BiznetBiznet

Kişisel Veri Güvenliği için Teknik – İdari Önlemlere Merhaba

Yazar: Onur Arıkan

Bir süredir merakla beklenen ve Kişisel Verilerin Korunması Kanunu’nda söz edilen ama neler yapılması gerektiği belirtilmeyen teknik ve idari önlemlerin anlatıldığı Kişisel Veri Güvenliği rehberi Ocak-2018’de nihayet yayınlandı. Bu yazımızda rehbere hızlıca göz atalım istedik.

Kişisel Veri Güvenliği Rehberi’ne http://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf adresinden ulaşabilir ve veri sorumlularının alması gereken teknik ve idari tedbirlere ilişkin yöntemler hakkında bilgi edinebilirsiniz.

Rehbere bakınca, Kişisel Verilerin Korunması (KVK) Kurulu’nun risk temelli bir yaklaşımı dikkate aldığını söyleyebiliriz. Risk bazlı yaklaşımda veri envanterinin çıkartılması, özel nitelikli kişisel verilerin ayrıca tespit edilmesi, bu verilerin gizlilik seviyelerine göre sınıflandırılması ve bu verilerin başına bir olay geldiğindeki zararın ne olabileceğinin belirlenmesi ana adımlar olarak sıralanabilir. Risk analizinin uluslararası diğer standartlarca kabul görmüş metodolojilere göre yapılması, çalışmanın yalnız KVK için değil diğer regülasyonlar (ISO-27001, BDDK, EPDK, PCI DSS, vb.) için de kullanılmasına olanak sağlayacaktır.

Risk analizi sonucunda alınacak önlemlerin bir kısmı maliyetsiz ya da çok düşük maliyetli önlemler de olabilir.

Eğitim ve Farkındalık Şart

Zincir en zayıf halkası kadar güçlüdür yaklaşımından yola çıkarak çalışan herkesin kişisel veri güvenliğine ilişkin rol ve sorumlulukların bilincinde olmasını sağlamak gerekmektedir. Bunun en iyi yolu bilgi güvenliği farkındalık programlarıdır. Unutulmamalıdır ki, güvenlik politika ve prosedürleri değişebilir. Bu yüzden eğitim ve farkındalık programlarının belli aralıklarla tekrarlanıyor olması gerekir.

İzin Verilmedikçe Herşey Yasaktır

Bir kötü polis yaklaşımı gibi gözükse de, Gerektiği Kadar Bilgi – Gerektiği Kadar Yetki (Need to Know) prensibi güvenliğin olmazsa olmaz bileşeni olarak KVK güvenlik rehberinde de yer almaktadır.

Gerekmeyen Kişisel Verilerden Kurtulmak

Eğer bir bilgiyi saklamaya gerek yoksa o veriden kurtulmak hem riski hem de alınması gereken bir çok önlem ihtiyacını ortadan kaldıracaktır. Bu yüzden öncelikle verinin saklanmasının iş ya da hukuksal bir gereksinim için gerekli olup olmadığı değerlendirilmeli, ihtiyaç duyulmayan bilgiler yönetmeliğe uygun, güvenli bir şekilde yok edilmeli/anonimleştirilmeli ve gereksiz bilgi saklanmasından kaçınılmalıdır.

Veri İşleyenlere Süresiz Sır Saklama Yükümlülüğü

Kişisel verilerin veri sorumlusu adına başka kurumlar tarafından işlenmesi de sıkça karşılaşılan bir durumdur. Unutulmamalıdır ki, veri işleyen yani çoğunlukla bir üçüncü taraf ya da hizmet sağlayıcı, en az veri sorumlusu kadar güvenlik seviyesinin sağlanmasından sorumludur. Yazılı sözleşmelerde bu konu mutlaka adreslenmelidir.

Veri sorumluları ile sunucu barındırma, çağrı merkezi, veri yedekleme, yönetilebilir güvenlik hizmetleri, kurye hizmetleri, vb. hizmet sağlayıcılar arasındaki sözleşmelerde konu net bir şekilde tarif edilmelidir.

Teknik Tedbirler

Şirketlerde katmanlı bir bilgi güvenliği süreç ve altyapısının olması, güvenlik seviyesinin üst düzeyde olmasını sağlayacaktır. Bu yüzden Internet bağlantısında kullanılmakta olan güvenlik duvarlarından başlayarak, şirkette mevcut olan tüm ağ, güvenlik ve sunucu sistemlerinin belli güvenlik sıkılaştırma prensiplerine göre yapılandırılması esastır. Bu güvenlik sıkılaştırma prensipleri, gereksiz ve güvensiz servislerin kapatılması, gereksiz kullanıcı hesaplarının silinmesi, güncel yamaların geçilmesi, belli karakter sayısında ve karmaşıklıkta şifre/parola kullanılması, şifrelerin değişim sürelerinin belirlenmesi, eski şifrelerin kullanımının kısıtlanması, yanlış şifre giriş sayısının sınırlandırılması, ortak kullanıcı kodu/şifre kullanımının yasaklanması, sistemlerin izlenmesi ve işlem hareketlerinin kayıt (log) altına alınması, sistemlerin tarih/zaman bilgilerinin doğruluğu, zararlı yazılımlara karşı anti-virüs, vb. uygulamalarının kullanılmasını içerir.

Yukarıda bahsedilen sıkılaştırma adımlarına rağmen, hergün yeni açıklılar ve saldırı yöntemlerinin çıktığı dikkate alındığında, sistemlerdeki zayıflıkların (zafiyet) tespit edilmesi, hızla raporlanması, açıklığın yol açabileceği riskin değerlendirilmesi, önceliklendirilmesi ve en hızlı şekilde aksiyon alınarak bu açıklıkların giderilmesi esastır. Bunun için zafiyet tarama ve sızma testlerinin de yer aldığı, güvenlik açıklıklarının yönetimi ile ilgili süreç ve prosedürler hazırlanmalı ve işletilmelidir. Otomatik zaafiyet tarama ile network/uygulama sızma testlerinin farklı süreçler olduğu, çıktılarının da birbirinden çok farklı olduğu unutulmamalıdır.

Bölümleme – Segmentasyon

Şirketlerde işlenen ve saklanan her veri kişisel veri olmayabilir. Kişisel verilerin diğer sistemlerden izole ya da bölümlenmiş farklı ağ / sunucu segmentlerinde işleniyor ve saklanıyor olması, şirketin Kişisel Verilerin Korunması Kanunu kapsamında ilgilenmesi ve önlem alması gereken sistem (ağ bileşeni, güvenlik bileşeni, sunucu, insan, lokasyon, vb.) sayısını önemli ölçüde azaltacaktır. Bu yüzden segmentasyonun devreye alınması hem masraf, hem süre hem de efor açısından şirketlere önemli avantajlar sağlayabilir.

Şifreleme – Encryption

Kişisel verinin taşınabilir medya (CD, DVD, USB, vb.) üzerinde depolandığı durumlarda bu ortamlardaki verinin gizliliğine uygun şifreleme yöntemleri kullanılmalıdır. Yalnız verinin değiştirilmesi değil verinin yetkisiz kişilerce okunmasının da bir sorun olabileceği unutulmamalıdır.

Kağıt ortamdaki kişisel verilere şifreleme uygulamak mümkün olamayacağı için bu dokümanlar fiziksel olarak güvenli, erişim kısıtı olan yerlerde saklanmalıdır.

Buluttaki Veriler

Kişisel verilerin bulutta saklanmasına, kanun ve yönetmelik izin vermektedir. Ancak bu verilerin envanterinin bilinmesi, verilerin güçlü kriptolama algoritmaları ile şifrelenmesi gerekmektedir. Farklı bulut sistemleri kullanılıyorsa, her bir bulut sistemi için ayrı ayrı şifreleme anahtarlarının kullanılması gerekmektedir.

Arızalı Cihazlar

Arızalanan cihazların şirket dışına gönderilmesi gerektiğinde kişisel veri saklayan ortamların cihazlardan sökülmesi gerekmektedir. Yerinde müdahalelerde ise kişisel verilerin kopyalanmaması ve kurum dışına çıkartılmaması için önlemler alınmalıdır.

Kişisel Veriler ve Yedekleme

Kişisel verilerin yedeklenmesi ile ilgili süreç ve prosedür belirlenerek, yedeklenen verilerin de yeni bir atağa uğramaması için mantıksal ve fiziksel güvenlik önlemleri alınmalı, yedek kişisel bilgilere erişim yalnız görevi gereği bu verilere erişmesi gereken sistem yöneticileri ile sınırlı olmalıdır.

Veri Kaybı / Sızıntısı Önleme (DLP) Sistemleri

Rehberde dikkat çeken bir konu da Veri Kaybı /Sızıntısı Önleme yazılımlarının teknik önlemler arasında yer alması. Bu da kısaca DLP (Data Leakage Prevention) uygulamalarının, “olsa da olur olmasa da olur” yaklaşımıyla değil, veri güvenliğinin çok önemli bir parçası olarak uygulanması gerekliliğini ortaya koyuyor.

Ne yapılacağı TAMAM, sıra NASIL yapılacağında

Artık KVK Kurulu neler yapılması gerektiğini belirlediğine göre şirketlerin, yasaya uyumlu hale gelmek için, eksik noktaları belirleyip, idari ve teknik konularda önceliklendirme yapmaya, başka bir değişle nereden başlayacaklarına ve uyumlu olmak için nasıl bir yol haritası izleyeceklerini belirlemeye ihtiyaçları var. Yani sıra bu rehberi esas alarak teknik ve idari önlemlerin şirketlerde nasıl uygulanacağı konusuna geldi.

onur.arikan
Yazar: onur.arikan