Veri Koruma Kanunları Kapsamında Güvenlik Kontrolleri


Artık, size emanet edilen kişisel verileri; “bir gün okurum, şöyle kenarda dursun…” tadındaki e-booklarınızla bir tutamazsınız.

  • AJANDA
    • GİRİŞ
    • İşletmeniz için tehditleri ve riskleri değerlendirin.
    • Bilgi teknolojileri mi kullanıyorsunuz Siber Güvenlik Unsurları ile Uyumlu Olun.
    • Verilerinizi hareket halindeyken ve ofiste fiziksel olarak koruyun.
    • Verilerinizi bulutta güvenli tutun
    • Verilerinizi yedekleyin ve stratejiniz olsun
    • Personelinizi eğitin
    • Sorunlara dikkat edin 
    • Refleks Geliştirin: Ne yapmanız gerektiğini bilin, hazırlıklı olun
    • Veri minimizasyonu yapın
    • Yüklenicinizin olması gereken şeyi yaptığından emin olun

Bu makalemizde gerek lokal gerekse global veri koruma yasalarının olmazsa olmazlarından, “Güvenlik Kontrolleri”nin küçük ve orta ölçekli organizasyonlarda (SME) da nasıl uygulanabileceğine değineceğiz.

KVKK ve GDPR kapsamında firmaların, topladıkları ve kullandıkları kişisel verileri hukuka aykırı olarak erişilmesini, işlenmesini engellemek ve uygun güvenlik kontrolleri ile koruma yükümlülüğü bulunmaktadır. Kişisel verilerin yanlışlıkla ya da bilinçli olarak ihlal edilmesine karşı korunması söz konusu yükümlülük kapsamına girmektedir.

Bugüne kadar verilerin korunmasına yönelik yapılması gerekenler ve alınması gereken önlemler konusu birçok kereler yazılıp çizildi. Özellikle büyük ölçekli firmaların veri koruma kanunları öncesinde de değerli verilerini koruma gereksinimleri nedeniyle, bu konuda hazırlıklı olduğu tahmin edilebilir ancak kanunlardaki tanımı ile “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”nin korunması gerekliliği küçük ve orta büyüklükte işletmelere (KOBİ/SME) de uymaları gereken birtakım sorumluluk ve yükümlülükler getirmektedir. Zira bu verilerin korunmasının herhangi bir şekilde ihlali durumunda bu tip firmaların da, yasa kapsamında ceza alabileceği gibi itibar kaybına da uğrayabileceği aşikardır. Kişisel verileri koruma kanunları ile uyumluluk bağlamında; BT sistemlerini güvenli ve emniyetli bir şekilde tutmak için çeşitli büyüklükteki organizasyonların genel olarak uygulayabileceği (bunlarla sınırlı kalmamak üzere) 10 temel başlığı ele almak isteriz. 

1.  İşletmeniz için tehditleri ve riskleri değerlendirin. 

Yapılması gereken ilk çalışma, bünyeye göre ilaç prensibi veya atılan taşın ürkütülen kurbağaya değip değmeyeceği meselesidir yani uygulanması ihtiyaç duyulan güvenlik düzeyinin belirlenmesidir. Öncelikli olarak yapılan işe ve kullanılan kişisel verilere yönelik risk ve tehditler; envanteri çıkarılmış veriler üzerinde gerçekleştirilen tüm işlemler dikkate alınarak belirlenmelidir. Kişisel verilerin toplanması, saklanması, kullanılması ve imhası esnasında maruz kalabilecekleri farklı risk ve tehditlerden söz etmek mümkündür. Uygulanacak güvenlik düzeyinin tespitinde bu konuların yanı sıra kişisel verilere ilişkin parametreler de dikkate alınmalıdır. Kişisel verilerin değeri, hassasiyeti, gizlilik derecesi ve ihlali durumunda ilgili kişilerin etkilenme olasılığı bulunan zararlar, güvenlik düzeyinin belirlenmesinde firmalara yol gösterecektir. 

2. Bilgi teknolojileri mi kullanıyorsunuz (kullanmayan kaldı mı?) : Siber Güvenlik Unsurları ile Uyumlu Olun.

Örnek verecek olursak; Microsoft boşu boşuna onlarca hatta yüzlerce maaşlı mühendis çalıştırıp yama çıkarmaz, teşbihte hata olmasın, ortada kanla yazılmış acılı dersler veya basına yansımamış zararlar vardır.Benzer şekilde IT sistemleri kullanıyor iseniz, siber güvenliğin olmazsa olmazlarının sağlanmasına dikkat ediniz, binlerce firma siber güvenlik ürünlerini boşuna üretmiyor. Kötü haber ise ne yazık ki herhangi bir organizasyonu her yönüyle koruma altına alacak (terzi usulü) tek bir güvenlik ürün kalıbı bulunmamaktadır. Günümüzde veri güvenliğinin sağlanması için önerilen yaklaşım, birbirini tamamlayan bir dizi güvenlik kontrolünü kullanmaktır, ancak birinci maddede bahsettiğimiz uygun güvenlik düzeyini korumak ve yaşatmak için sürekli destek gerekir.

Derinlemesine katmanlı güvenlikte ilk savunma hattı, internetten gelecek izinsiz girişlere karşı oluşturulmalıdır. Güçlü, iyi konfigüre edilmiş ve patchlenmiş bir güvenlik duvarı, sisteme yapılacak sızıntıların önüne geçebilecek, internet gateway’i ise içerideki kullanıcıların uygunsuz web sitelerine girmelerini veya güvensiz online servisleri kullanmalarını önleyebilecektir.

Alınması gereken bir başka tedbir ise güvenli yapılandırma (konfigürasyon)dır. Tüm donanım ve yazılımların etkin bir koruma için güvenli bir yapılandırmaya, konfigürasyona ihtiyacı bulunmaktadır. Zafiyetlerin azaltılması için kullanımı sonlandırılmış servis ve yazılımların kaldırılması önerilmektedir. Kullanılmayan yazılım ve servislerin kaldırılması, güncel tutulmaya çalışılmasından çok daha verimli bir yaklaşım olacaktır. Ayrıca varsayılan şifrelerin değiştirilmesi de unutulmamalıdır.

Güvenliğin sağlanması, erişimin kontrol altına alınmasını ya da sınırlandırılması da gerektirir. Kişisel verilere yalnız izin verilen kullanıcılar ya da cihazlar tarafından erişilmesi ve bunların parola ile korunması kişisel verilere erişim alanlarına giden yolların kontrolünü de sağlayacaktır. Bu noktada kaba kuvvet (brute force) ataklarını önleme amacıyla güçlü ve kompleks parola kullanımı önem kazanmaktadır. Buna ek olarak hatalı giriş denemelerinin sayıca kısıtlanması, alertler üretilmesi ve düzenli olarak parola değişiminin zorunlu tutulması, online saldırganların işini önemli oranda zorlaştıracaktır. Tabi ki işten ayrılan kişilerin parolalarının iptal edilmesi, bu kişiler ayrıcalıklı kişiler ise kontrollerindeki ve potansiyel erişimlerindeki tüm sistemlerin şifrelerinin değiştirilmesi konusu da atlanmamalıdır.

Veriler karşısındaki bir başka tehdit ise zararlı yazılımlardır. Bu tür yazılımlara karşı anti-virüs ya da anti-malware yazılımları her ne kadar eski çözümler gibi görünse de yine bu temel ve yeni nesilleri de olan çözüm kategorileri ile koruması ve düzenli tarama yapılması ve buradan gelen ikazlara karşı tetikte bulunulması şarttır. Zira zararlı yazılımların hangi kaynaktan, ne zaman geldiği ya da geleceği belli olmamaktadır.

Güvenlik kontrollerinin son ayağının patch yönetimi ve yazılım güncellemeleri olduğu söylenebilir. Bilgisayar ekipman ve yazılımlarının sorunsuz çalışabilmesi ve güvenlik zafiyetlerinin bertaraf edilebilmesi için düzenli bakıma ihtiyacı bulunmaktadır. Özellikle sıfır gün ataklarının önlenebilmesi zordur ama en az zarar ile atlatılabilmesi bir seçenektir ve bunun için güncellemelerin düzenli olarak gerçekleştirilmesi gerekmektedir. Aynı şekilde içsel geliştirilebilecek korelasyon kurguları ile anomali tespiti bu yönde proaktif yaklaşımlardandır. 

3. Verilerinizi hareket halindeyken ve ofiste fiziksel olarak koruyun.

Kişisel verilerin korunması için dikkat edilmesi gereken bir başka nokta ise verilerin tutulduğu yer ile ilgilidir. Ofis içindekiler kadar e-posta ya da posta yoluyla gönderilen kişisel verilerin de güvenliğinin sağlanması gerekmektedir. Ayrıca bu konuda dikkat edilmesi gereken tehdit ve riskler internet odaklı olabileceği gibi fiziksel mekan kaynaklı da olabilir. Kişisel verilerin tutulduğu cihazlar ve mekan, ağ bileşenleri arasındaki açık noktalar, ofis dışında kullanılan cihazlar, e-posta ya da posta yolu ile gönderim ve ağa bağlanan yabancı cihazlar gibi birçok durum, risk unsurları açısından değerlendirilmelidir.

Verilerin kağıt üzerinde ya da soft ortamda bulunmalarından bağımsız olarak, ofis içi güvenliğin sağlanması zaruridir. Veriler, korunaklı ve ayrı lokasyonlarda saklanmalı, yedekleme cihazları denetimsiz bırakılmamalı ve kullanılmadığı esnada kilit altında tutulmalıdır. Kişisel veriler mümkün olduğunca kişisel cihazlar üzerinde bulundurulmamalı, mutlaka bulundurulması gerekiyorsa uygun erişim kontrolleri ve şifreleme yöntemleri ile güvence altına alınmalıdır.

Tam disk şifreleme (full disk encryption), dosya şifreleme (file encryption) ya da güçlü parola koruması gibi yöntemler dikkate alınabilir ancak bazı yazılımların parola korumalarının yalnızca verilerin değiştirilmesine karşı koruma getirdiği ve verinin okunmasını önlemediği akıldan çıkarılmamalıdır. Kişisel verilerin yetkisiz ya da izinsiz olarak ifşasının KVKK ve diğer global veri koruma kanunları kapsamında, ihlal kabul edildiği düşünülecek olursa, bu durum önemli risk yüzeyi oluşturur.

Uzaktan bağlantı gerekliliği durumunda ise, kullanılacak mobil cihazların uzaktan devre dışı bırakma ya da silme (wipe) özelliklerinin bulunması, hırsızlık ve kayıp durumlarına karşı uygun bir tedbir olacaktır. Personelin kendini cihazlarını iş yerinde kullanma talepleri için de belirli güvenlik kriterlerinin düzenlenmesi faydalı olacaktır.

4.  Verilerinizi bulutta güvenli tutun

Günümüz akıllı telefon ve tabletleri bulut bilişim tabanlı birçok online servis içermekte ve bu da ister istemez verilerin bulut sistemleri üzerinde işlenmesine yol açmaktadır.

Bulut sistemleri firma ağının dışında bir alan olduğundan burada bulunan ve işlenen kişisel verilerin güvenliği için ayrı bir değerlendirme yapılması gerekmektedir. Bulut sağlayıcısının ne tür güvenlik önlemleri ve standartları kullandığı konusu da bu noktada önem kazanmaktadır. Bulut sağlayıcısının sağladığı güvenlik düzeyi ne olursa olsun, burada size özel hangi tür verilerin saklandığının takip edilmesi önemlidir. Yedekleme ve senkronizasyon servisleri varsayılan olarak etkinleştirilmiş olması başka güvenlik açıklarına yol açabilir.Bu tür durumlarda verilere uzaktan erişim için iki kademeli kimlik doğrulama yöntemlerinin kullanılması önerilir.

5. Verilerinizi yedekleyin ve stratejiniz olsun

Belirli bir amaç ya da amaçlar için toplanan ve işlenen verilerin kullanıma uygun halde ve güvenli olarak tutulması büyük önem taşımaktadır. Yangın, sel gibi afet durumlarında ya da fidye yazılımı gibi olası zararlı yazılım ataklarına maruz kalınması halinde kişisel verilerin hızla yeniden kullanılabilir hale getirilmesi gerekmektedir. Kişisel verilerin kaybedilmesi de Kanunun ihlali olarak kabul edildiği unutulmamalıdır. Bu noktada yedekleme stratejisi bu risklere karşı dayanıklı bir şekilde oluşturulmalıdır.

Yedekler, ağdaki herkesin erişimine açık olmamalı, bu şekilde tutulması gerekiyorsa da zararlı yazılımlar ve kazara silinmelere karşı şifrelenmelidir. Yedeklerden en az birinin tesis dışında ve yeteri kadar uzak bir lokasyonda tutulması doğru bir yaklaşım olacaktır.

6.  Personelinizi eğitin

Kişisel verilere yönelik riskler çeşitli olabilir ancak ne kadar güvenlik önlemi alınırsa alınsın, çalışanların siber güvenlik konusundaki bilgi eksikliği çok pahalıya mal olabilir. Kişisel verilerin kazara ifşa edilmesi, yasanın ihlali anlamına geleceğinden, bir e-postanın yanlış kişiye gönderilmesi ya da zararlı yazılım içeren bir e-posta ekinin açılması KVKK ile uyumluluğa yönelik riskler arasında değerlendirilmelidir. Bu duruma karşı en önemli tedbir, ekibin eğitiminden geçer. Her düzeydeki çalışanların, görev ve sorumluluklarının farkında olması, kuruluş içinde genel güvenlik farkındalığının oluşturulması başlangıç adımı olacaktır. Zaten günümüzde bu konu ile ilgili sözleşmelere konulan maddelerde bu konuların revaçta olduğunu görmekteyiz.

Öncelikle çalışanlar, e-posta sistemlerine yönelik phishing ve diğer zararlı yazılımları tanıyacak düzeyde eğitilmeli, güvenlik risklerinin tanımlanabildiği bir şirket kültürü oluşturulmalıdır. Tehdit ve riskler sürekli biçim değiştirdiğinden bu konudaki gelişmeler kuruluş içi iletişim yolları ile güncel olarak personele aktarılmalıdır.

7.  Sorunlara dikkat edin 

Tüm bu önlemler alınmış olsa dahi sistemlere yapılan siber ataklar ya da yüklenen zararlı yazılımlar uzun süre fark edilmeyebilir. Birçok insan saldırılara ait sinyalleri gördükleri halde anlamayabilir. Böyle bir durumun uzun süre farkında olmamak, istenmeyen sonuçlara yol açabilir. Bu olasılığı en aza indirmek için güvenlik yazılımı mesajları, erişim kontrol kayıtları ve diğer raporlama sistemleri düzenli olarak izlenmeli, izleme cihazlarının alarmlarına dikkat edilmelidir. Ağda çalışan cihaz ve yazılımların tam bir envanteri tutulmalı, olmaması gerekenler belirlenmelidir. Herhangi bu tür bir atağın gerçekleşmeden önlenmesi içinse düzenli zafiyet ve sızma testleri gerçekleştirilmelidir.

8. Ne yapmanız gerektiğini bilin, hazırlıklı olun

Bazı kuruluşlar, ellerindeki olanakları yeterince doğru bir şekilde kullanamadığında, bir sorunu tespit etmeleri mümkün olmayabiliyor, sorunu tespit etseler bile ne yapacaklarını bilemeyebiliyorlar. Bu noktada iyi bir politika risklerin tutarlı bir şekilde tespit edilmesini sağlayabilir, doğru bir olay yönetim planı ve uygulanması için testler yapılması, bireyler için oluşabilecek zararları en aza indirebilir.

Politika ve olay yönetim planının doğru oluşturulması için öncelikle firma bünyesinde tutulan kişisel verilerin ve uygulanan koruma yöntemlerini gözden geçirilmesi yol gösterici olacaktır. Bu noktada sektörel kurallar ve diğer yasal gerekliliklerle uyumluluk konusu mutlaka dikkate alınmalıdır.

Bu tespitlerden sonra; halihazırda uygulanan kontroller ve geliştirilmesi gereken yönler tespit edilmelidir. Farklı kişisel veri kategorilerine yönelik riskler ve bu verilerin ihlali durumunda ortaya koyulması gereken güvenlik yaklaşımları da farklı olabilir.

Tüm bu durumların ilgili politikaya yansıtılması ve çalışanların bu konularda etkin bir şekilde haberdar edilmesi ve eğitilmesi kanunlar ile uyumluluk gerektiren durumlar için yüksek önem taşımaktadır.

9.  Veri minimizasyonu yapın

Artık, size emanet edilen kişisel verileri; “bir gün okurum, şöyle kenarda dursun…” tadındaki ebooklarınızla bir tutamazsınız! Kanun uyarınca kişisel verilerin doğru ve güncel olması, gerektiğinden daha uzun süre saklanmaması gerekmektedir. Ancak, zaman içinde toplanan yüksek miktarda kişisel veri güncelliğini ya da geçerliliğini kaybetmiş ya da ilgili ihtiyaç ortadan kalkmış olabilir.

Kanun ile uyumsuzluğa düşmemek için tutulan kişisel verilerin sürekli gözetim altında tutulması gerekmektedir. Veriye halen ihtiyaç duyulup duyulmadığına karar vermek ve gerekiyorsa doğru ve güvenli bir yerde saklanmasını sağlamak gerekmektedir. İhtiyacın ortadan kalkmış olması halinde ise veri imha politikasına uygun olarak bir yazılım ve/veya uzmanı desteği ile güvenli olarak silinmesi gerekecektir.

10. Yüklenicinizin olması gereken şeyi yaptığından emin olun.

Gerek küçük gerekse büyük işletmelerin birçoğu, BT ihtiyaçlarını üçüncü taraf yüklenicilere delege etmektedir. Böyle bir durumda söz konusu firmaların, kişisel verilerin güvenliğine yaklaşımlarının işveren firma ile aynı olması büyük önem taşımaktadır. Buradaki farklılıklar Kanun ile uyumsuzluk noktasına düşülmesine neden olabilir.

Bu tür bir durumda kalmamak için veri içeren sistemler üzerinde güvenlik denetimi talep etmek doğru olacaktır, bu sayede adreslenmesi gereken zafiyetler belirlenebilir. BT hizmet sağlayıcısının kendi güvenlik değerlendirmelerinin gözden geçirilmesi de bir başka yol gösterici yöntem olacaktır. Ayrıca BT hizmet sağlayıcısının tesislerinin fiziksel durumu da daha önce söz edilen fiziksel risklerin karşılanması açısından önem taşımaktadır. KVKK ve benzeri kanunlardan doğan yükümlülüklerin, yazılı sözleşmelerle BT hizmet sağlayıcısı tarafından da bağlayıcı olması gerekebilir.

Burada dikkat edilmesi gereken bir başka nokta ise, atılacak ya da geri dönüşümde kullanılacak ekipman üzerinde bulunan kişisel verilerdir. Bunların yetkisiz kişilerin eline geçmesini ya da kaybolmasını önlemek firmanın olduğu kadar BT hizmet sağlayıcısın da sorumluluğunda olmalıdır. Nihayetinde BT hizmet sağlayıcısının; gerektiği ve taahhüt ettiği gibi davrandığından emin olunması sözleşmeyi yapan esas firmanın sorumluluğundadır.


“Etkin bir kişi olmak için edinmeniz gereken beş beceri ya da pratik şunlardır:

– Zamanınızı yönetmek,

– Çabalarınızı bir katkıya dönüştürmek,

– Güçlü yanlarınızı üretken kılmak,

– En önemli görevlere yoğunlaşmak,

– Etkin kararlar almak”

Peter F.Drucker