BT Danışmanlığı (Bilişim Teknolojileri)

BT Danışmanlığı (Bilişim Teknolojileri)

KVKK (Kişisel Verileri Koruma Kanunu) teknolojiden faydalanarak yapay zekanın, internetin, blokzincirin (blockchain), büyük verinin konuşulduğu, dijital dönüşüm süreçlerinin gün geçtikçe hız kazandığı bir dünyada hem şirketinizi hem ilgili kişilerin hak ve özgürlüklerini korumayı amaçlar. Global KVKK olarak biz de IT Danışmanlığı kapsamında şirketiniz için uygun çözümler önererek doğru stratejiler geliştirilmenize destek oluyoruz.

Günümüzde siber tehditlerin artmasından ve yasal uyumluluk süreci sebebiyle iş dünyasında bilgi güvenliği çok önemli bir noktaya gelmiştir. Gelişen teknolojilere bağlı olarak Bilişim Teknolojileri alanında güvenliği arttırmak amacıyla riskli durumlar analiz edilmeli ve sürekli iyileştirmeler yapılması gerekir. Bu doğrultuda değerlendirilmesi gereken konular aşağıdaki gibidir.

IT SÜREÇLERİNİN ANALİZİ

IT Danışmanlığı kapsamında uzmanlarca sorgulama ile kurumun mevcut teknik alt yapısı, veri güvenliği, kişisel verilerin nasıl saklandığı, erişildiği ve silindiği KVKK hukuki açıdan denetimine uygunluğu incelenir.

Riskli görülen yapılarla karşılaşılırsa veri yönetimi önerisinde bulunulur. Bu teknik donanımlar hukuki açıdan da desteklenmelidir. Bu kapsamda Global KVKK olarak hizmet verdiğimiz konular arasında;

  1. Kurum için kontrol sistemlerinin uygun bir şekilde işlemesini sağlayan sistemi oluşturmak,
  2. Kişisel veri güvenliği ile ilgili süreçlerinizde yardımcı olmak,
  3. Veri sorumlusunun iş planlarına göre bunları entegre etmek,
  4. Risk değerlendirmesi süreçlerinde danışmanlık yapmak,
  5. Kritik risklerin tespitini yapmak,
  6. Acil durum planı hazırlanma sürecinde destek olmak,
  7. Kurum içinde kişisel veri ve bilgi güvenliği eğitimlerinin düzenlemek yer alır.

VERİ İŞLEME, AKTARMA VE İMHA POLİTİKALARININ BELİRLENMESİ

KVKK kapsamında kurumların mevzuata uyarak teknik açıdan yükümlülüklerini yerine getirebilmeleri için teknolojik çözümlerden yararlanmaları gerekir. BT Danışmanlığı bu uyum sürecinde kurumunuz için olmazsa olmaz.

1 – VERİNİN SINIFLANDIRILMASI

Verilerin verimli bir şekilde kullanılabilmesi, korunabilmesi için ilgili kategorilere göre düzenlenmesi sürecidir. Veri erişimini kolaylaştırdığı gibi risk yönetimi uyumluluk veri güvenliği için önemlidir.

2 – VERİLERİN AKTARILMASI (3.ŞAHIS VEYA YURT DIŞI)

Kişisel veriler ilgili kişinin açık rızası olmaksızın 3.şahıslara, kurumlara ve yurt dışına aktarılamaz. Ancak bazı şartlarda açık rıza aranmaksızın kişisel verilerin aktarılması mümkündür:

  • 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasında Madde-5/2 belirtilen şartlardan birinin bulunması hâlinde,
  • Yeterli önlemler alınmak kaydıyla, kanunun Madde-6/6 belirtilen şartlardan birinin bulunması hâlinde.

Yurt dışına aktarılmasında ayrıca ilgili ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin olması halinde yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

3- VERİNİN ŞİFRELENMESİ, ANONİM HALE GETİRİLMESİ

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Maskeleme: Kişisel verilerin belli alanlarının yok edilmesidir. Örneğin, kişinin kimlik numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur. (26******* 7 vb.)

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.

4 – VERİLERİN SİLİNMESİ / İMHA EDİLMESİ

Hazırlanmış bir politikaya bağlı kalarak Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süre sonunda verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

TEKNİK TEDBİRLER KAPSAMINDA DİJİTAL STRES TESTLERİNİN ORGANİZE EDİLMESİ

Kişisel veriler günümüzde sunucular (server), ağlar (network), dijital kameralar, bilgisayarlar, veri tabanları (database), web siteleri gibi bir çok dijital ortamda kayıt altına alınmış durumdadır. Bu noktada kişisel veriler dijital kayıtlarda savunmasızdırlar. Dijital kayıtların, kurumunuzun gereksinim duyduğu sürece kullanılabilmesi ve güvence altına alınabilmesi için bazı stratejilerin belirlenmesi gerekir. BT Danışmanlığı kapsamında süreç içinde sizi bu konuda da yönlendiriyoruz.

SIZMA TESTLERİNİN ORGANİZE EDİLMESİ (PENETRATİON TESTS)

Kişisel verilerin güvenlik açığından yararlanılarak kötü amaçlar için kullanılmak üzere ele geçirilmesi durumunda (verilerin sızdırılması) şirketlerin itibarları ciddi şekilde zarar görür. Aynı zamanda bu durum cezaları da beraberinde getirebilir. Veri sızıntısı noktaları tespit edilerek, veri koruma önlemlerin alınması, testlerin belirli peryod / dönemlerde tekrarlanması ve raporlanması gerekir. Bu şekilde kurum sistemi güvenilir hale getirilir ve bu kurum için çok önemlidir.

İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA EDİLMESİNİN SAĞLANMASI

Veri Sorumluları, VERBİS’ne (Veri Sorumluları Sicil Bilgi Sistemi) kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) TEKNİK UYUMLULUK ÇÖZÜMLERİNİN BELİRLENMESİ

Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri içeren tüm bilişim teknolojisi sistemlerinin online gelebilecek her türlü tehdidine karşı korunması zorunlu hale getirilmiştir. Bu kapsamda önerilen asgari teknik tedbirler arasında;

1 – Kimlik Doğrulama ve Erişim Yönetimi

Kimlik doğrulama işlemi için kullanıcının girdiği kimlik bilgilerinin kullanılan veri tabanındaki bilgilerle eşleştirilmesi ile yapılır. Eşleşme sağlanarak erişim izni alan kişi kendisine tanımlanan yetkilerle sınırlı olarak sistemi kullanabilir.

2 – Uç Nokta Yönetimi

Dizüstü, masaüstü bilgisayarlar, cep telefonları, tabletler, sunucular ve sanal ortamların tümü uç nokta olarak kabul edilebilir. Ağ bağlantısı olan her aygıt güvenlik ihlalleri için potansiyel bir risk taşır. Bu nedenle ağdaki her bir aygıtı ve iletişim ağını güvenlik sistemleri ile korumak için yöntemler kullanılmalıdır.

3 – Dosya Sunucusu Yönetimi (File Server)

Dosya sunucusu veri dosyalarının depolanmasını ve aynı ağdaki diğer bilgisayarlardan herhangi bir fiziksel ortama aktarmadan veri dosyalarına erişimi sağlayan merkezi bir bilgisayardır. Yönetiminde çeşitli uygulamalar kullanılır.

4 – Kurumsal Mail Yönetimi

Kurumlarda şirket uzantılı mail hesapları kullanmak güvenlik açısından en önemli unsurlardan biridir

5 – Yedekleme Yönetimi

Kurum içi verilerin yanlışlıkla silinmesi, uygulamaların çökmesi, sunucu aksaklıkları ve verilerin geri alınamaz sayısız diğer yollara karşı yedeklenmesi ve gerektiğinde geri yüklenmesi iş devamlılığı ve verimliliği için önemlidir. Veri kurtarma strateji belirleyerek gerekli yöntemleri içeren sistemler kullanılmalıdır.

6 – İş Sürekliliği

Kuruluşun bir felaketin ardından (sel, yangın vb.) farklı araçlar ve süreçler ile gerektiğinde başka bir yerde iş faaliyetlerini kesintisiz sürdürebilmesi için gerekli planlamanın yapılarak, test edilmesi yönetimidir.

7 – SIEM (Security Information and Event Management) ve Loglama (LOG Yönetimi)

Kişisel Verilerin Korunması Kanunu için bilgi güvenliği çok önemlidir. Bu nedenle kuruluşlar Loglama ve SIEM konularına önem vermeli, veri güvenliği ile ilgili olayları tek bir noktadan yönetmek, analizlerini gerçekleştirmek ve gerektiğinde aksiyon almayı sağlamalılar.

8 – ISO 27001 

Kuruluşların bilgi güvenliği çerçevelerini geliştirirken kullanacakları resmi bir kılavuz seti olarak görebiliriz. Amaç güvenlik hedeflerine ulaşmak için yasalara, düzenlemelere uyarak kontrolleri belirlenen süreç içinde bunları uyarlamaktır.

Kuruluşların KVKK uyumluluğunu tamamlarken ISO 27001 Bilgi Güvenliği standardını göz ardı etmemeli. ISO 27001 in de KVKK ile entegre olması zorunludur.

KANUN KAPSAMINDA VERİLERE İLİŞKİN DİĞER GÜVENLİK TEDBİRLERİNİN BELİRLENMESİ VE ORGANİZE EDİLMESİ

  • Siber Güvenlik
  • Firewall (UTM)
  • Ağ Teknolojileri
  • Bütünleşik Güvenlik Hizmeti
  • Web ve Uygulama Filtreleme
  • Firewall Teknik Destek

HEMEN BİZE ULAŞIN

Size yardımcı olmak için en kısa zamanda dönüş sağlayacağız.