KVKK ve Kullanılan Teknolojiler
KVKK, kısaca kişisel verilerin korunması kanunu olarak tanımlanmaktadır. Kişilerin gizliliğini korumak için yürürlüğe girmiştir. KVKK da amaç verilerin belli bir düzende işlenmesini ve gizliliğini sağlamaktır. KVKK bunları yapmak için yapısında birçok teknoloji ve testi kullanır. KVKK çevresinde kullanılan teknolojiler şunlardır:
Kişisel Veri Tespit Testi
Bireylerin kişisel verilerinin tespit edilmesidir. Kişisel veri, bir kişinin kimlik numarası, kökeni, dini, sağlık ve öğrenim bilgileri gibi birçok veri olabilir. Bu verilerin tespiti önem arz etmektedir.
Veri Sızıntısı Engelleme-DLP Testi
DLP bir kurum için büyük önem taşımaktadır. Kurumun veya çalışanın verisinin dışarıya çıkmaması gerekmektedir. DLP testi ile kurumda ki hassas verinin dışarı çıkmasının önüne geçmek amaçlanmaktadır.
Şifreleme Testi
Şifreleme testi KVKK açısından önem arz etmektedir. Ağa çıkan verinin şifreli bir şekilde çıkmasını amaçlamaktadır. Verilerimiz kötü niyetli kişilerce ele geçirildiği durumda bile veri şifreli olduğundan veriyi elde edemeyecektir ve veri sızıntısının önüne geçilmiş olacaktır.
E-Posta Güvenliği Testi
Kurumlarda iletişim ve haberleşme genellikle e-posta üzerinden gerçekleştirilmektedir. Günümüzde yapılan siber saldırılarda çoğunlukla mailler hedef alınmaktadır. Dikkatsiz bir çalışanın üçüncü taraf kişilerden gelen zararlı içerikli mailleri açması sonucu kurum bilgisayarı ve ağı tehlikeye atılabilir. Bu nedenle e-posta güvenliği de önem arz eden konulardandır. Kurum içerisinde e-posta güvenliğine dikkat edilmelidir.
Web Güvenliği ve ADC Testleri
Web güvenliği de yine kurumlar için önem arz eden güvenlik noktalarındandır. Örneğin banka ve ticaret işletmelerinin web sitelerinde bulunan bir zafiyet kötü niyetli saldırganlarca sömürülüp kurum ve çalışan verileri elde edilebilir. Bu nedenle web güvenliği de KVKK açısından öneme sahiptir.
Log ve SIEM Teknolojileri Testi
Log ve SIEM teknolojileri kurumlarda gerçekleşen işlemlerin kaydedilmesi ve analizini kapsamaktadır. KVKK açısından kritiktir çünkü yaşanan bir veri sızıntısında olayı aydınlatmak için SIEM ve Log kayıtlarına başvurulur.
Veri Silme/Yok Etme Testi
Verilerin silinmesi veya yok edilmesi verinin imha edilme işlemidir. Verilerin silinmesi demek bu verilerin kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Kişisel verilerin kasten ve kast dışı yok edilmesi KVKK’ya aykırı bir durum oluşturur.
Zaman Damgası Testi
Zaman damgası testi de KVKK için önemli bir yerdedir çünkü bir verinin ne zaman değiştirildiği, alındığı, gönderildiği gibi birçok önemli veriyi tutar.
Veri Tabanı Güvenliği Testi
Veri tabanı güvenliği testi hassas derecede önemlidir çünkü kurumun bütün verileri genellikle veri tabanında tutulmaktadır. Kullanılan veri tabanında bir zafiyetin bulunması durumu bu test aracığıyla tespit edilebilir.
Tokenizasyon Testi
Tokenizasyon teknolojisi hassas verilerin şifrelenmiş verilerle yer değiştirmesi yöntemiyle korunmasıdır. Tokenizasyon testi ile hassas verilerin şifrelenme durumu kontrol edilir.
Yapılandırılmamış Veri Güvenliği Ürünleri
Yapılandırılmamış güvenlik ürünleri birçok soruna sebep olmaktadır. Cihazın kurulumunu veya konfigürasyonunu tam yapmamak kötü niyetli insanlar için fırsat olup bu açıklıklardan içeri sızıp verilerin elde edilmesine neden olabilmektedir. Bu nedenle cihazların konfigürasyonunu tam yapmak çok önemlidir.
Mobil Cihaz Yönetimi (MDM) Ürünleri
Cihazların kurulumu kadar yönetilmesi de çok önemlidir. Kullanılan cihazda hangi özellikler açık, ya da cihazın dışardan erişim için açığı var mı gibi bilgilerin bilinmesi ve yönetilmesi gerekir.
Yetki ve Erişim Denetim Ürünleri
Yetki ve erişim denetim ürünleri de KVKK kapsamında önemli bir yere sahiptir. Örneğin, NAC ürünü sayesinde ağa kimin bağlandığı, şu an ağda ne oluyor gibi hareketleri görebiliriz. Ağ izlenimin olmadığı bir durumda kötü niyetli biri kurum ağına bağlanıp içerden verileri alabilir. Bu yüzden bu gibi ürünler kurum ve çalışanların verilerinin korunması için önemli cihazlardır.
Görüldüğü gibi KVKK kapsamında kullanılan birçok teknoloji bulunmaktadır. KVKK çok önemli bir kanundur anlatılan teknolojilerle beraber kullanıldığında daha faydalı ve efektif olur. Bu saydığımız bütün teknolojiler KVKK için büyük önem taşımaktadır. KVKK kapsamında verileri bu teknolojilerle beraber daha iyi koruyabiliriz.
KVKK ile ilgili diğer makaleler için aşağıdaki linklere tıklayabilirsiniz.
[1] Kvkk Kurumunun Tavsiye Ettiği Teknik Önlemler
[2] Kurumların Kvkk Genel Yükümlülükleri