Downloaded 16 times
Uploaded byErtugrul Akbas
KVKK
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor. Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK
- 1. KVKK kapsamında yapılanilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor. Bilindiği gibi KVKK kapsamında hazırlanan veri envanteri dokümanı Excel olarak hazırlanıyor; şu sözleşme, bu doküman içinde kişisel veri var gibi kayıtlar olup bu sözleşme ve dokümanın nerede olduğu bile yazılmıyor. Daha vahimi ise Hangi file server da hangi dizinde kişisel veri var?, bu kişisel verilerin tipi ne? Hangi veri tabanında hangi tabloda kişisel veri var?, bu kişisel verilerin tipi ne? Sistemde dijital ortamda başka yerlerde kişisel veri var mı? gibi bilgiler eksik. Diğer kritik eksiklik ise bu veri envanterini hazırlayan ekip teknik tedbirler dokümanını ve oradaki gereksinimleri hiç dikkate almıyor.
- 2. Dolayısı ile buveri envanterinin yetki matrisi ve yetki kontrolü için ana girdi olacağını da hiç hesaba katmıyor. Dolayısı ile bu aşamadan sonra Erişim Logları Yetki Kontrolü teknik tedbirler maddeleri için aşağıdaki gibi politikaların Finans departmanındaki bir çalışan dosya sunucusunda sadece finans departmanı için ayrılan alana erişebilmeli. Aynı şekilde IK deki bir çalışma yine benzer şekilde IK için ayrılan dizine erişmeli. Aksi olursa sadece loglama ile yetinme yeterli olmayacağı gibi eğer bu yetki mekanizması yok ise kesinlikle alarm oluşmalı ve hızlıca müdahale edilmeli. yine bu veri envanterinden türeyen yetki matrislerine göre çıkarılabileceğinden bu veri envanterini hazırlayan ekibin haberi bile yok. Ayrıca yine teknik tedbirler dokümanında erişim logları ile ifade edilen madde erişim kontrolü politikası gerektirir. İlgili kişilerin erişim hakkı yine veri envanteri baz alınarak düzenlenir. Ayrıca erişim kontrolü ISO 27001 ve benzeri diğer güvenlik yönetim politikalarınca da düzenlenmiştir. Dolayısı ile düğme baştan yanlış iliklenince diğer düğmeler de yanlış oluyor Kişisel verileri tutuyorum ama nerede ve kime ait olduğuna dair detaylı envanterini de çıkarmadan nasıl yetkilendirme ve takibini yapabilirim?.
- 3. Nerede ve kimeait olduğuna dair detaylı envanter çıkarmadan aşağıdaki adımları sistematik bir şekilde ilerletebilecek düzenli bir yapı kurulabilir mi? Erişim yetkisine sahip kişileri belirledim mi? Bir erişim yetki matrisim var mı? Veriyi sakladığım alanlar(File Server, Sunucular, Veritabanları, vs..) neresi? KVKK çalışması yapan her kurum Kişisel Veri Envanteri çıkardım sanıyor. Ancak elinde Excel tablosundan başka bir şey yok. Bu tablo da yukarıda bahsedilen en temel eksikliklerle teknik tarafa hiç bulaşmadan oluşuyor. Bundan sonra ya ben her şeyi bitirdim KVKK ya uyumluyum sanılıyor ya da sürecin nasıl yönetileceği bilinmiyor. KVKK uyum süreçlerinin gerçek uygulamaları olan teknik tedbirler ise havada kalıyor.