ŞİRKETLERİN
UYGULAYACAĞI KVK TEKNİK TEDBİRLER
KVKK Madde 12'ye göre Veri
Sorumlusunun Yükümlülükleri ;
a)
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b)
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c)
Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır. "Uygun güvenlik düzeyi", işlenen verinin
niteliği, hacmi, hassasiyeti ve olası bir ihlalin ilgili kişiler üzerindeki
potansiyel etkisi göz önünde bulundurularak belirlenmelidir. Bu, her şirket
için aynı tedbirlerin yeterli olmayacağı, risk bazlı ve ölçeklenebilir bir
yaklaşım gerektirdiği anlamına gelir.
TEKNİK TEDBİRLER
KVKK Kurumu'nun "Kişisel
Veri Güvenliği Rehberi"ne göre şirketlerin alması gereken başlıca teknik
tedbirler şunlardır:
Siber Güvenliğin Sağlanması:
·
Güvenlik Duvarları (Firewall):
Ağ trafiğini kontrol ederek yetkisiz erişimi engellemek. Hem ağ seviyesinde
(network firewall) hem de sunucu/uç nokta seviyesinde (host-based firewall)
uygulanarak derinlemesine savunma sağlanmalıdır. Yeni nesil güvenlik duvarları
(NGFW) uygulama bazlı kontrol ve tehdit istihbaratı entegrasyonu sunar.
·
Antivirüs/Antimalware Yazılımları: Kötü
amaçlı yazılımlara (virüs, truva atı, fidye yazılımı vb.) karşı koruma
sağlamak. Geleneksel antivirüslerin yanı sıra, gelişmiş tehditleri tespit ve
yanıtlamak için Uç Nokta Tespit ve Yanıt (EDR - Endpoint Detection and
Response) çözümleri kullanılmalıdır.
·
Saldırı Tespit ve Önleme Sistemleri
(IDS/IPS): Ağdaki şüpheli aktiviteleri (IDS) izlemek ve potansiyel
saldırıları (IPS) otomatik olarak engellemek. Bu sistemler, bilinen saldırı
imzalarını ve anomali tabanlı tespit yöntemlerini kullanarak proaktif koruma
sağlar.
·
Log Kayıtları:
Sistem erişim ve işlem kayıtlarını (kim, ne zaman, nerede, ne yaptı) tutarak
denetlenebilirliği sağlamak. Bu kayıtlar, bir güvenlik ihlali durumunda olayın
kök nedenini ve etkisini anlamak için hayati öneme sahiptir. Güvenlik Bilgileri
ve Olay Yönetimi (SIEM - Security Information and Event Management) sistemleri,
logları merkezi olarak toplayıp analiz ederek tehditleri daha hızlı tespit
etmeye yardımcı olur.
·
Şifreleme: Hassas verilerin depolanması ve iletilmesi sırasında
şifreleme kullanmak.
·
Veri Aktarımında:** SSL/TLS (Secure Sockets Layer/Transport
Layer Security) protokolleri ile web trafiği ve e-posta iletişimi
şifrelenmelidir.
·
Veri Depolamada:** Veritabanı şifrelemesi, tam disk şifrelemesi
(FDE - Full Disk Encryption) ve bulut depolama şifrelemesi uygulanmalıdır.
·
Parola Saklamada:** Parolalar doğrudan değil, güçlü tek yönlü
şifreleme (hashing) algoritmaları (örn. SHA-256) ve tuzlama (salting) ile
saklanmalıdır.
·
Güncel Yazılımlar: İşletim
sistemleri, uygulamalar ve güvenlik yazılımlarının güvenlik yamalarını (patch
management) düzenli olarak yapmak. Yama yönetimi süreçleri otomatize edilmeli
ve kritik sistemler için acil durum yama prosedürleri oluşturulmalıdır.
·
Parola Politikaları:
Güçlü parola kullanımı (karmaşık, uzun, periyodik değişim) ve çok faktörlü
kimlik doğrulama (MFA - Multi-Factor Authentication) zorunluluğu getirmek. MFA,
parolaların çalınması durumunda bile yetkisiz erişimi büyük ölçüde zorlaştırır.
Kişisel Veri Güvenliğinin Takibi:
·
Sızma Testleri (Penetration Testing):
Sistemlerin ve ağların güvenlik açıklarını etik hackerlar aracılığıyla
belirlemek için düzenli testler yapmak. Bu testler, gerçek bir saldırganın
bakış açısıyla zafiyetleri ortaya çıkarır.
·
Güvenlik Açığı Tarama (Vulnerability
Scanning): Otomatik araçlarla sistemlerdeki bilinen zafiyetleri tespit
etmek. Sızma testlerine göre daha sık ve geniş kapsamlı yapılabilir.
·
Erişim Yetki Kontrolleri:
Verilere erişim yetkilerini rol bazlı (RBAC - Role-Based Access Control) ve en
az yetki prensibiyle (PoLP - Principle of Least Privilege) yönetmek.
Çalışanların sadece işlerini yapmaları için gerekli olan verilere erişimi
olmalıdır. Görev ayrılığı (SoD - Segregation of Duties) ilkesi de uygulanarak
tek bir kişinin kritik bir işlemi baştan sona yapması engellenmelidir.
·
Denetim ve İzleme: Veri
işleme faaliyetlerini ve güvenlik sistemlerini sürekli izlemek, anormallikleri
tespit etmek ve hızlıca müdahale etmek.
Kişisel
Veri İçeren Ortamların Güvenliğinin Sağlanması:
·
Fiziksel Güvenlik:
Sunucu odaları, arşivler, veri merkezleri gibi fiziksel ortamların yetkisiz
erişime karşı korunması (kartlı geçiş sistemleri, biyometrik doğrulama, kamera
kayıtları, alarm sistemleri). Ayrıca, yangın, su baskını gibi çevresel
tehditlere karşı da önlemler alınmalıdır.
·
Ortam Yedeklemesi:
Verilerin düzenli olarak yedeklenmesi ve yedeklerin güvenli, erişilebilir ve
tercihen coğrafi olarak farklı bir konumda saklanması. Yedeklerin bütünlüğü ve
geri yüklenebilirliği periyodik olarak test edilmelidir.
Kişisel
Verilerin Bulutta Depolanması:
·
Bulut hizmet sağlayıcısının güvenlik tedbirlerini (ISO 27001,
SOC 2 gibi sertifikalar) detaylı olarak değerlendirmek ve sözleşmelerle (Veri
İşleme Sözleşmesi - DPA) güvence altına almak.
·
Bulut ortamında "Paylaşılan Sorumluluk Modeli"ni
anlamak ve veri sorumlusunun kendi sorumluluklarını (veri şifrelemesi, erişim
yönetimi vb.) yerine getirdiğinden emin olmak.
·
Verilerin nerede depolandığını (ülke içi/dışı) bilmek ve
KVKK'nın veri aktarımı hükümlerine (özellikle yurt dışı aktarımlar için) uymak.
·
Bulut Güvenlik Durum Yönetimi (CSPM - Cloud Security Posture
Management) araçları kullanarak bulut yapılandırma hatalarını tespit etmek.
Bilgi
Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı:
·
Güvenli yazılım geliştirme yaşam döngüsü (SSDLC - Secure
Software Development Life Cycle) uygulamak. Bu, güvenlik kontrollerini tasarım
aşamasından itibaren entegre etmeyi içerir (DevSecOps yaklaşımı).
·
Üçüncü taraf yazılım ve donanım tedarikçilerinin güvenlik
standartlarını denetlemek ve sözleşmelerle güvenlik yükümlülüklerini belirlemek
(tedarikçi risk yönetimi).
Kişisel
Verilerin Yedeklenmesi:
·
Verilerin düzenli (günlük/haftalık) ve otomatik olarak
yedeklenmesi.
·
Yedeklerin güvenli ve erişilebilir bir şekilde saklanması (örn.
3-2-1 kuralı: 3 kopya, 2 farklı ortamda, 1 offsite).
·
Felaket kurtarma planlarının (DRP - Disaster Recovery Plan)
oluşturulması, düzenli olarak test edilmesi ve güncellenmesi. Kurtarma Süresi
Hedefi (RTO) ve Kurtarma Noktası Hedefi (RPO) belirlenmelidir.
KVKK
Kurumu'nun "Kişisel Veri Güvenliği Rehberi" ve diğer kaynaklara göre
şirketlerin alması gereken başlıca idari tedbirler şunlardır:
Mevcut
Risk ve Tehditlerin Belirlenmesi:
·
Kişisel Veri Envanteri Hazırlanması:
Şirket bünyesinde işlenen tüm kişisel verilerin (çalışan, müşteri, tedarikçi
vb.) kategorize edilmesi, işleme amaçları, hukuki dayanakları, saklama
süreleri, aktarıldığı kişiler, veri kategorileri (kimlik, iletişim, finans,
sağlık vb.) ve alınan güvenlik tedbirleri gibi bilgileri içeren detaylı bir
envanter oluşturulması [6]. Bu envanter, VERBİS kaydının temelini oluşturur.
·
Veri Sınıflandırması:
İşlenen verilerin özel nitelikli kişisel veri olup olmaması ve gizlilik
seviyelerine (kamuya açık, dahili, gizli, çok gizli) göre sınıflandırılması. Bu
sınıflandırma, verilere uygulanacak güvenlik tedbirlerinin yoğunluğunu belirler
[4].
·
Risk Analizi:
Herhangi bir güvenlik ihlali durumunda ilgili kişi bakımından ortaya
çıkabilecek zararın niteliği ve niceliğinin saptanması. Özellikle yüksek riskli
veri işleme faaliyetleri için Veri Koruma Etki Değerlendirmesi (DPIA - Data
Protection Impact Assessment) yapılması önerilir.
Çalışanların
Eğitilmesi ve Farkındalık Çalışmaları:
·
Tüm çalışanlara KVKK ve kişisel veri güvenliği konusunda düzenli
(yıllık veya periyodik) ve zorunlu eğitimler verilmesi. Bu eğitimler, veri
ihlallerinin büyük bir kısmının insan hatasından kaynaklandığı göz önüne
alındığında kritik öneme sahiptir.
·
Çalışanların kişisel veri ihlali durumunda (örn. bir e-postanın
yanlış kişiye gönderilmesi, bir cihazın kaybolması) nasıl hareket edecekleri,
kime bildirim yapacakları konusunda ve bir ihlal bildirim prosedürünün
oluşturulması. Phishing simülasyonları ve farkındalık kampanyaları
düzenlenmelidir.
Diğer
Öneriler:
·
Sürekli İyileştirme ve Adaptasyon: Siber tehditler ve
teknolojiler sürekli evrildiği için, şirketlerin kişisel veri güvenliği
stratejilerini dinamik tutmaları, düzenli risk değerlendirmeleri yapmaları ve
güvenlik kontrollerini sürekli test etmeleri gerekmektedir. "Privacy by
Design" (Tasarım Gereği Gizlilik) ve "Privacy by Default"
(Varsayılan Olarak Gizlilik) ilkeleri, yeni ürün ve hizmet geliştirme
süreçlerine entegre edilmelidir.
·
Yapay Zeka ve Veri Gizliliği: Yapay zeka (YZ) ve büyük veri
teknolojilerinin yaygınlaşmasıyla, kişisel verilerin işlenmesi daha karmaşık
hale gelmektedir. Şirketlerin YZ sistemlerinde veri gizliliğini sağlamak için
özel tedbirler (örn. veri anonimleştirme, sentetik veri kullanımı,
açıklanabilir YZ) geliştirmesi gerekecektir.
·
Uluslararası Uyum: Küresel iş yapan şirketler için sadece KVKK
değil, GDPR (Genel Veri Koruma Tüzüğü) gibi uluslararası düzenlemelere de uyum
sağlamak zorunluluk haline gelmektedir. Bu, veri aktarımı mekanizmalarının
(örn. Standart Sözleşme Maddeleri) doğru uygulanmasını gerektirir.
·
İnsan Faktörü: Çalışanların veri güvenliği konusundaki
farkındalığı ve eğitimi, teknik ve idari tedbirlerin başarısı için kilit rol
oynamaktadır. Düzenli ve etkileşimli eğitimler, simülasyonlar ve iç iletişim
kampanyaları ile bu farkındalık canlı tutulmalıdır.
Bu adımlar, şirketlerin kişisel
veri güvenliğini sağlamada proaktif olmalarına, olası ihlallerin önüne
geçmelerine, yasal yükümlülüklerini yerine getirmelerine ve en önemlisi,
müşterileri, çalışanları ve iş ortakları nezdinde güvenilir bir imaj oluşturmalarına
yardımcı olacaktır.
