Kişisel Verilerin Korunması Kanununa (KVKK) Nasıl Uyumlu Hale Geliriz?
KVKK projeleri yaparken ilk önce şunu bilmeliyiz ki asıl olan kişisel verilerin saklanmasının dayanağının olması ve sonrasında da bu alınan verilerin korunmasıdır.
Bu noktada yapılması gerekenler:
1. Nerelerde kişisel veri var? Onu bulmak.
2. Bu verileri tutmak için kanuni bir dayanağım veya açık rızam var mı? Bunu tespit etmek.
3. Herhangi birisi bana benim kişisel verilerimi tutuyor musun? Tutuyorsan ne amaçla tutuyorsun? diye sorarsa cevap verebilmek.
4. Daha önceden açık rıza ile alınmış bir kişisel veriyi, açık rıza veren kişi sil derse bulup silebilmek.
5. Kanuni süre dolunca bir kişiye ait veriyi bulup silebilmek.
6. Bu kişisel verilerin güvenliğini sağlamak.
7. Silme, yok etme veya anonim hale getirme işlemini kanunda belirtilen şekilde yapabilmek.
Bu adımların gerçeklemesinde önemli olan araçlardan 3 tanesi.
1. Veri keşfi ve sınıflandırması yapan araçlar.
2. SIEM.
3. Silme, yok etme veya anonim hale getirme araçları.
ANET yazılım tarafından geliştirilen Siperium veri keşfi ve sınıflandırması yazılımı ile SureLog SIEM yazılımı kullanarak yukarıdaki 7 madde eksiksiz yerine getirilebilir. Diğer benzer ürünlere göre Siperium ve SureLog değişik avantajlar sağlar.
Siperium veri keşfi ve sınıflandırma çözümü platform bağımsız olarak kişisel verileri bulmayı ve sınıflandırmayı sağlarken False/Pozitif oranını “0” a düşürmek için TC kimlik taramalarını regex değil TC kimlik oluşturma algoritmasına göre yapar. Ayrıca 247+ dosya tipini ve resimleri tarama özelliği ile birlikte SurLog SIEM ile entegre olarak kişisel verilere erişim anında alarm üretme yeteneğine sahip tek veri keşfi çözümüdür.
Siperium KVKK kanuna uygun bir şekilde silme, yok etme veya anonim hale getirme yapabilen tek çözümdür.
Siperium sadece sınıflandırma yapmaz, bütün ihtiyaçlarınız için veri keşfi de yapar. Herhangi birisi benim kişisel verilerimi tutuyor musun? Tutuyorsan ne amaçla tutuyorsun? diye sorarsa bunları yapısal ve yapısal olmayan verilerde arayıp bulabilir.
Siperium ile Kişisel Verilerin Korunması Kanunun 11. Maddesinde yer alan “Herkes kendi hakkında veri işlenip işlenmediğini, işlenen verilerin nerelerde kullanıldığını talep etme ve öğrenme hakkına sahiptir.” Hükmünün ortaya çıktığı durumlarda kişiye ait verinin dosya sistemleri veya veritabanlarında bulunabilmesini sağlar.
Ayrıca Siperium ile ajan kurmadan uzak makinelere share admin ile bağlanıp tarama yapılabilir.
Siperium sadece KVKK uyumu için değil ayrıca 100 ülkeye ait kişisel veri platformu ile GDPR uyumu için de kullanılabilir.
SureLog SIEM ise sadece log toplama ve alarm özelliği olmasına rağmen SIEM olarak bilinen pek çok rakibine göre çok gelişmiş korelasyon özellikleri ile ön plana çıkar [1].
Makine öğrenmesi ve kural tabanlı tespit özelliklerini bir arada kullanabilen dünyadaki tek çözümdür [2].
Ayrıca SureLog dünyanın en gelişmiş raporlama sistemine sahip ürünlerden biridir [3].
SIEM; KVKK teknik tedbirler dokümanının veri keşfi ve sınıflandırılması ile birlikte kuşkusuz en kritik çözüm ailesinde biridir.
KVKK ile SIEM ilişkisini sadece log tutmak şeklinde yorumlamak KVKK ya güvenlik bakış açısı ile bakamamaktan kaynaklanmaktadır [4]. Aşağıda teknik tedbirler dokümanında ki doğrudan SureLog SIEM ve Siperium ile sağlanabilecek maddelerin listesi mevcuttur [5].
1. Yetki Matrisi
2. Yetki Kontrolü
3. Erişim Logları
4. Log Kayıtları
5. Saldırı Tespiti
6. Veri Kaybının Tespiti
7. Silme, Yok Etme veya Anonim Hale Getirme
Referanslar
1. https://medium.com/@eakbas/siem-ile-saldırı-tespitinin-anatomisi-b44f3a8f4f0d
3. https://medium.com/@eakbas/kri̇ti̇k-windows-olay-kayitlarinin-detayli-anali̇zi̇-ve-avustralya-si̇ber-güvenli̇k-merkezi̇-2c2a4d204e25
4. https://medium.com/@eakbas/kişisel-verilerin-korunması-kanununa-kvkk-güvenlik-bakış-açısı-i̇le-bakmak-ab5a951d22f0
