Bankacılık Düzenleme ve Denetleme Kurulu (BDDK)’nın, 15 Mart 2020 tarihinde Resmi Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkındaki Yönetmeliği’nde bilgi güvenliği farkındalığını artırma çalışmalarına yönelik önemli maddeler yer alıyor. 1 Temmuz 2020 tarihinde yürürlüğe giren yönetmeliğe buradan ulaşabilirsiniz.
BDKK’nın bilgi güvenliği farkındalığını artırmaya yönelik dikkat çeken maddeler ise şu şekilde:
Bilgi Güvenliği Farkındalığına yönelik çalışmalar sadece kurum çalışanlarını değil bankanın üst yönetim ve müşteriler de dahil olmak üzere tüm paydaşlarını kapsayacak şekilde olmalıdır.
Madde 8- Bilgi Güvenliği Yönetimi:
Fıkra (1) f bendi: Üst yönetim de dâhil olmak üzere banka çalışanları, dış hizmet sağlayıcılar ve müşteriler gibi bankanın bilgi güvenliğini ilgilendiren paydaşlara yönelik, bilgi güvenliği farkındalığını artıracak çalışmaların yapılması.
Fıkra (6) f bendi: Bankanın bilgi güvenliğini ilgilendiren paydaşlara yönelik bilgi güvenliği farkındalık programının yürütülmesi.
Farkındalık çalışmaları için yılda en az bir kere güncellenecek kapsamlı bir eğitim programı oluşturularak; güncel saldırı senaryoları, hatırlatma mesajları ve düzenli anketler yapılmalıdır.
Madde 19- Bilgi Güvenliği Farkındalığını Artırma
Fıkra (1): Banka genelinde bilgi güvenliği farkındalık seviyesini artırmak için kapsamlı bir bilgi güvenliği farkındalığı eğitim programı oluşturulur.
Fıkra (2): Bilgi güvenliği farkındalığı eğitim programı Bilgi Güvenliği Komitesi tarafından onaylanır ve programın içeriği yılda en az bir defa yeni teknolojiler ve ortaya çıkan yeni riskler dikkate alınarak gözden geçirilir ve güncellenir.
Fıkra (3): Banka, bilgi güvenliği farkındalığını artırmak üzere eğitim programının haricinde kurum içi bültenler hazırlar, varsa banka iç portalında bilgi güvenliği ile ilgili bir bölüm oluşturur, çalışanlarına periyodik olarak bilgi güvenliğiyle ilgili hatırlatma mesajları gönderir, çalışanlara yönelik düzenli olarak bilgi güvenliği farkındalığını ölçecek anketler yapar.
Fıkra (4): Banka bu madde kapsamındaki farkındalık artırıcı çalışmaların etkinliğini doğrulamak ve geliştirilmesi gereken eksiklikleri tespit etmek amacıyla gerekli çalışmaları yapar. Güncel saldırı yöntemlerini dikkate alarak gerekli sosyal mühendislik senaryoları üzerinden çalışanlara yönelik periyodik testler gerçekleştirir ve bu testlerden geçemeyen çalışanlara yönelik ilave hedefli eğitimler verilmesini sağlar.
Kurum çalışanlarına, sosyal mühendislik saldırıları ve diğer dolandırıcılık yöntemleri ile ilgili periyodik eğitimler aldırılarak farkındalığı artırıcı çalışmalar yapılmalıdır.
Madde 40- Telefon bankacılığında kimlik doğrulama, işlem güvenliği ve hizmet kalitesi
Fıkra (6): Banka, telefon bankacılığı hizmetlerinin müşterilere sunulmasında görev alan müşteri temsilcileri ve çağrı merkezi görevlileri gibi çalışanlara sosyal mühendislik saldırıları ve bilinen diğer dolandırıcılık yöntemleri konusunda periyodik eğitimler aldırmak ve bu çalışanların güvenlik farkındalıklarını artırıcı çalışmalar yapmakla yükümlüdür.
Banka, ATM cihazlarının güvenli kullanımı hakkında müşterilerine yönelik farkındalık çalışmalarında bulunmalıdır.
Madde 42- ATM’lerde kimlik doğrulama ve işlem güvenliği
Fıkra (7): Banka, ATM cihazlarının güvenli kullanımı hususunda müşterilerinde farkındalık oluşturan çalışmalarda bulunur.
Bilgi güvenliği farkındalığını artırmaya yönelik çalışmalar ölçümlenmeli, takip edilmeli ve düzenli olarak iyileştirilmelidir. Lostar danışmanları tarafından kurumlara yönelik özelleştirilebilmekte olan ESAM – Bilgi Güvenliği Farkındalık Programı, kendi geliştirdiğimiz bir yazılım ile desteklenmektedir.
ESAM, kurumsal güvenlik politikalarınızla bütünleştirilebilir, şirket içi iletişim modeline uygun hale sokulabilir. Bilgi Güvenliği Farkındalık Eğitimi uygulamalarını değerlendirerek, yönetime somut veriler sağlar, e-Learning içerikleri ve poster vb. görsel tutundurma malzemeleri sunar. Bilgi Güvenliği Farkındalık Programı hakkında ek bilgi almak ve ESAM ile tanışmak için bizimle iletişime geçin.
Ceren Dobra