Türkiye Barolar Birliği Dergisi 152.Sayı

345 TBB Dergisi 2021 (152) Berker KILIÇ / Nursel YALÇIN / Esra KILIÇ faktörlerinin, yani varlıkların, varlıkların değerinin, etkilerinin, tehdit- lerin ve meydana gelme olasılıklarının güncel tutulması gereklidir. Bilginin kapsamı ve değeri sürekli olarak arttığından, kuruluşların ve bireylerin, verilerin çalınması veya imha edilmesine maruz kalma- sı riski artmaktadır. Bilgisayar ve mahremiyetle ilgili düzenlemelerin uyumluluk gereklilikleri artmakla birlikte, bilgi güvenliğine yönelik önlemler gittikçe daha karmaşık bir hale gelmiş, küresel tehditlerin yayılması, bilgi güvenliği konusunda kuruluşların daha bütünsel bir yaklaşıma yönelmesine neden olmuştur. 22 Hukuk büroları da bunun istisnası bir ayrıcalığa sahip değildir. Aksine, dilekçe yazımından, gerekli araştırmaların yapılmasına, dava açma süreçlerinden müvekkiller ile iletişime kadar pek çok noktada, hukuk bürolarının, kişiler açısından önemli, kişiye özel hem avukat hem müvekkil açısından itibarlarının zarar görmesine yol açabilecek kritik kişisel veriler ile çalışmasından dolayı, pek çok kuruluşa kıyasla daha fazla riske sahip olduğundan bahsedilebilmek mümkündür. Karar vericiler için, kuruluşun tüm seviyelerinde, bilgi güvenliği risklerinin nasıl ele alınması gerektiğini anlamak önemlidir. Yalnızca kapsamlı ve sistematik bir yaklaşım, bir kuruluşun ihtiyaç duyduğu bilgi güvenliği seviyesini sağlayabilmektedir. Bu yaklaşım, bilgi gü- venliği yönetimi için uluslararası referans, yani bilgi güvenliği ile ilgili ISO/IEC 27K standartları ailesi tarafından verilmektedir. 23 Faaliyet kapsamı, personel sayısı ve iş süreçlerinin çeşitliliği açı- sından, bir hukuk bürosunun ISO/IEC 27001 standardına tam olarak uyumlu olması beklenemeyeceği gibi, standarda uyum sağlama süreci de hem ek iş gücü ihtiyacı hem de maddi açısından yüksek bir maliyet- le karşılaşılmasına neden olabilecektir. Bu nedenle, hukuk bürolarının ISO/IEC 27001 standardının tüm kontrollerine uyum sağlamaktansa, mevcut durumlarının analiz edilmesi ve teknik açıdan kabul edilebilir bir seviyede kontrollerle uyumlu hale gelmesi en düşük iş gücü ve en düşük maliyetli çözüm olacaktır. Ancak, kontrollerin seçimi ISO/IEC 27001 Ek A’ ya dayandırılmalıdır. 23 BGYS, kontrollerinin seçiminin, kuruluşun bilgi varlıklarını korumak ve hizmet alanlara güven ver- mek için yeterli ve orantılı olması gerekmektedir. 24 22 NIST, 23 Malik Motii ve Elalami Semma, 24 Ernst&Young,