1. Dijital Dünyanın Görünmez Sigortası
Bugün veri, çoğu zaman “yeni petrol” olarak tanımlanıyor. Ama işin gerçek yüzü şu: veri aynı zamanda kontrol edilmezse kurumu batırabilecek bir risktir. Nasıl ki küçük bir petrol sızıntısı çevre felaketine dönüşebiliyorsa, küçük bir veri ihlali de bir şirketin itibarını ve mali yapısını kısa sürede yerle bir edebilir.
KVKK tarafında herkesin bildiği ama çoğu kurumun yeterince hazırlıklı olmadığı kritik bir detay var: 72 saat kuralı. Bir veri ihlali tespit edildiği anda saat çalışmaya başlar ve Kişisel Verileri Koruma Kurulu’na bildirim için çok dar bir zamanınız vardır. Bu da bize şunu net biçimde gösterir:
KVKK, “olursa bakarız” denilecek bir konu değil, önceden hazır olunması gereken bir süreçtir.
6698 sayılı KVKK’yı sadece cezalardan kaçmak için yapılması gereken bir zorunluluk olarak görmek büyük bir hata olur. Doğru ele alındığında KVKK, kurumun dijital dünyadaki bağışıklık sistemidir.
2. Teknik ve İdari Tedbirler Neden Birlikte Anlamlıdır?
Veri güvenliği tek başına bir cihaz ya da yazılım meselesi değildir. En pahalı güvenlik duvarına sahip olabilirsiniz; ancak çalışanlar bu sistemi nasıl kullanacağını bilmiyorsa ya da süreçler doğru tanımlanmamışsa, o altyapı er ya da geç aşılır.
KVKK uyumu, teknik ve idari tedbirlerin birlikte çalıştığı bir bütündür. Bir tarafta firewall’lar, loglar, izleme sistemleri varken; diğer tarafta eğitimler, prosedürler ve disiplin süreçleri yer alır. Bunlardan biri eksikse, sistem topal kalır.
Gerçek hayattan basit bir örnek:
Bir çalışanın farkında olmadan açtığı zararlı bir e-posta, milyonlarca liralık güvenlik yatırımını birkaç saniyede devre dışı bırakabilir.
İşte bu noktada SIEM sistemleri devreye girer. Olağandışı saatlerde yapılan veri transferleri, beklenmedik oturumlar ya da anormal davranışlar SIEM sayesinde anında tespit edilebilir. Teknik altyapı ile idari farkındalığın kesiştiği yer tam olarak burasıdır.
KVKK’nın 12. maddesi de bu bütünlüğü açıkça zorunlu kılar.
3. ISO 27001 ve TSE Yetkisi: Görünmeyen Ama Hayati Omurga
KVKK uyumu için her şeyi sıfırdan kurgulamaya çalışmak çoğu zaman gereksizdir. ISO 27001, KVKK’nın talep ettiği teknik önlemlerin büyük bir kısmını zaten kapsayan, yıllardır oturmuş bir çerçeve sunar.
Ancak burada sık yapılan kritik bir hata var:
Sızma testi veya güvenlik değerlendirmesi yaptırırken “herhangi bir bilişim firması” ile çalışmak.
KVKK açısından sızma testlerinin TSE tarafından yetkilendirilmiş firmalarca yapılması, sadece teknik değil aynı zamanda hukuki bir güvence anlamına gelir. Olası bir ihlal sonrası savunma yaparken bu detay hayati önem taşır.
ISO 27001 ile KVKK teknik tedbirleri arasındaki bazı temel eşleşmeler şunlardır:
- Yetki matrisi ve erişim logları → A.9 Erişim Kontrolü
- Ağ güvenliği ve firewall yapıları → A.13.1 Ağ Güvenliği
- Sızma testleri ve açık yönetimi → A.12.6 Teknik Açıklıklar
- Yedekleme ve veri kaybı önleme → A.12.3 Bilgi Yedekleme
- Veri imhası ve anonimleştirme → A.8.3 / A.11.2 Medya Yönetimi
4. “Varsayılan Olarak Kapalı” Güvenlik Anlayışı
Günümüz güvenlik yaklaşımında “herkes görsün, gerekirse kısıtlarız” anlayışı artık geçerli değil. Tam tersine, izin verilmedikçe erişim yok yaklaşımı esas alınmalı.
Bu yaklaşım iki temel prensibe dayanır:
- En az yetki
- Bilmesi gereken kadar erişim
Bir çalışanın, görevini yapabilmesi için ihtiyaç duymadığı verilere erişebilmesi içeriden gelebilecek tehditlerin önünü açar.
Bu stratejinin en güçlü destekçisi ise Çok Faktörlü Kimlik Doğrulama (MFA) sistemleridir. Bir cihaz kaybolduğunda ya da çalındığında, sadece kullanıcı adı ve şifre artık yeterli değildir. MFA, bu tür durumların felakete dönüşmesini engeller.
Ayrıca misafir Wi-Fi ağlarının kurumsal ağdan tamamen ayrıştırılması (segmentasyon) da göz ardı edilmemesi gereken kritik bir detaydır.
5. Silmek Yetmez: Verinin Gerçekten Yok Edilmesi
KVKK’da en çok yanlış anlaşılan konulardan biri veri imhasıdır. Bir dosyayı silmek, çoğu zaman onu gerçekten yok etmek anlamına gelmez.
KVKK’nın 7. maddesi açık:
Veri işleme amacı ortadan kalktığında, kişisel veriler geri döndürülemeyecek şekilde silinmeli, yok edilmeli ya da anonim hale getirilmelidir.
Bu noktada uygulanan yöntemler şunlardır:
- Silme: Yetkilerin kaldırılması, verinin erişilemez hale getirilmesi
- Yok etme: Fiziksel imha, manyetik medyanın geri döndürülemez şekilde bozulması
- Anonimleştirme: Verinin kişiyle ilişkilendirilemeyecek hale getirilmesi
Her yöntemin teknik gereksinimleri ve kayıt altına alınması gereken süreçleri vardır.
6. Uzaktan Çalışma: Güvenlik Artık Bir Lokasyon Değil
Uzaktan çalışmanın yaygınlaştığı bir dünyada güvenlik, ofisle sınırlı değildir. Çalışanların kurumsal sistemlere VPN üzerinden, şifreli bağlantılarla erişmesi artık bir tercih değil zorunluluktur.
Bunun yanında taşınabilir cihazlarda tam disk şifreleme uygulanması, cihaz kaybolsa bile verinin korunmasını sağlar. Güvenlik zinciri artık ofis kapısında değil, çalışanın evindeki modemden başlar.
7. Sonuç: KVKK Bir Kültür Meselesidir
KVKK uyumu; alınan cihazlar, kurulan yazılımlar ya da hazırlanan dokümanlardan ibaret değildir. Bu süreç, kurum içinde yaşayan bir güvenlik kültürü oluşturmayı gerektirir.
Düzenli sızma testleri, izlenen ağlar, doğru imha politikaları ve bilinçli çalışanlar sayesinde KVKK, sadece bir yük olmaktan çıkar ve kuruma gerçek bir değer katar.
Asıl soru şu:
Veri güvenliğiniz bir defalık yapılan bir proje mi, yoksa kurum kültürünüzün bir parçası mı?
