Veri güvenliği, risklere karşı koruma sağlayarak, saklanan ve işlenen verilerin korunmasına yönelik düzenekleri ifade etmektedir. Veri Güvenliğinde yetkili olmayan kişilerin söz konusu verilere erişim sağlaması, bu verilerin ifşa edilmesi, silinmesi, bozulması gibi durumlar incelenir. Verilerin bütünlüğü, gizliliği ve verilere erişimin sağlanabilmesi konusunda oluşacak sorunlara karşı uygun önlemlerin neler olabileceği araştırılır ve değerlendirilir. Saklanan verilerin neler olduğu, bunlara yönelik olası saldırıların nasıl olabileceği, bu saldırılara karşı nasıl bir koruma tedbiri alınacağı ve anlık oluşan güvenlik açıklarının nasıl tespit edileceği ve bu sorunların nasıl çözüleceği ele alınır.
Veri Güvenliği Çözümleri
Veri ihlali riskini azaltmak ve anahtar yönetimi, şifreleme, ayrıcalıklı kullanıcı erişim kontrolleri, veri maskeleme, etkinlik izleme ile denetim için veri güvenliği en iyi uygulamalarıyla uyumu kolaylaştırmaktadır.
- Veri erişim kontrolü: Veri tabanı sisteminin güvenliğini sağlamanın en temel adımlarından biri, veri tabanına erişen kullanıcının kimliğini doğrulamak ve hangi işlemleri gerçekleştirebileceklerini kontrol etmektir. Güçlü kimlik doğrulama ve yetkilendirme kontrolleri, verilerin dış faktörlerden ve virüslerden korunmasına yardımcı olur. Ayrıca, görev ayrılığının zorunlu kılınması, yetkili kullanıcıların hassas verilere erişmek için sistem yetkilerini kötüye kullanmalarının ve ayrıca veri tabanında yanlışlıkla veya kötü amaçlı değişikliklerin önlenmesine yardımcı olur.
- Veri koruması: Şifreleme, anahtar yönetimi, maskeleme ve düzltme gibi çeşitli kullanım senaryolarını karşılamak için veri ihlali ve çözümlerle uyumsuzluk riskini azaltmaktadır.
- Denetleme ve izleme: Tüm veri tabanı aktiviteleri denetleme amacıyla kaydedilmelidir. Buna, ağ üzerinden gerçekleşen aktiviteler, veri tabanı içinde tetiklenen ve tüm ağ izlemeyi atlayan aktiviteler dahildir. Denetim, ağ şifreli olsa bile çalışmalıdır. Veri tabanları; veriler, isteğin yapıldığı istemci, işlemin ayrıntıları ve SQL deyiminin kendisi hakkında bilgiler içeren sağlam ve kapsamlı bir denetim sağlamalıdır.
Veri Güvenliğindeki Ögeler Nelerdir?
Veriler gerektiği kadar korunmuyorsa izinsiz erişimlere açık olacaktır. Bu noktada önlem almayan kurumlar her an tehlike altında kalabilir ve büyük oranda maddi kayıplarla karşılaşabilir. Veri güvenliğindeki en önemli öğeleri şu şekilde belirtebiliriz:
- Bütünlük
- Gizlilik
- Kullanılabilirlik
Veri İhlalinde Uygulanacak Müdahale Planının Hazırlanması
Kişisel Verileri Koruma Kurumunun Veri İhlali Bildirim Usul ve Esaslarına İlişkin Karara yönelik duyurusuna göre, işlenen verilerin yasaya aykırı şekilde başkaları tarafından elde edilmesi durumunda, veri sorumlusunun bu durumu Kişisel Verileri Koruma Kuruluna 72 saat içinde bildirmesi gerektiği ortaya konmuştur. Aynı şekilde, ihlal ve ihlalden etkilenen ilgili kişiler tespit edilip, söz konusu ihlalin derecesi ilgili kişilerin temel hak ve özgürlüklerine yönelik ciddi bir tehlike içeriyorsa, ilgili kişilere en kısa süre içerisinde bildirimde bulunulması gerekmektedir. Veri ihlali durumunda, veri sorumlusu olan gerçek veya tüzel kişinin kimlere raporlama yapacağı, bu ihlalin olası sonuçlarının değerlendirilmesi, şirket içi sorumluluk akışının nasıl olacağının belirlenmesi ve söz konusu ihlale yönelik yapılacak müdahalenin yönünü gösterecek bir veri ihlali müdahale planı hazırlanması gerekmektedir. Bu kapsamda,
- İhlalden haberdar olunan zamanın belirlenmesi,
- Kişisel verilerde oluşan hasarın tespit edilmesi,
- Kanuna aykırı bir şekilde veri işlenmesi durumunun incelenmesi,
- Söz konusu ihlal veya hasarın fiziksel veya yazılımsal sebeplerinin ortaya konulması,
- Gerekirse şirket içinde ihlalin tespitinden zorunlu bildirimlerin yapılması
- İhlale yönelik aksiyonların alındığı ana kadar sorumlulukların kimlerde olduğunun kesinleştirilmesi gerekecektir.
Veri ihlali durumu için hazırlanacak bir müdahale planı; hazırlık, tespit, cevap geliştirme, durumun onarımı ve iyileştirilmesi ve olay sonrası takibin yapılmasını içermelidir. Güvenlik sorunlarına karşı sürekli güncel olan ve olabilecek tüm tehditleri takip eden, siber güvenlik olaylarını araştırıp soruşturan, ihlallerde alınan aksiyonları ve oluşan zararların ne şekilde giderildiğini gösteren bir sistem bulunmalıdır. Muhafaza edilen verilerin taşıdıkları özelliklere göre sınıflandırılmaları, bulundukları ortamların tespiti, bunlar için gerekli bilişim sistemlerine sahip olunup olunmadığı, bilişim uzmanlarından müşteriyle iletişimi kuracak görevlilere kadar sorumlulukların belirlenmesi, şirket yönetimi ve bilişim ayağı arasında olabilecek bir kriz için emir-komuta zincirinin kesinleştirilmesi, böyle bir senaryoya hazırlık için en önemli noktalardır. Müdahale planı, özel bilgilerin olası bir ihlalde nerede saklanacağı, eskiden bulunan ve sisteme erişimi devam eden hesaplar ve sızıntılara karşı hangi durumda karantina uygulanacağı, içeride iletişimin nasıl sağlanacağı konuları önceden ele alınmış olmalıdır.
Yazan: Beyza Nur GÖKTAŞ
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/4228/Veri-Guvenligi-ve-Bilgi-Sistemleri-Dairesi-Baskanligi
