KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA KİŞİSEL VERİ GÜVENLİĞİNİN SAĞLANMASI AÇISINDAN UYGULANMASI GEREKLİ TEKNİK TEDBİRLER
GENEL OLARAK
Özellikle kurumsal faaliyet yürütücü taraflar için gerek iç (çalışanlar) ve gerekse dış (yararlanıcılar) paydaşların kişisel verilerinin saklaması, işlemesi ve paylaşılması hayatın olağan akışının bir parçasıdır. Özellikle teknolojik gelişime başlı olarak kişisel verilerin dijital yöntemlerle, dijital ortamda saklanması, işlenmesi ve paylaşılması yaygınlaştıkça veri güvenliği yaklaşımları daha özelinde kişisel veri güvenliğini odağında değerlendirilmeye ve önemsenmeye başlamıştır.
Özellikle son yıllarda kurumsal faaliyetler kapsamında farklı yöntemlerle kişilerden veri türü itibariyle daha fazla veri alınıyor olması, kişisel verilerin kişi hak ve güvenliğinin bir parçası olması, kişisel verilerin korunması konusuna gün geçtikçe artan bir önem verilmesini zorunlu kılmıştır. Kişinin korunmasının bir kamu yükümlülüğü olması, kişisel verinin bunun ayrılmaz bir unsurunu oluşturması nedeniyle tüm ülkeler kişisel verilerin korunması konusuna ulusal bazda yaklaşmak durumunda kalmış, kamu kurumsal otoritelerini oluşturmuş, hukuk düzenlemelerini yapmış, idari ve teknik standartlar geliştirmiş ve uygulamaya koymuştur.
Avrupa birliğinde uygulamaya konulmuş AB Genel Veri Koruma Tüzüğü (GDPR) ile Avrupa Birliği standartlarıyla uyumlu hale getirilmesinin önemi sürekli vurgulanan yürürlükteki Kişisel Verilerin Korunması Kanunu önemli hukuksal düzenlemeler örnek olarak verilebilir. Ülkemizde kişisel verilerin korunması için kurulan Kişisel verilerin Korunması Kurumu, hukuk düzenlemeleri, ihlal denetimleri ve kamuyu aydınlatma rehberleri yayınlayarak faaliyetlerini sürdürmektedir. Kişisel verilerin korunmasında esas nokta yeterli korumayı sağlamak için taraflara ilişkin hak ve yükümlülüklerin belirlenerek kurumsal ve hukuksal disipline bağlanması ve bu bağlamda alınacak idari ve teknik tedbirlerden oluşmasıdır.
TEKNİK TEDBİRLER
Veri, günümüzde hemen bütün çeşitleriyle (görsel, yazınsal ve işitsel) dijital hale gelmiş bulunmaktadır. Bu kapsamda değerlendirildiğinde, verinin saklanması, işlenmesi ve paylaşılması gibi işlemlerin de dijital ortamlarda, dijital araç ve gereçlerle ve dijital yöntemlerle yapılması sonucunu doğurmakta, bu da idari tedbirlerin yanı sıra teknik tedbirler ciddi önem verilmesini zorunlu kılmaktadır. Zira veri, dijital platformlarda her aşamada siber güvenlik tehdidi altındadır. Kişisel Verileri Koruma Kurumu bu amaçla Kişisel Veri Güvenliği Rehberi yayınlamış ve rehberde alınması önerilen teknik tedbirleri de sıralamıştır. Bu tedbirler yaygın olarak siber güvenlik olarak ta değerlendirilmektedir.
SİBER GÜVENLİK
Kurumsal örgütlerin dijital organizasyon yapıları siber güvenlik kapsamında hangi teknik tedbirlerin alınacağı konusunda belirleyici faktördür. Dijital organizasyonlar kurumların faaliyet yapısına paralel olarak temelde intranet ve extranet olarak karşımıza çıkmaktadır Intranet, çalışanlar arasında şirket bilgilerinin ve bilgi işlem kaynaklarının güvenli bir şekilde paylaşması için kullanılan, dış erişime kapalı kurum içi özel bir ağdır. Extranet ise, bir iş ortaklığında çalışan, tedarikçi, müşteri ya da diğer tüm paydaşların aynı yazılım ve protokolleri internet üzerinden kullanmasını sağlayan ağdır.
INTRANET ORGANİZASYONLAR İÇİN ALINMASI GEREKEN TEDBİRLER:
Intranet topolojisi ile oluşturulan kurumsal sistemlerde siteme erişmek suretiyle veri kaynaklarını kullanacak olan çalışanlar (kullanıcılar) için aşağıdaki teknik çözümlerin uygulanması zorunlu olarak görülmektedir;
- Sisteme erişim ve veri kaynaklarını kullanım yetkileri yazılım çözümleri ile tanımlanmalı ve işletilmelidir. Böylece yetkisiz erişimler ve kullanımların önüne geçilmesi sağlanacaktır.
- Sisteme erişim ve kaynakların kullanılması ile ilgili dijital kayıtların anlık tutulması (LOG). Bu çözüm, ihlallerin tespiti halinde hem ihlalin önlenmesi çalışmaları hem de hukuki delillerin oluşturulması bakımından önem arz etmektedir.
- Verilerin yedeklenmesi ve veri kaybını önleyici yazılım çözümlerinin uygulamaya konulması,
- Verilerin herhangi bir amaçla aktarıldığı dış ortamların (cd, taşınır bellek, harici disk vb.) güvenliğinin sağlanması,
- Takip, denetleme ve geribildirim yazılım çözümlerinin uygulamaya konulması ve hızla işletilmesi.
EXTRANET ORGANİZASYONLAR İÇİN ALINMASI GEREKEN TEDBİRLER:
Extranet topolojisi ile oluşturulan kurumsal sistemler internet üzerinden çok taraflı ve dış erişime açık sistemler olduğu için alınacak teknik tedbirler daha kapsamlı hale gelmektedir. Kaynakların, internet erişimine (dış erişim) açık olması, gerek veri kaynaklarına erişim güvenliğinin ve gerekse veri paylaşımı amaçlı veri iletişimi güvenliğinin eş güdümlü olarak sağlanmasını zorunlu kılmaktadır. Bu kapsamda alınması gerekli görülen teknik tedbirler intranet için alınması gereken tedbirlere ek olarak şunlardır;
Dış erişim güvenliğinin sağlanmasında;- Kullanıcı tanımlama etkinliği, etkin bir kullanıcı hesap yönetimi oluşturma, bu kapsamda kullanıcı bilgilendirme ve geri bildirim sistemlerinin uygulanması,
- Erişim doğrulama yöntemleri (mail, mobil uygulama, sms vb.) ile erişim güvenliğinin sağlanması,
- Sunucu tarafı yetkisiz erişimler ve saldırılar için katmanlı güvenlik duvarı (VPN, Firewall, DdOS vb.) oluşturulması ve işletilmesi,
- Sunucu ve istemci taraflı antivirüs yazılımlarının kullanılması ve güncel tutulması, istemci taraflı zararlı yazılım zafiyetleri için sunucu taraflı teknik çözümlerin (güvenli işlem ekranı) uygulamaya konulması
- Verilerin, sunucu tarafında kriptografik yöntemlerle şifrelenerek saklanması ve veri iletişiminde uçtan uca (peer top peer) şifrelenerek iletilmesi,
- Sistemlerin genel kabul görmüş güvenlik sertifikaları (SSL) işletilmesinin sağlanması
- Bulut tabanlı sistemler için hizmet sağlayıcılarca alınması gereken erişim, saklama, paylaşma, yok etme vb. tüm tedbirlerin ciddi bir disiplin içinde yürütülmesinin sağlanması,
- Kurumsal büyüklük paralelinde yeteri kadar izleme, denetleme ve müdahale çözümlerinin uygulamaya konulması,
- Verilerin anonim hale getirilmesi politikaları doğrultusunda yazılım çözümlerinin doğru ve etkili olarak yürütülmesi,
