Verilerin Saklanmasında Sorun Yaşanıyor
Türkiye’de ve dünya genelinde verilerin saklanmasında ciddi eksiklikler olduğu belirtiliyor. Özel kuruluşların, şirketlerin ve kamu kurumlarının ellerindeki verileri nasıl sakladıklarıyla ilgili önemli eksikler olduğu ifade edilirken, konuyla ilgili önemli açıklar ve yetkilendirme sorunlarının olduğunun da üzerinde duruluyor. Yazılı prosedürle yetkilendirme olmadan işlemler yapıldığı yönündeki şikayetlerin yanında Kişisel Verileri Koruma Kanunu’na (KVKK) uygun şekilde toplanan e-mail (elektronik posta “e-posta”) ve akıllı telefonlarla mobil haberleşmede SMS (Short Message Service; Kısa Mesaj Hizmeti) bilgilerinin iç network’lerde (LAN-Local Area Network - Yerel Ağ Bağlantısı) korunma şeklinde de sorunlar olduğu söyleniyor.
Pazarlama Platformu Setrow’un Yönetici Ortağı Turgut Taneli, veri işleyicisi şirketler ve iş ortakları arasında olması gereken şartlar neler olmalı? Sorusuna açıklık getirerek, şunları aktarıyor:
Güvenlik
Duvarının Önemi
Verilerin
saklanmasında güvenlik duvarının veri işleyici firmalar
için büyük önemi var. Veri işleyici firmaların, sistem/network
yapısı, kullanıcı hak ve erişimlerinin ispatı ve istisnai durumların açıklamalı
şekilde sunulması şartı verilerin saklanmasında önem arzediyor. Veri işleyen firmaların mutlak surette kendi personellerinin
kullandıkları notebook ve benzeri cihazlarda admin (yönetim) konumunu
kaldırması ve bu sayede ilgili workstation (iş istasyonu) üzerinde bağımsız
yapabileceği işlemleri (download, copy, usb erişimlerinin kapatılması vb) minimize
etmesi gerekiyor. Veri işleyici firmalar mutlaka güncel ve yüksek standartlarda
olan ve otomatik güncellenen Firewall, Antivirus, VPN (Virtual Private
Network-Sanal Özel Ağ) yapıları
altında çalışmaları öneriliyor.
KVKK Uyumluluğu İçin 17 Teknik Tedbir
Kişisel
Verileri Koruma Kurumu’nun (KVKK) şirketler özelinde dikkate aldığı en önemli
noktalardan biri verilerin korunmasında şirketlerin alması gereken teknik
tedbirleri alıp almadığı. Tek bir siber güvenlik ürün ya da hizmetinin kişisel
verileri korumada tam etkinlik sağlamayacağını aktaran Siberasist Genel Müdürü
Serap Günal, şirketlerin tam kapsamlı KVKK uyumluluğu için dikkate alması
gereken 17 teknik tedbirin bulunduğunu belirtiyor.
Kişisel
verilerin güvenliğine ilişkin şirketlerin alması gereken birçok teknik tedbir
bulunuyor. Özellikle teknik altyapılarını incelemeyen, geliştirmeyen ya da
KVKK’nın dikkat ettiği alanlar için gerekli adımları atmayan şirketlerin
cezalarla karşılaşması an meselesi. Her geçen gün şiddeti artan ve yapısı daha
da karmaşıklaşan siber saldırılara dikkat çekiliyor.
KVKK’nın
işaret ettiği ve şirketlerde analizinin yapılması gereken 6 ana başlık şöyle
sıralanıyor:
• Siber
güvenliğin sağlanması,
• Kişisel
veri güvenliğinin takibi,
• Kişisel
veri içeren ortamların güvenliğinin sağlanması,
• Kişisel
verilerin bulutta depolanması,
• Bilgi
teknolojileri sistemleri tedariği, geliştirme ve bakımı,
• Kişisel
verilerin yedeklenmesi gibi başlıklarda şirketin gerekli teknik altyapı
analizlerinin yapılması gerekiyor.
KVKK’nın
işaret ettiği ve şirketler tarafından alınması gereken 17 teknik tedbir ise şunlar:
1.
Yetkilendirme matrisinin (işlem) oluşturulmuş olması,
2. Erişim
loglarının (seyir) tutulması,
3. Yetki
kontrolünün yapılması,
4. Kullanıcı
hesaplarının yönetilmesi,
5. Ağ
güvenliğinin sağlanması,
6.
Uygulamaların güvenliğinin sağlanması,
7. Verilerin
şifreleme yöntemleri ile şifrelenmesi,
8. Sızma
testleri yapılarak kurum güvenliğinin test edilmesi,
9. Saldırı
tespit ve önleme sistemlerinin oluşturulması,
10. Log kayıtlarının
incelenip yedeklenmesi,
11. Veri
maskelemelerinin yapılması,
12. Veri
kaybı önleme yazılımlarının kullanılması,
13.
Yedekleme sistemlerinin kullanılması,
14. Güncel
antivirüs sistemlerinin kullanılması,
15. Verileri
durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin
yapılması,
16. Güvenlik
duvarlarına sahip olunması,
17. Anahtar
yönetiminin olması.
Verileri İşlerken Nelere Dikkat Edilmeli?
Veri
sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişiyi ifade ediyor. Veri sorumlusunun, KVKK süreciyle ilgili
gerçekleştireceği her bir adıma dikkat etmesi gerektiği belirtilirken, kişisel
verileri işlerken veri sorumlusunun dikkat etmesi gereken 7 temel madde
bulunuyor.
Birçok
şirket gerek ticari nedenler gerekse de kanuni yaptırımlar sebebiyle kişisel
verileri işlerken birçok sorumluluğu üzerinde taşıyor. KVKK ile birlikte
kişisel verilerin işlenmesinde dikkat edilmesi gereken birçok konu da veri
sorumlularının alanına giriyor. Kişisel verilerin işlenmesinde, en önemli
noktalar veri sorumlusu sıfatı altında birleşiyor. Veri sorumlularının dikkat
etmesi gereken 7 madde de şöyle:
1. Veri
Sorumluları Sicili’ne (VERBİS) kayıt
yaptırmak.
2. Aydınlatma yükümlülüğünü yerine getirmek.
3. Genel ilkelere dikkat etmek.
4. Veri işleme amacı kalktığında yükümlülükleri yerine getirmek.
5. İdari tedbirleri almak.
6. Teknik tedbirleri almak.
7. Veri sahibini bilgilendirmek.
Yorumlar
Yorum Gönder