Kişisel veriler günümüzde sunucular (server), ağlar (network), dijital kameralar, bilgisayarlar, veri tabanları (database), web siteleri gibi bir çok dijital ortamda kayıt altına alınmış durumdadır. Bu noktada kişisel veriler dijital kayıtlarda savunmasızdırlar. Dijital kayıtların, kurumunuzun gereksinim duyduğu sürece kullanılabilmesi ve güvence altına alınabilmesi için bazı stratejilerin belirlenmesi gerekir. BT Danışmanlığı kapsamında süreç içinde sizi bu konuda da yönlendiriyoruz.

Kişisel verilerin güvenlik açığından yararlanılarak kötü amaçlar için kullanılmak üzere ele geçirilmesi durumunda (verilerin sızdırılması) şirketlerin itibarları ciddi şekilde zarar görür. Aynı zamanda bu durum cezaları da beraberinde getirebilir. Veri sızıntısı noktaları tespit edilerek, veri koruma önlemlerin alınması, testlerin belirli peryod / dönemlerde tekrarlanması ve raporlanması gerekir. Bu şekilde kurum sistemi güvenilir hale getirilir ve bu kurum için çok önemlidir.

Veri Sorumluları, VERBİS’ne (Veri Sorumluları Sicil Bilgi Sistemi) kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.

Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri içeren tüm bilişim teknolojisi sistemlerinin online gelebilecek her türlü tehdidine karşı korunması zorunlu hale getirilmiştir. Bu kapsamda önerilen asgari teknik tedbirler arasında;

1 – Kimlik Doğrulama ve Erişim Yönetimi

Kimlik doğrulama işlemi için kullanıcının girdiği kimlik bilgilerinin kullanılan veri tabanındaki bilgilerle eşleştirilmesi ile yapılır. Eşleşme sağlanarak erişim izni alan kişi kendisine tanımlanan yetkilerle sınırlı olarak sistemi kullanabilir.

2 – Uç Nokta Yönetimi

Dizüstü, masaüstü bilgisayarlar, cep telefonları, tabletler, sunucular ve sanal ortamların tümü uç nokta olarak kabul edilebilir. Ağ bağlantısı olan her aygıt güvenlik ihlalleri için potansiyel bir risk taşır. Bu nedenle ağdaki her bir aygıtı ve iletişim ağını güvenlik sistemleri ile korumak için yöntemler kullanılmalıdır.

3 – Dosya Sunucusu Yönetimi (File Server)

Dosya sunucusu veri dosyalarının depolanmasını ve aynı ağdaki diğer bilgisayarlardan herhangi bir fiziksel ortama aktarmadan veri dosyalarına erişimi sağlayan merkezi bir bilgisayardır. Yönetiminde çeşitli uygulamalar kullanılır.

4 – Kurumsal Mail Yönetimi

Kurumlarda şirket uzantılı mail hesapları kullanmak güvenlik açısından en önemli unsurlardan biridir

5 – Yedekleme Yönetimi

Kurum içi verilerin yanlışlıkla silinmesi, uygulamaların çökmesi, sunucu aksaklıkları ve verilerin geri alınamaz sayısız diğer yollara karşı yedeklenmesi ve gerektiğinde geri yüklenmesi iş devamlılığı ve verimliliği için önemlidir. Veri kurtarma strateji belirleyerek gerekli yöntemleri içeren sistemler kullanılmalıdır.

6 – İş Sürekliliği

Kuruluşun bir felaketin ardından (sel, yangın vb.) farklı araçlar ve süreçler ile gerektiğinde başka bir yerde iş faaliyetlerini kesintisiz sürdürebilmesi için gerekli planlamanın yapılarak, test edilmesi yönetimidir.

7 – SIEM (Security Information and Event Management) ve Loglama (LOG Yönetimi)

Kişisel Verilerin Korunması Kanunu için bilgi güvenliği çok önemlidir. Bu nedenle kuruluşlar Loglama ve SIEM konularına önem vermeli, veri güvenliği ile ilgili olayları tek bir noktadan yönetmek, analizlerini gerçekleştirmek ve gerektiğinde aksiyon almayı sağlamalılar.

8 – ISO 27001 

Kuruluşların bilgi güvenliği çerçevelerini geliştirirken kullanacakları resmi bir kılavuz seti olarak görebiliriz. Amaç güvenlik hedeflerine ulaşmak için yasalara, düzenlemelere uyarak kontrolleri belirlenen süreç içinde bunları uyarlamaktır.

Kuruluşların KVKK uyumluluğunu tamamlarken ISO 27001 Bilgi Güvenliği standardını göz ardı etmemeli. ISO 27001 in de KVKK ile entegre olması zorunludur.

• Siber Güvenlik
• Firewall (UTM)
• Ağ Teknolojileri
• Bütünleşik Güvenlik Hizmeti
• Web ve Uygulama Filtreleme
• Firewall Teknik Destek