KVKK çevresinde hangi teknolojiler kullanılıyor?
05.03.2020 - 15:30 | Son Güncellenme:
Teknoloji, işlerimizi daha hızlı bir şekilde yapmamıza olanak sağlayarak hayatı kolaylaştırıyor. Bunu yaparken de kişisel özel bilgileri talep ediyor. Bu da kişisel verilerin kullanımında özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini koruma gerekliliğini ortaya çıkarıyor. İşte, bu noktada 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) devreye giriyor. Peki, KVKK hangi teknolojileri kullanıyor?
Erdal Kaplanseren Twitter: @Kaplanseren
KVKK, kişisel verileri kullanan, işleyen ve saklayan gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları kapsıyor. KVKK, verilerin belli bir düzende işlenmesini ve gizliliğini sağlamak için birçok teknoloji kullanıyor.
Kişisel veri tespit testi
Kişisel veri kapsamına giren bilgiler; kimlik numarası, köken, din, sağlık bilgileri ve öğrenim bilgileridir. Bu verilerin tespiti kanun çerçevesinde işlem yapılabilmesini sağlıyor. Kişisel veri tespit testi ile bireylerin kişisel verilerinin tespit edilmesi sağlanıyor.
Veri sızıntısı engelleme-DLP testi
İşletmeler, müşterileri ve çalışanlarına ait pek çok hassas veriye sahip oluyor. İşletmelerdeki verilerin dışarıya sızmaması için DLP testi uygulanıyor. “Veri sızıntısı önleme”, “veri kaybı önleme”, “veri kaçağı önleme”, “veri sızıntısı engelleme”, “veri kaybı engelleme” veya “veri kaçağı engelleme” olarak bilinen bu DLP testi ağ içinde, depolama alanlarında ve son kullanıcı (uç) noktalarında koruma sağlıyor ve her kurum için önem taşıyor.
Şifreleme testi
Verilerin ele geçirilmesi durumunda verinin şifreli olması hacker’ın veriyi elde edememesini ve veri sızıntısının olmamasını sağlıyor. KVKK açısından önem arz eden şifreleme testi, verinin şifrelenerek çıkmasını amaçlıyor.
E-posta güvenliği testi
E-posta, en yaygın kullanılan iletişim yöntemleri arasında bulunuyor. Bu da siber saldırganların araç olarak maili kullanmasına neden oluyor. Bir çalışanın bilinçsizce üçüncü taraflardan gelen mailleri açması, kurum bilgisayarı ve ağını riske atabiliyor. Bu nedenle e-posta güvenliği büyük önem taşıyor.
Web güvenliği ve ADC testleri
Web sitelerinin de siber saldırılara uğrama olasılığı bulunuyor. Özellikle ticari işletmelerin dijital dünyada görünür olmasını sağlayan web siteleri ve bankaların web siteleri, en ufak bir güvenlik açığı olması durumunda kötü niyetli saldırganlarca sömürülebiliyor.
Log ve SIEM teknolojileri testi
SIEM ve Log teknolojileri, kurumlarda gerçekleşen işlemlerin kaydının ve analizinin barındırılmasını sağlıyor. Bu nedenle veri sızıntısında SIEM ve Log kayıtları kontrol ediliyor.
Veri silme yok etme testi
Verilerin imha edilmesi kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi anlamına geliyor. Verilerin kasten ve kast dışı yok edilmesi, KVKK’ye uyulmadığı anlamına geliyor.
Zaman damgası testi
Zaman damgası, 5070 sayılı “Elektronik İmza Kanununu” uyarınca; bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi maksadıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt anlamına geliyor. Verinin ne zaman değiştirildiği, alındığı, gönderildiği gibi birçok önemli bilgiye ulaşmayı sağlaması bakımından zaman damgasının KVKK için önemi büyüktür.
Veri tabanı güvenliği testi
Birbirleriyle ilişkili bilgilerin depolandığı alanlar olan veri tabanlarında bir güvenlik açığı bulunması veri sızıntısı anlamına gelebilir. Bu tür güvenlik açığının olup olmadığını tespit etmenin yolu veri tabanı güvenliği testi yapmaktır.
Tokenizasyon testi
Hassas verileri korumak için şifrelenmiş verilerle yer değiştirme yöntemi kullanılması tokenizasyon teknolojisini ifade ediyor. Hassas verilerin şifrelenme durumunu kontrol etmek için tokenizasyon testinden yararlanılıyor.
Yapılandırılmamış veri güvenliği ürünleri
Cihazın kurulumunu veya konfigürasyonunun eksik olması, siber saldırganlar için harika bir fırsat anlamına geliyor. Verilerin kötü niyetli kişilerin eline geçmesini önlemenin yollarından biri de cihazların konfigürasyonunu tam yapmak oluyor.
Mobil Cihaz Yönetimi (MDM) ürünleri
Cihazda hangi özellikler açık, cihazın dışardan erişim için açığı var mı gibi soruların cevaplarının bilinmesi ve cihazların yönetilmesi için MDM büyük önem taşıyor.
Yetki ve erişim denetim ürünleri
Yetki ve erişim denetim ürünleri, ağa kim bağlanıyor, şu anda ağda neler oluyor gibi soruların cevaplarının bilinmesi açısından önem taşıyor. Ağın izlenmemesi durumunda kötü niyetli biri kurum ağına bağlanıp içerden verileri alabilir. Bu nedenle bu tür ürünler işletmeler için önem taşıyor.
