Veri güvenliği, genel olarak risklere karşı savunma sağlayarak, işlenen ve saklanan verilerin korunmasına yönelik mekanizmaları ifade etmektedir. Veri Güvenliğinde yetkili olmayan kişilerin söz konusu verilere erişim sağlaması, bu verilerin ifşa edilmesi, bozulması, silinmesi gibi durumlar incelenir; verilerin gizliliği, bütünlüğü ve verilere erişimin sağlanabilmesi konusunda oluşacak sorunlara karşı uygun önlemlerin neler olabileceği değerlendirilir. Saklanan verilerin neler olduğu, bunlara yönelik olası saldırıların nasıl olabileceği, bu saldırılara karşı nasıl bir koruma geliştirileceği ve anlık oluşan güvenlik açıklarının nasıl tespit edileceği ve bu sorunların nasıl çözüleceği bu çerçevede ele alınır.
Kişisel Verilerin Korunması Kanunu‘nun 12’nci maddesi kapsamında, kişisel verilerin hukuka aykırı olarak işlenmesine ve kişisel verilere hukuka aykırı olarak erişilmesine engel olmak ve kişisel verilerin muhafazasını sağlamak için, veri sorumlularının her türlü teknik ve idari tedbirleri almak zorunda olduğu öngörülmüştür. Bunlar içerisinde idari tedbirler olarak, çalışanların bu konuyla ilgili farkındalığının arttırılması için eğitilmesi, veri sorumlusu açısından kişisel veri güvenliği politikalarının ve olası ihlal durumlarındaki prosedürlerin belirlenmesi, işlenen kişisel verilerin muhafazasında süre ve nicelik yönünden mümkün olduğunca azaltma yapılması, veri işleyen ile ilişkilerin veri işleme sözleşmesi kapsamında yürütülmesi ve yönetilmesi sayılabilir. Teknik tedbirler olarak ise, kişisel verilerin işlendiği bilişim sistemlerinde siber güvenliğin sağlanması, güvenlik duvarı ve ağ geçidi gibi araçların kullanılması, söz konusu önlemlerin düzgün çalışıp çalışmadığının denetlenmesi, kişisel verilerin bulunduğu ve saklandığı ortamların güvenliğinin sağlanması, bilişim sistemleri için gerekli geliştirme ve bakımların yapılması ve olası tehlikelere karşı verilerin yedeklenmesi gösterilebilir.
Veri Güvenliğinin Sağlanması için Şirket İçinde Alınması Gereken Önlemler
İlgili kişilere ait kişisel verilere erişimin sınırlandırılması ve erişim sağlanan durumlarda ise güçlü parolaların kullanılmasını sağlamak bu konuda atılabilecek ilk ve en kolay adımlardan biridir. Büyük harf, küçük harf, noktalama işareti kombinasyonlarından oluşan parolalar kişisel verilerin saklandığı alanlara başka kişilerin erişimini oldukça zorlaştıracaktır. Kaba kuvvet (brute force) algoritmaları ile bu parolaların aşılmasını önlemek için şifre giriş deneme sayısını sınırlama, belli aralıklarla şifre değiştirilmesini zorunlu kılma faydalı olacaktır.
Kişisel verilerin şifrelenmesi ve saklanmasını sağlamak için eski veya lisanssız sürümlerini kullandığınız güvenlik programları ve yazılımların güncel versiyonlarını kullanmak ve verileri şifrelemek için programlarda yüksek güvenlikli olan programları tercih etmeniz tavsiye edilmektedir. Şirketiniz ile ilgili internet trafiğini denetleyecek bir güvenlik duvarı kullanmanız, virüs ve zararlı yazılımlara karşı koruma yazılımlarını kullanmanız, sisteminize yönelik tehditleri önlemek, tespit etmek ve yok etmek için zorunludur. Çalışanlarınızın kullandığı ister masaüstü ister dizüstü tüm bilgisayarlar ve sisteme erişimi bulunan tüm cep telefonların güvenliğini sağlamanız ve artık yetkisi kalmayan yönetici ve çalışanların sisteme ilişkin yetkilerinde güncelleme sağlamanız büyük öneme sahiptir.
Verilerin saklanması ve çalınmasının önlenmesi dışında, veri güvenliğinin bir diğer önemli boyutu, verilerin bütünlüğünü ve erişilebilirliğini sağlamaktır. Verilerin güvenli bir ortamda yedeklenmesi, bu amaca uygun olarak verilerin silindiği, bütünlüğünün bozulduğu durumlarda bir güvence işlevi görecektir.
Veri İhlalinde Uygulanacak Müdahale Planının Hazırlanması
Kişisel Verileri Koruma Kurumunun Veri İhlali Bildirim Usul ve Esaslarına İlişkin Karara yönelik duyurusuna göre, işlenen verilerin yasaya aykırı şekilde başkaları tarafından elde edilmesi durumunda, veri sorumlusunun bu durumu Kişisel Verileri Koruma Kuruluna 72 saat içinde bildirmesi gerektiği ortaya konmuştur. Aynı çerçevede, ihlal ve ihlalden etkilenen ilgili kişiler tespit edilip, söz konusu ihlalin derecesi ilgili kişilerin temel hak ve özgürlüklerine yönelik ciddi bir tehlike içeriyorsa, ilgili kişilere en kısa süre içerisinde uygun yollardan bildirimde bulunulması gerekmektedir. Veri ihlali durumunda, veri sorumlusu olan gerçek veya tüzel kişinin kimlere raporlama yapacağı, bu ihlalin olası sonuçlarının değerlendirilmesi, şirket içi sorumluluk akışının nasıl olacağının belirlenmesi ve söz konusu ihlale yönelik yapılacak müdahalenin güzergahını gösterecek bir veri ihlali müdahale planı hazırlanması gerekmektedir.
Bu kapsamda, ihlalden haberdar olunan zamanın belirlenmesi, kişisel verilerde oluşan hasarın tespit edilmesi, kanuna aykırı bir şekilde veri işlenmesi durumunun incelenmesi, söz konusu ihlal veya hasarın fiziksel veya yazılımsal nedenlerinin ortaya konulması, gerekirse şirket içinde ihlalin tespitinden gerekli bildirimlerin yapılması ve ihlale yönelik eylemlerin alındığı ana kadar sorumlulukların kimlerde olduğunun kesinleştirilmesi gerekecektir.
Veri ihlali durumu için hazırlanacak bir müdahale planı; hazırlık, tespit, cevap geliştirme, durumun onarımı ve iyileştirilmesi ve olay sonrası takibin yapılmasını içermelidir. Güvenlik sorunlarına karşı sürekli güncel olan ve olası tehditleri takip eden, siber güvenlik olaylarını soruşturan, ihlallerde alınan aksiyonları ve oluşan zararların nasıl giderildiğini gösteren bir sistem bulunmalıdır. Muhafaza edilen verilerin taşıdıkları özelliklere göre sınıflandırılmaları, bulundukları ortamların tespiti, bunlar için gerekli bilişim sistemlerine sahip olunup olunmadığı, bilişim uzmanlarından müşteriyle iletişimi kuracak görevlilere kadar sorumlulukların belirlenmesi, şirket yönetimi ve bilişim ayağı arasında olası bir kriz için emir-komuta zincirinin kesinleştirilmesi, böyle bir senaryoya hazırlık için en önemli noktalardır. Müdahale planı, hassas bilgilerin olası bir ihlalde nerede saklanacağı, eskiden kalan ve sisteme erişimi devam eden hesaplar ve sızıntılara karşı hangi durumda karantina uygulanacağı, içeride iletişimin nasıl sağlanacağı konuları önceden ele alınmış olmalıdır.
