu saldırıların odağında banka, aracı kurum, portföy yönetim şirketi gibi para ve varlık akışında etkin finans kurumları bulunmaktadır. Kurumların bu yönde yapacağı eksik bir yatırım geri dönülemez sonuçlar doğurarak, yatırımcılar açısından da büyük kayıplara yol açma riski oluşturmaktadır.

İnfina Yazılım olarak, bu konuyu 25 yıldır ön planda tutmaktayız ve ISO27001 Bilgi Güvenliği Yönetim Sertifikası standartlarına sahibiz. Diğer taraftan ISAE3402 Denetim Güvence Raporu ve KVKK süreçleri ile ilgili olarak KPMG ile birlikte çalışmaktayız. Yazının başında bahsi geçen Bilgi Sistemleri Yönetimi Tebliği kapsamında özellikle Portföy Yönetim Şirketleri olarak hizmet verdiğimiz “mutlu müşterilerimiz” bilgi, veri ve teknoloji güvenliği konularını bizlere teslim ederek, bu konulara enerji harcamak yerine sadece piyasaya ve müşterilerine odaklanabilmektedir.

Hedefimiz siz değerli müşterilerimize hem kaliteli hem de çok güvenli hizmet sunmaktır.

Mert Ülkgün
İnfina Yazılım A.Ş.
Genel Müdür Yardımcısı