Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri içeren tüm bilişim teknolojisi sistemlerinin online gelebilecek her türlü tehdidine karşı korunması zorunlu hale getirilmiştir. Bu kapsamda önerilen asgari teknik tedbirler arasında;
1 – Kimlik Doğrulama ve Erişim Yönetimi
Kimlik doğrulama işlemi için kullanıcının girdiği kimlik bilgilerinin kullanılan veri tabanındaki bilgilerle eşleştirilmesi ile yapılır. Eşleşme sağlanarak erişim izni alan kişi kendisine tanımlanan yetkilerle sınırlı olarak sistemi kullanabilir.
2 – Uç Nokta Yönetimi
Dizüstü, masaüstü bilgisayarlar, cep telefonları, tabletler, sunucular ve sanal ortamların tümü uç nokta olarak kabul edilebilir. Ağ bağlantısı olan her aygıt güvenlik ihlalleri için potansiyel bir risk taşır. Bu nedenle ağdaki her bir aygıtı ve iletişim ağını güvenlik sistemleri ile korumak için yöntemler kullanılmalıdır.
3 – Dosya Sunucusu Yönetimi (File Server)
Dosya sunucusu veri dosyalarının depolanmasını ve aynı ağdaki diğer bilgisayarlardan herhangi bir fiziksel ortama aktarmadan veri dosyalarına erişimi sağlayan merkezi bir bilgisayardır. Yönetiminde çeşitli uygulamalar kullanılır.
4 – Kurumsal Mail Yönetimi
Kurumlarda şirket uzantılı mail hesapları kullanmak güvenlik açısından en önemli unsurlardan biridir
5 – Yedekleme Yönetimi
Kurum içi verilerin yanlışlıkla silinmesi, uygulamaların çökmesi, sunucu aksaklıkları ve verilerin geri alınamaz sayısız diğer yollara karşı yedeklenmesi ve gerektiğinde geri yüklenmesi iş devamlılığı ve verimliliği için önemlidir. Veri kurtarma strateji belirleyerek gerekli yöntemleri içeren sistemler kullanılmalıdır.
6 – İş Sürekliliği
Kuruluşun bir felaketin ardından (sel, yangın vb.) farklı araçlar ve süreçler ile gerektiğinde başka bir yerde iş faaliyetlerini kesintisiz sürdürebilmesi için gerekli planlamanın yapılarak, test edilmesi yönetimidir.
7 – SIEM (Security Information and Event Management) ve Loglama (LOG Yönetimi)
Kişisel Verilerin Korunması Kanunu için bilgi güvenliği çok önemlidir. Bu nedenle kuruluşlar Loglama ve SIEM konularına önem vermeli, veri güvenliği ile ilgili olayları tek bir noktadan yönetmek, analizlerini gerçekleştirmek ve gerektiğinde aksiyon almayı sağlamalılar.
8 – ISO 27001
Kuruluşların bilgi güvenliği çerçevelerini geliştirirken kullanacakları resmi bir kılavuz seti olarak görebiliriz. Amaç güvenlik hedeflerine ulaşmak için yasalara, düzenlemelere uyarak kontrolleri belirlenen süreç içinde bunları uyarlamaktır.
Kuruluşların KVKK uyumluluğunu tamamlarken ISO 27001 Bilgi Güvenliği standardını göz ardı etmemeli. ISO 27001 in de KVKK ile entegre olması zorunludur.