Siberasist Genel Müdürü Serap Günal, şirketlerin tam kapsamlı KVKK uyumluluğu için dikkate alması gereken 17 teknik tedbirin bulunduğunu belirtiyor
Her geçen gün şiddeti artan ve yapısı daha da karmaşıklaşan siber saldırılara dikkat çeken Siberasist Genel Müdürü Serap Günal, tek bir siber güvenlik ürününün tam güvenlik sağlamayacağı gibi KVKK kapsamında uyumluluğu sağlayacak tedbirlerin alınmasına da yeterli olmayacağının altını çiziyor. Günal, şirketlerin uyumluluk aşamasında teknik altyapılarını inceleyerek KVKK’nın da işaret ettiği gerekli birçok teknik tedbiri alması gerektiğini belirtiyor.
6 ana başlıkta analiz ve 17 gerekli teknik tedbir
Bir verinin korunmasına ilişkin şirketin nerede ve nasıl durması gerektiğini KVKK’nın yol haritasıyla şirketlere aktardıklarını belirten Serap Günal, KVKK uyumluluğuna geçiş için öncelikle şirketin teknik altyapı durumunun 6 başlıkta analiz edilerek ve hukuki tedbirlere de uyumluluğu dengelenerek ihtiyacı olan teknik tedbirlerin önerildiğini belirtiyor.
KVKK’nın işaret ettiği ve şirketlerde analizinin yapılması gereken 6 ana başlık ise şöyle:
• Siber güvenliğin sağlanması
• Kişisel veri güvenliğinin takibi
• Kişisel veri içeren ortamların güvenliğinin sağlanması
• Kişisel verilerin bulutta depolanması
• Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı
• Kişisel verilerin yedeklenmesi gibi başlıklarda şirketin gerekli teknik altyapı analizlerinin yapılması gerekiyor.
Şirketlerde yapılan analizler sonucunda, KVKK’nın talep ettiği teknik tedbirleri hem hukuki hem de teknik boyutları ile harmanlayarak şirketlere sunduklarını aktaran Serap Günal, bir şirketin tam kapsamlı güvenliği için 17 teknik tedbirden sorumlu tutulduğunu ifade ediyor.
KVKK’nın işaret ettiği ve şirketler tarafından alınması gereken 17 teknik tedbir ise şu şekilde:
1. Yetkilendirme matrisinin oluşturulmuş olması
2. Erişim loglarının tutulması
3. Yetki kontrolünün yapılması
4. Kullanıcı hesaplarının yönetilmesi
5. Ağ güvenliğinin sağlanması
6. Uygulamaların güvenliğinin sağlanması
7. Verilerin şifreleme yöntemleri ile şifrelenmesi
8. Sızma testleri yapılarak kurum güvenliğinin test edilmesi
9. Saldırı tespit ve önleme sistemlerinin oluşturulması
10. Log kayıtlarının incelenip yedeklenmesi
11. Veri maskelemelerinin yapılması
12. Veri kaybı önleme yazılımlarının kullanılması
13. Yedekleme sistemlerinin kullanılması
14. Güncel antivirüs sistemlerinin kullanılması
15. Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin yapılması
16. Güvenlik duvarlarına sahip olunması
17. Anahtar yönetiminin olması.