Uzun zamandır gündemden düşmeyen konulardan biri olan Kişisel Verilerin Korunması Kanununun (KVKK) Veri Güvenliği Rehberi Ocak 2018 tarihinde yayınlandı, ancak rehber incelendiğinde bazı gri noktalar kaldığını altını çizerek söylemek gerek, rehber sürekli olarak Bilişim Sektörü ile beraber güncellenerek gelişip genişleyecektir.
Kişisel Verilerin Korunması Kanunu sadece yasaklardan bahsetmemekte genel bakış açısı itibari ile temelinde risk olan her şeyden uzak durulmasını önermektedir.
Şirket içerisinde herhangi bir aksiyon almadan önce veri sınıflandırma yoluna gidilmelidir. Kişisel veriler KVKK kapsamında iki ayrı sınıfta açıklanmaktadırlar.
- Kişisel Veriler
- Özel Nitelikli Kişisel Veriler
Şirketinize ait olan web siteleri eğer içerisinde kişisel veri barındırıyorsa, güvenlik mekanizmalarını tekrar bir gözden geçirmekte fayda görülmektedir. Unutulmaması gereken durum şu ki; web sitesi içerisinde barındırdığınız kişisel veriler, Kişisel Veri ve Özel Nitelikli Kişisel Veri olarak ayrılmalı, Özel Nitelikli Kişisel Veriler daha yüksek encryption (şifreleme) modelleri ile saklanmalıdır.
Şirket içerisinde ya da şirket dışından (VPN, RDP vb.) kişisel verilere ulaşan kişilerin şifrelerinin güvenlik kapsamında yüksek şifreleme modellemesini kullandıklarından emin olunmalıdır.
Bilgi güvenliği söz konusu olduğunda zincirin en zayıf halkası insandır. İnsanlar verilere ulaşabilmek için şifre kullanmak zorunda kaldıklarında hatırlayabilecekleri, tahmini kolay şifreler kullanmaktadırlar. Aslında hayat standartları ve gelişen sosyal medya, kişilerin çocuklarının isimleri, tuttukları takımlar, en sevdiği şarkıcılar vb. şifreler için saldırganlara fikir vermektedir. Özellikle sosyal medya üzerinde bu kadar fazla kişisel veri paylaşılırken şifre denemeleri yapmak çokta zor değildir. Bundan dolayı kişisel verilere ulaşabilen, işleyebilen kişilerin şifrelerini 3 kere yanlış girdiklerinde hesaplarının kitlendiğinden emin olması gerekmektedir. (Daha çok kez gerçekleşen denemelerde bu süre uzatılmalıdır.)
Yasaklı olmadıkça her şey serbesttir mantığını bir kenara bırakıp KVKK güvenlik rehberinde yazdığı gibi İzin Verilmedikçe Her şey Yasaktır mantığını uygulamak (need to know) bir şeyin sadece bilmesi gereken kişi tarafından öğrenilmesi (Gerektiği Kadar Bilgi – Gerektiği Kadar Yetki) mantığında hareket etmek şirket IT departmanlarının vazgeçilmez kurallarından biri olmalıdır. Temelinde insan olan ve temel noktasında gene insana ait kişisel veri olan yapılara ulaşanlara KVKK (Kişisel Verilerin Koruma Kanunu) kapsamında farkındalık eğitimleri düzenlenmelidir. Konuyu basit bir örnek ile sonlandırmak gerekirse, bankalar tarafından sorulan annenizin evlenmeden önceki soyadı bilgisi, Instagram ya da Facebook gibi sosyal medya hesapları aracılığıyla dayınız ile paylaştığınız bir resimde çok rahatlıkla ortaya çıkmaktadır. Bu gibi detaylarla ve kişisel veri tarafındaki güvenlik açıklarıyla sosyal medya kullanımı artarak devam ettiği sürece çokça karşılaşacağız gibi durmaktadır.