info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Veri Güvenliği Politikaları Gerçekten Uygulanıyor mu? Sızma Testleri ve BT Denetimleri Yatırımcıya Ne Anlatır?

05 Ağu 2025
0

GİRİŞ

Günümüzde şirketlerin değeri yalnızca üretim hacmi, pazar payı veya finansal tablolarla ölçülmez. Özellikle dijitalleşme çağında şirketin sahip olduğu veri varlığı, veri koruma kapasitesi ve bilgi güvenliği politikalarının uygulanma düzeyi, yatırımcılar için belirleyici unsurlar haline gelmiştir.

Bir şirketin BT altyapısının güvenli olup olmadığı, veri güvenliği politikalarının kâğıt üzerinde mi kaldığı yoksa gerçekten uygulanıp uygulanmadığı; sızma testleri, bilgi teknolojileri denetimleri (BT denetimi) ve KVKK/GDPR uyum raporları ile ortaya çıkar. Bu denetim sonuçları, yatırımcının karşı karşıya olduğu teknik, hukuki ve reputasyonel riskleri önceden görmesini sağlar.

Bu makalede, veri güvenliği politikalarının due diligence sürecinde nasıl analiz edildiği, yatırımcıya hangi sinyalleri verdiği, sızma testleri ve BT denetimlerinin önemi, örnek olaylar ve çözüm önerileri detaylı olarak incelenecektir.

1. Teorik Çerçeve: Veri Güvenliği Politikası Nedir?

1.1. Tanım

Veri güvenliği politikası, bir şirketin:

  • Hangi verileri topladığı ve işlediği,

  • Bu verileri nasıl sakladığı, paylaştığı ve sildiği,

  • Hangi güvenlik önlemlerini aldığı,

  • Olası veri ihlallerine karşı nasıl önlem geliştirdiği

hususlarında oluşturduğu yazılı kurallar bütünüdür. Bu politikalar; çalışan rehberlerinden yazılım kullanım talimatlarına, ağ güvenliği protokollerinden felaket kurtarma planlarına kadar geniş bir uygulama yelpazesi içerir.

1.2. Hukuki Dayanaklar

Türkiye’de veri güvenliği uygulamalarının hukuki dayanakları şunlardır:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

  • ISO 27001 Bilgi Güvenliği Yönetim Sistemi

  • Ticaret Bakanlığı ve BDDK düzenlemeleri

  • BTK rehberleri ve siber güvenlik strateji belgeleri

  • GDPR (Yurtdışı ortaklı yatırım durumlarında)

2. Due Diligence Sürecinde Veri Güvenliği Analizi

2.1. Neden Kritik?

Yatırımcının hedef şirketle birlikte üstleneceği riskler yalnızca mali tablolarla sınırlı değildir. Veri güvenliği ihlalleri;

  • Ciddi para cezaları ve tazminatlara yol açabilir,

  • İş ortaklarının ve tüketicilerin güvenini sarsabilir,

  • Uluslararası yatırım fonlarının sözleşmelerini feshetmesine sebep olabilir.

Bu nedenle, due diligence sürecinde BT altyapısı, veri güvenliği protokolleri, sızma testi sonuçları gibi teknik ve hukuki belgeler detaylıca incelenir.

2.2. İncelenecek Ana Başlıklar

İnceleme Konusu Değerlendirme Kriteri
Veri güvenliği politikası Yazılı mı? Uygulanıyor mu?
Çalışanlara eğitim Periyodik mi? Belgelendirilmiş mi?
Erişim kontrolleri Kademeli mi? Yetkilendirme var mı?
Sızma testi raporları Son test tarihi nedir? Kritik açıklar kapatılmış mı?
BT denetim raporları ISO 27001 uyumu var mı? Riskler belirlenmiş mi?
Veri yedekleme stratejileri Otomatik mi? Test edilmiş mi?
İhlal olay geçmişi Varsa ne zaman, hangi önlemler alındı?

3. Sızma Testleri ve BT Denetimlerinin Rolü

3.1. Sızma (Penetrasyon) Testi Nedir?

Sızma testleri, şirketin bilgi sistemlerine etik hackerlar tarafından yapılan kontrollü saldırılarla sistem açıklarının tespit edilmesini sağlar. Şirketin:

  • Web uygulamaları,

  • Veri tabanı erişimleri,

  • E-posta sunucuları,

  • Dahili ağ yapısı

gibi sistemleri test edilerek güvenlik seviyeleri analiz edilir.

3.2. BT Denetimleri

Bilgi teknolojileri denetimleri, genellikle bağımsız danışman firmalar veya iç denetim ekipleri tarafından yapılır ve şirketin:

  • Siber güvenlik protokolleri,

  • Donanım-yazılım uyumu,

  • Lisans ve erişim kontrolü,

  • Veri yedekleme ve kurtarma planları

gibi unsurlarını değerlendirir.

Bu testlerin eksiksiz yapılması ve sonuçlarının yatırımcıya açıklanması, şirketin şeffaflığı, güvenlik olgunluğu ve kurumsal disiplin seviyesi hakkında fikir verir.

4. Yatırımcı Açısından Risk Değerlendirmesi

4.1. Tespit Edilen Güvenlik Açıkları Neler Anlatır?

  • Sızma testinde kritik zafiyet bulunmuşsa: Yatırım sonrası veri ihlali riski çok yüksektir.

  • Politika var ancak uygulanmıyorsa: Kağıt üzerinde güvenlik var gibi görünür ancak pratikte yoktur.

  • BT denetimi yapılmamışsa: Şirket ya yetersiz kaynaklara sahip ya da riskleri örtbas ediyor olabilir.

  • İhlal yaşanmış ancak bildirilmemişse: Hukuki yükümlülüklerden kaçınmak istenmiş olabilir → yatırımcıyı da riske atar.

4.2. Finansal ve Hukuki Yansımalar

  • KVKK’ya göre idari para cezaları → 3 milyon TL’ye kadar

  • İtibar zararı nedeniyle müşteri kaybı

  • Müşteri verilerinin çalınması → GDPR kapsamındaysa ciddi yaptırımlar

  • Sözleşme iptali riskleri

  • Uluslararası fonların çekilmesi

5. Örnek Olaylar

5.1. Örnek Olay 1: Sızma Testi ile Ortaya Çıkan Kritik Zafiyet

Olay: E-ticaret yazılımı geliştiren bir firma, yatırım turu öncesi sızma testi yaptırdı. Sonuçlar yatırımcıya sunulmadı. Ancak yatırımcı teknik ekiplerle yaptığı incelemede test raporuna ulaştı. Testte yönetici paneline admin şifresi ile erişimin şifrelenmeden sağlandığı ve SQL açıkları bulunduğu belirlendi.

Sonuç: Yatırımcı, riskleri gerekçe göstererek görüşmeleri durdurdu. Şirket değerlemesi %30 düştü.

5.2. Örnek Olay 2: BT Denetimi Olmayan Lojistik Şirketi

Olay: Uluslararası taşımacılık yapan bir firma, büyük bir fon ile yatırım görüşmesi yürütüyordu. Ancak BT sistemlerinin hiçbir şekilde denetlenmediği ve veri yedeklemesinin manuel yapıldığı ortaya çıktı. Ayrıca ransomware saldırısı geçmişi vardı ancak Kurula bildirilmemişti.

Sonuç: Fon süreci askıya aldı, şirket sonradan danışmanlık alarak ISO 27001 sürecini başlattı ama yatırım fırsatını kaçırdı.

6. Yatırımcılar Ne Yapmalı?

6.1. BT Due Diligence Sürecini Talep Etmeli

  • Bağımsız siber güvenlik danışmanlarından rapor istemeli

  • Sızma testi raporlarını doğrudan talep etmeli

  • Tüm BT altyapısını teknik kadrolarla beraber yerinde incelemeli

6.2. Sözleşmeye Özel Hükümler Eklenmeli

  • Veri ihlali riskine ilişkin garanti hükümleri

  • Bilinen ancak açıklanmamış zafiyet varsa tazminat yükümlülüğü

  • BT altyapısının belirli bir seviyeye gelmesi şartına bağlı kademeli yatırım modeli

7. Şirketler Ne Yapmalı?

7.1. Politika → Uygulama → Denetim Zinciri Kurulmalı

  • Yazılı veri güvenliği politikaları hazırlanmalı

  • Tüm süreçler çalışanlara öğretilmeli

  • Uygulamalar düzenli olarak denetlenmeli

7.2. Sızma Testi ve BT Denetimi Periyodik Olmalı

  • En az yılda bir defa yapılmalı

  • Raporlar yönetim kuruluna sunulmalı

  • Kritik açıklar en geç 30 gün içinde kapatılmalı

SONUÇ

Veri güvenliği, dijital çağda bir şirketin varlığını sürdürebilmesinin ve yatırım alabilmesinin temel koşuludur. Kâğıt üzerinde var olan ancak uygulanmayan veri güvenliği politikaları, yatırımcı için ciddi bir risktir. Bu riskler yalnızca maddi değil, hukuki ve itibari yönleriyle de yatırım kararını doğrudan etkiler.

Sızma testleri ve BT denetimleri, şirketin “gerçekten güvenli” olup olmadığını ortaya koyan en somut göstergelerdir. Bu nedenle yatırımcıların bu süreçleri talep etmesi, şirketlerin ise bu test ve raporları düzenli olarak üretmesi artık bir tercih değil zorunluluktur.

Hukuk Fakültesi Öğrencisi Gamze Akbulut

, , , , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button