KVKK Teknik Tedbirler

TEKNİK TEDBİRLER

Yetki Matrisi: Kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır.


Yetki Kontrol: Yetki matrisine bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.


Erişim Logları: Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulmasıdır.


Kullanıcı Hesap Yönetimi: Çalışanlar, kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlamalıdır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük ve küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır.


Ağ Güvenliği: İnternet ağ geçidi, çalışanların kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.


Uygulama Güvenliği: Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.


Şifreleme: Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.

Sızma Testi: Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.


Saldırı Tespit ve Önleme Sistemleri: Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Güçlü şifre ve parola kullanımının yanı sıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir.


Log Kayıtları: Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulmasıdır.


Veri Maskeleme: Veri maskeleme kurumsal network de bulunan gizli ve hassas olarak sınıflandırılmış verilere yetkisiz kişiler tarafından erişilmesini engellemek amacıyla anlaşılmaz hale getirilmesidir. Veri maskeleme statik veri maskeleme (SDM) ve dinamik veri maskeleme (DDM) ve anında veri maskeleme (on a fly) olmak üzere 3 şekilde yapılabilir.


Veri Kaybı Önleme Yazılımları: DLP (Data Loss/Leak Prevention – Veri Kaybı/Sızıntısı Önleme) network güvenlik alanında nispeten yeni sayılan ve gittikçe kullanımı artan bir veri koruma çeşididir. DLP yazılımları ile sisteminizden istenmeyen verinin çıkışını önleyebilir ya da belirlediğiniz dosyaların kullanım durumlarını izleyebilirsiniz.


Yedekleme: Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.


Güvenlik Duvarları: İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir.


Güncel Anti-Virüs Sistemleri: Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır. Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.


Silme, Yok Etme veya Anonim Hale Getirme: ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.


Anahtar Yönetimi: Anahtar yönetimi, bir kripto sisteminde şifreleme anahtarlarının yönetimidir. Bu yönetim, anahtarların yer değişimi, kullanımı, depolanması, değiş tokuşu ve üretimi ile ilgilenir.

GAP ANALİZİ (Mevcut Durum Analizi)


GAP Analizi potansiyel ve gerçek durumu ölçmek ve karşılaştırmak için bir araçtır.

GAP Analizi firmanın belli dönemlerde gerçek performansı ile beklediği performansını karşılaştırma analizidir. Süreçlerinize dair risklerin tespit edilmesi ve kuruluşunuzu denetlenebilir seviyeye getirebilmek adına nelerin gerekeceğini ortaya çıkarılması gerekmektedir.


Mevcut Risk ve Tehditlerin Belirlenmesi

Veri sorumlusu öncelikle islenen tüm kişisel verilerin neler olduğunu kaydetmelidir ve bu kişisel verilerin korunmasına ilişkin ortaya çıkabilecek riskleri belirleyerek buna uygun olarak tedbirler almalıdır.

Risk grupları önceliğine göre belirlenip risklerin azaltılması yahut ortadan kaldırılmasına yönelik teknik ve idari tedbirlerin sırasıyla alınması gerekmektedir.


Teknik Dokümanların Hazırlanması

GAP Analizi ve Risk Analizi gerçekleştirildikten sonra firma içerisindeki teknik politika ve prosedürler incelenerek KVKK kapsamında gerekli dokümanların (yetki matrisi, kriptografik anahtarlama, parola güvenliği. Fiziksel mekân güvenliği, kabul edilebilir kullanım politikası vb.) hazırlanmasıdır.


Konuyla ilgili sorunlarınıza çözüm bulmak ve daha detaylı bilgi almak için kvkk@optimumsiber.com adresinden bizlere ulaşabilirsiniz.