KVKK ve regülasyonlar için doğru teknoloji

KVKK ve regülasyonlar için doğru teknoloji
KVKK ve regülasyonlar için doğru teknoloji
07.04.2016 tarihinde yayımlanarak yürürlüğe giren "6698 sayılı Kişisel Verilerin Korunması Kanunu" kişisel verilerin işlenmesinde en başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve hürriyetini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin sorumlulukları ve uyacakları kuralları düzenlemenin amacını içermektedir.

Kişisel verilerin oluşturulması, depolanması, kaydedilmesi, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, transfer edilmesi, devir alınması ya da sınıflandırılması gibi her çeşit işlem kişisel veri işlenmesi olarak kabul görmektedir. Kanunda düzenlenen kurallara uygun olması şartı aranmalıdır. Kamu kurum ile kuruluşları başta olmak üzere, kişisel verileri kayıt altına alan her türlü firma, kurum ile kuruluşu bağlayan KVKK bankacılık, bilişim, sağlık ve turizm gibi pek çok sektörü de yakından ilgilendirmektedir.

Kişisel verilerin korunması konusu günümüzde çoğu ülke için üstünde önemle durulması gereken önemli maddelerin başında yer almaktadır. Teknolojinin gelişmesiyle beraber her türlü bilgiye erişimin her geçen gün daha da basit bir hal almasıyla, verilerin serbestçe dolaşması ve işlenmesi de mümkün hale gelmiştir.

Veri paylaşımı bulut bilişim, sosyal ağlar ve online alışveriş gibi teknolojik araçlarla uluslararası düzeyde gerçekleşirken, büyük bir veri yönetimi ve bütün bu verilerin denetlenmesi ihtiyacı da aynı oranda artış gösterdiği açık bir şekilde bellidir. Durum böyle olunca bunca bilgi ve kişisel verinin kötü niyetle kullanılmadığından emin olmak için düzenlemelere ihtiyaç duyulmuştur.

Dijital dönüşüm ve olan bu gelişmelerden en az diğer sektörler kadar etkilenen sağlık sektörü, değişen demografik manzara sayesinde baştan aşağı yenilenmeye başlamıştır. Bu düzenleme, başta sağlık sektörü olmak üzere birçok alanda faaliyet gösteren kurum ve kuruluşun, veri saklama ve yönetim yapısını etkiledi ve veri merkezi altyapı çalışma ve yatırımlarında gözle görülür değişikliklere sebep olmuştur. Diğer taraftan değiklik, her çeşit kişisel bilgilerin elde edilmesi ve kullanılmasının şart olduğu sağlık sektöründe, kurum ve hasta bilgileri üstünde oluşabilecek olası potansiyel tehditleri engellemek üzere sistemlerini, politikalarını ve süreçlerini iyileştirmek için fırsat olarak da düşünülebilir.

Kurumsal yönetim mimarisi içerisinde, işletmelerin, özel kanunlar vasıtasıyla kurulan kuruluşların, limited ve anonim şirketlerin ve diğer grup ortağı dahilinde faal tüzel kişiliklerin ticari hayatta gerçekleştireceği yatırımlar, yapılması planlanan girişimler ve yapılacak sözleşmelerle verilecek onaylar dahilinde uygulaması gereken pek çok yasal düzenleme mevcut bulunmaktadır.

Regülasyon ve risklerin yönetimi yatırımların ve sözleşmelerin imza sürecinden sona erme  sürecine kadar her adımda uygulanmalıdır. Tersi durumda işletmelerce uygulanacak yaptırım ve cezalar ile karşı karşıya kalınması muhtemeldir.

Kişisel verileri koruma kanununun kazandırdığı avantajlar;

  • Farkındalık oluşması: İnsan kaynaklarının daha doğru, düzenli ve efektif kullanımı.
  • Bilinçlenme: İş ilişkilerinde yaşanabilecek olumsuz senaryoların indirgenmesine neden olur. Bu konuya bir örnek vermek gerekirse işletme içerisindeki verilerin dışarı sızdırılmaya çalışılmasının önlenmesidir.
  • Veri Bulma hızı: Kurumların en değerli varlığı olan veriye erişimin hızlanması.
  • Veri Sınıflandırılması: Verilerin değerinin saptanması ve hassas içerikteki verilerin sınıflandırılarak güvenliğinin artırılması.
  • İş sürekliliğinin sağlanması: İş sürekliliği ve devamlılığının sağlanabilmesi için gerekli olan temel taşın yani verinin natifli olarak saklanmasıdır.

Peki uyum programları yürüten şirketlerin/işletmelerin en çok zorlandıkları hususlar nedir?


Uyum programları genel olarak ana iki maddeden oluşmaktadır:

1. Detaylı şirket incelemesi ve durum tespiti
2. Uygulama

Detaylı inceleme ve durum tespiti aşamasında, öncelikle işletmeler verinin giriş ve çıkış noktalarını belirlemekte zorlanmaktadır. Düzenlemelerin sonucunda firmanın verilerin kimlerden ve ne zaman alınacağı/toplanacağı ve verinin depolandığını, verinin ne şekilde kullanıldığını, devredildiğini ve nasıl imha edildiğini gösteren bir envanter oluşturulması ve bunun güncel tutulması için gerekli altyapı çalışmasını yapmaları gerekmektedir. Bu çalışma için veri sorumluları, her bir iş aşamalarını belirleyip, organizasyonel yapılarını ve kimlerin kişisel verilere eşimi olduğunu tespit etmelidirler.

Veri güvenliği uzmanları tarafından kişisel verilerin güvenliğine dair mevcut güvenlik kontrollerinin değerlendirmesinin de yapılıyor olması şarttır. Veri sorumlusunun bünyesinde kişisel verilerin korunması amacı ile uygulanan manuel ve bilgi teknolojileri bazlı alınmış tedbirler belirlenerek uygunluklarının test edilmesi gerekmektedir.  Bu analizlerin sonucunda kişisel verileri işleyen, aktaran, muhafaza eden ve imha eden iş ve teknik aşamalara dair hatalar ve/veya eksiklikler ve bu eksiklikleri giderme yollarının belirlenmesi çok önemlidir.

Uygulama aşamasında işletmeler kendi planlarını belirlemek ve kendi firma özelinde süreç ve uygulamalara uygun politikalar tasarlamakta zorlanmaktadırlar. Bu halde de da rakiplerin veya aşka kurumların politikalarından ödünç alınan metinler ortaya çıkmaktadır. Bu biçimde ödünç alınan bir yazı, başka bir şirketin ihtiyaçlarına göre hazırlanmış olacağından aslında bunun faydadan çok zarar getireceğinin unutulmaması gerekmektedir.

KVKK’nın işaret ettiği ve işletmelerde analizinin yapılması gereken 6 ana madde ise şu şekildedir;

1. Siber güvenliğin sağlanması
2. Kişisel veri güvenliğinin takibi
3. Kişisel veri içeren ortamların güvenliğinin sağlanması
4. Kişisel verilerin bulutta depolanması
5. Bilgi teknolojileri sistemleri tedariği,
6. Bilgi sistemlerinin geliştirilmesi ve bakımı

Kişisel verilerin yedeklenmesi gibi konularda firmanın gerekli teknik altyapı değerlendirmesinin iyi bir şekilde yapılması gerekiyor.

Firmalarda/İşletmelerde/Kurumlarda yapılan analizler  neticesinde  KVKK’nın belirttiği teknik tedbirleri hukuki ve teknik boyutları ile birleştirerek, bir şirketin tüm kapsamlı  güvenliği için on yedi  madde  halinde teknik tedbirden meydana gelmiştir.

KVKK’nın işaret ettiği ve şirketler tarafından alınması gereken teknik/teknolojik tedbirler ise şu şekildedir;
  • Yetkilendirme matrisinin oluşturulmuş olması
  • Erişim loglarının tutulması
  • Yetki kontrolünün yapılması
  • Kullanıcı hesaplarının yönetilmesi
  • Ağ güvenliğinin sağlanması
  • Uygulamaların güvenliğinin sağlanması
  • Verilerin şifreleme yöntemleri ile şifrelenmesi
  • Sızma testleri yapılarak kurum güvenliğinin test edilmesi
  • Saldırı tespit ve önleme sistemlerinin oluşturulması
  • Log kayıtlarının incelenip yedeklenmesi
  • Veri maskelemelerinin yapılması
  • Veri kaybı önleme yazılımlarının kullanılması
  • Yedekleme sistemlerinin kullanılması
  • Güncel antivirüs sistemlerinin kullanılması
  • Verileri durumlarına yok etme,silme veya anonim hale getirme işlemlerinin yapılması
  • Güvenlik duvarlarına sahip olunması ve
  • Anahtar yönetiminin olmasıdır.
Teknolojik Gereksinimler Nelerdir?
  • Identity Access Management
  • SIEM(Security Information and Event Management)
  • Firewall
  • Data Encryption
  • Uygulama Güvenliği
  • Veri Maskeleme Çözümleri
  • Veri Sınıflandırma
  • DLP (Data Loss / Leak Prevention Encryption) Çözümleri
  • NAC ( Network Access Controller )
Bu içerik Bilişim Academy KVKK Danışmanlık Hizmetleri tarafından Blog Tecrübem için hazırlanmıştır.

0/Post a Comment/Comments

Daha yeni Daha eski