Sektör Görüşleri

Sigortacılık Sektörünün Bilgi Güvenliği İhtiyaçları

Türkiye’de sigorta şirketleri bir yandan masrafları kısarak karlılığa odaklanırken bir yandan da gelisen trendlerle, yasal zorunluluklarla uyum sağlamaya ve bunların getirdiği risk ve güvenlik etkilerini azaltmakla uğrasıyorlar. 

Bilgi güvenliği ihtiyacı ve bu yöndeki yatırımlarının artması sadece Türkiye’deki sigorta şirketlerinin değil Amerika ve Avrupa sigorta sektörünün de bir gerçeğidir. Kredi kartı sahiplerinin kart bilgilerinin korunmasına yönelik bilgi güvenliği standartları olan PCI Payment Card Industry Data Security Standard PCI DSS (Ödeme kart endistürisi veri Güvenlik Standardı) halen ülkemizde uyulması gereken bir düzenleme olarak devam etmektedir. COBIT uyumluluğunun zorunlu hale gelmesi uzun zamandır sektörün beklediği bir gelişme olmasına rağmen pek çok sigorta şirketi bağlı bulundukları grup standartları çerçevesinde hazırlıklarını tamamlamış durumdadır. Sigorta sektöründe, COBIT, ITIL ve ISO27001’in öncelikli standartlar olarak öne çıkmaktalar. Ülkemizde herhangibir yaptırımı olmayan ancak özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilginin korunmasını içermektedir.

Sigortacılık sektörünün yasal düzenlemelere uyumluluk çerçevesinde yatırım yapmakta olduğu bilgi güvenliği önlemleri, aynı zamanda sosyal ağlar, dışkaynak modeliyle hizmet alma ve kisisel cihazların kullanımı,sebebiyle karsı karsıya kaldıkları risklerin artmasıyla daha da önem kazanmaktadır.

Bununla birlikte bilgi güvenliğindeki en büyük riski,  kurumun kendi içindeki olası ataklar oluşturmaktadır. Kamuoyunda da sonuçlarını izlediğimiz pek çok bilgi transferi atağı kurumun kendi içindeki, yüksek yetkili kullanıcılar tarafından gerçekleştirilmiş ataklardır.

Tüm bu ihtiyaçlar neticesinde “Bilgi Güvenliği” projeleri sigorta sektörünün öncelikli projeleri haline gelmiş durumdadır. Türkiye sigorta sektöründe bilgi güvenliği projeleri, öncelikle bilgi merkezleri’nde uygulanmaya başlamakla birlikte bugün pek çok sigorta şirketinin öncelikli projesi olarak belirlenmiş ve hatta fazlı olarak uygulamaya alınmıştır.

Bilgi güvenliği projelerini 3 temel kategoride değerlendirebiliriz: 

1. Veritabanı Güvenliği

   • Şifreleme ve Maskeleme
   • İmtiyazlı Kullanıcıların Kontrolü
   • Yekilendirme
   • Aktivite İzleme, Yönetim ve Denetleme

2. Kimlik Yönetimi

   • Kullanıcı Tanımları
   • Rol Yönetimi
   • Yetkilerin Yönetimi
   • Risk Bazlı Erişim Kontrolü
   • Ayrıştırılmış Alanlar

3. Hakların Yönetimi

   • Denetleme ve Erişim Verilerinin Raporlanması
   • Kontrollü ve GeriAlınailir Doküman Yetkisi
   • Merkezi Erişim Kontrolü 

Yapılan araştırmalar, bilginin korunması için yapılan harcamaların, olası ataklarla oluşan maliyet, kullanıcı haklarının yönetimi için harcanan maliyet, yasal düzenlemelere konu olan verilerin hazırlanmasının maliyeti ile kıyaslandığında ciddi avantajlar sağladığını ortaya koymuştur. Türkiye’de Bankacılık sektörünün bir sure önce başlattığı bilgi güvenliği projeleri şu anda Sigorta Sektörü’nün de öncelikli gündemi haline elmiştir. Sigorta sektöründe bilgi güvenliği projelerinin nasıl uygulandığı, nasıl fazlandırıldığı, yurtdışı örnekleri bu yazımızda yer alamadı. İlerleyen dönemlerde bu konuları tekrar değerlendirmek dileğiyle.