IT Departmanı için KVKK Rehberi

15/10/2019 Kapalı Yazar: admin
IT Departmanı için KVKK Rehberi

Kişisel Verilerin Korunması Kanunu sadece yasaklardan bahsetmemekte genel bakış açısı itibari ile temelinde risk olan her şeyden uzak durulmasını önermektedir.

Şirket içerisinde herhangi bir aksiyon almadan önce veri sınıflandırma yoluna gidilmelidir. Kişisel veriler kapsamında iki ayrı sınıfta açıklanmaktadırlar.

  • Kişisel Veriler
  • Özel Nitelikli Kişisel Veriler

Şirketinize ait olan web siteleri eğer içerisinde barındırıyorsa, güvenlik mekanizmalarını tekrar bir gözden geçirmekte fayda görülmektedir. Unutulmaması gereken durum şu ki; içerisinde barındırdığınız kişisel veriler, ve Özel Nitelikli olarak ayrılmalı, Özel Nitelikli Kişisel Veriler daha yüksek encryption (şifreleme) modelleri ile saklanmalıdır.

Şirket içerisinde ya da şirket dışından (VPN, RDP vb.) kişisel verilere ulaşan kişilerin şifrelerinin güvenlik kapsamında yüksek şifreleme modellemesini kullandıklarından emin olunmalıdır.

söz konusu olduğunda zincirin en zayıf halkası insandır. İnsanlar verilere ulaşabilmek için şifre kullanmak zorunda kaldıklarında hatırlayabilecekleri, tahmini kolay şifreler kullanmaktadırlar. Aslında hayat standartları ve gelişen sosyal medya, kişilerin çocuklarının isimleri, tuttukları takımlar, en sevdiği şarkıcılar vb. şifreler için saldırganlara fikir vermektedir. Özellikle sosyal medya üzerinde bu kadar fazla kişisel veri paylaşılırken şifre denemeleri yapmak çokta zor değildir. Bundan dolayı kişisel verilere ulaşabilen, işleyebilen kişilerin şifrelerini 3 kere yanlış girdiklerinde hesaplarının kitlendiğinden emin olması gerekmektedir. (Daha çok kez gerçekleşen denemelerde bu süre uzatılmalıdır.)

Yasaklı olmadıkça her şey serbesttir mantığını bir kenara bırakıp KVKK güvenlik rehberinde yazdığı gibi İzin Verilmedikçe Her şey Yasaktır mantığını uygulamak (need to know) bir şeyin sadece bilmesi gereken kişi tarafından öğrenilmesi (Gerektiği Kadar Bilgi – Gerektiği Kadar Yetki) mantığında hareket etmek şirket IT departmanlarının vazgeçilmez kurallarından biri olmalıdır. Temelinde insan olan ve temel noktasında gene insana ait kişisel veri olan yapılara ulaşanlara KVKK (Kişisel Verilerin Koruma Kanunu) kapsamında farkındalık eğitimleri düzenlenmelidir. Konuyu basit bir örnek ile sonlandırmak gerekirse, bankalar tarafından sorulan annenizin evlenmeden önceki soyadı bilgisi, Instagram ya da Facebook gibi sosyal medya hesapları aracılığıyla dayınız ile paylaştığınız bir resimde çok rahatlıkla ortaya çıkmaktadır. Bu gibi detaylarla ve kişisel veri tarafındaki güvenlik açıklarıyla sosyal medya kullanımı artarak devam ettiği sürece çokça karşılaşacağız gibi durmaktadır.