Blog

KVKK'nın 12. maddesi, kişisel veri güvenliğini tehdit eden bir ihlal yaşandığında veri sorumlusuna 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yükümlülüğü getiriyor. Kâğıt üzerinde net görünen bu gereklilik, pratikte çoğu kurumun hazırsız yakalandığı bir sürecin tetikleyicisine dönüşüyor. Hazırsızlığın bedeli ise çift: hem düzenleyici yaptırım riski hem de yanlış yönetilen ilk 72 saatin kamuoyu iletişim hasarı. KVKK'nın uygulamaya başlamasından bu yana Kurul kararlarını ve k... Devamı

Yönetim kurulu salonunda bir finans direktörü, elindeki tablet bilgisayar ekranını çeviriyor: “BT departmanımız zaten var, neden ayrıca bir iş sürekliliği planına ihtiyacımız olsun?” Bu soru, Türkiye’deki orta ve üst düzey yönetici arasında oldukça yaygın. Çünkü birçok kurumda bilgi güvenliği (BGYS) ve iş sürekliliği yönetimi (ISYS) farklı birimlerde, farklı bütçelerle ve farklı sorumluluk sahiplerinde yürüyor. Kağıt Üzerindeki Sistem mi, Yoksa Çalışan Bir Mekanizma mı? ISO 27001, bilg... Devamı

2024 yılında küresel ransomware saldırısı sayısı bir önceki yıla göre %67 arttı. IBM'in Cost of a Data Breach Report 2024 verilerine göre, bir veri ihlalinin ortalama ömrü 277 gün; yani tehdit aktörü sistemlerinizde dokuz ay boyunca görünmeden dolaşabiliyor. Peki yönetim kurulu toplantısında "BCP'miz hazır" dediğinizde, bu ifade gerçekten ne anlama geliyor? Plan Kağıt Üzerinde Kalınca: Teorik BCP'nin Bedeli İş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) birbi... Devamı

2023 yılında küresel siber saldırı maliyeti 8 trilyon doları aştı. IBM'in Cost of a Data Breach Report 2024 verilerine göre tek bir veri ihlalinin ortalama kurumsal maliyeti 4,88 milyon dolara yükseldi — ve bu rakam, ihlal sonrası müşteri kaybı, itibar hasarı ve yasal yaptırımları henüz tam yansıtmıyor. Yönetim kurullarının "bilgi güvenliği bütçesi" tartışması artık BT departmanının teknik meselesi olmaktan çıktı; doğrudan kurumsal değer ve operasyonel süreklilik sorununa dönüştü. Sorun ş... Devamı

Her kurum, faaliyetlerini ciddi şekilde aksatabilecek beklenmedik olaylarla (doğal afetler, siber saldırılar, tedarik zinciri kesintileri veya teknik arızalar) karşılaşma riski taşır. ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS), bir organizasyonun bu tür yıkıcı olaylar karşısında hazırlıklı olma, müdahale etme ve operasyonlarını önceden belirlenmiş seviyelerde sürdürme kapasitesini tanımlar. Günümüzde iş sürekliliği, sadece bir felaket kurtarma planı değil, kurumsal yönetişimin ayrılmaz bir ... Devamı

Modern iş dünyasında siber güvenlik, artık sadece teknik bir departmanın sorumluluğu olmaktan çıkıp yönetim kurullarının en kritik gündem maddesi haline gelmiştir. Dijitalleşen operasyonlar, veri odaklı karar alma süreçleri ve bulut tabanlı altyapılar, beraberinde daha karmaşık ve yıkıcı siber riskleri getirmiştir. Bu noktada ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kurumlar için sadece bir sertifikasyon değil, kurumsal dayanıklılığın temel taşıdır. Bir organizasyonun bilgi varlıklarını... Devamı

Bir BT müdürü şöyle anlatmıştı: "Siber saldırı olduğunda iş sürekliliği planımızı açtık, ama yazıcı çalışmıyordu. Planı dijital ortamda sakladığımız için kriz anında okuyamadık." Bu hikaye gülünç görünebilir ama aslında iş sürekliliği planlamasının özündeki sorunu anlatıyor: Planlar gerçeklikten kopuk hazırlandığında, tam ihtiyaç duyulan anda işe yaramıyor. İş sürekliliği planlaması bir belge üretme egzersizi değil, kuruluşun gerçek koşullarına dayanan canlı bir hazırlık sürecidir. Beş temel ... Devamı

2011 yılının Mart ayında Japonya'yı vuran deprem ve tsunami, yalnızca can kaybına yol açmadı — küresel tedarik zincirlerini aylar boyunca felç etti. Japonya'daki fabrikalara bağımlı otomotiv ve elektronik devleri, dünyanın öbür ucunda üretimi durdurmak zorunda kaldı. O günlerde pek çok kurumsal risk yöneticisi aynı soruyu sordu: "Biz böyle bir durumda ne yapardık?" ISO 22301, tam da bu soruya sistematik bir yanıt üretmek için var. 2012'de yayımlanan ve 2019'da revize edilen standart, bir ... Devamı