KVKK İçin SIEM Ne Demek?
Teknik tedbirler dokümanında log ile ilgili atıflar var. Burada 2 soru akla gelebilir.
- Log toplamak yeterli mi?
- O zaman neden SIEM lazım? Çünkü SIEM ile log yönetimi çözümleri aynı olmadığı gibi maliyetleri de aynı değil.
Tekrar teknik tedbirler dokümanına dönersek:
Dolayısı ile sadece log toplamak yeterli değil. Sadece alarm da yeterli değil. Alarmların amaca yönelik yani KVKK yetki kontrolünü de içerecek şekilde olması lazım.
Peki yetki kontrolü içeren alarmlar nedir? Bütün SIEM çözümlerinde bu alarmlar sağlanabilir mi?
Yetki Kontrolü maddeleri için aşağıdaki gibi kontrollere ihtiyacımız var.
Özel nitelikli kişisel verilerin olduğu sunucuya ertugrul.akbas kullanıcısı sadece 192.168.1.137, 192.168.1.200,192.168.1.10 IP lerinden erişebilir. Başka bir yerden bağlantı isteği gelirse alarm üret.
veya osman.ali de sadece 10.10.10.1 ve 172.16.16.1 den erişebilsin başa bir yerden erişmek isterse uyar.
Bir adım daha ileriye gidersek; aynı yaklaşımla kişisel verilerin tutulduğu veritabanları için de aşağıdaki gibi yetkilerin takibini yapmak yine KVKK teknik tedbirler listesindeki “Yetki kontrolü” maddesinin kapsamındadır.
“ertugrul.akbas 172.16.0.0, 172.16.1.0,172.16.2.0 IP lerinden birinden Database Server isimli sunucuda kurulu bulunan Database de bulunan Medical Data tablosuna erişebilsin. Başka bir yerden de bu tabloya erişemesin” benzeri yetkileri takip eden ve yetkisiz işlemlerde alarm üreten senaryolara ihtiyaç var.
Bu kurallar oluşturulacak olan yetki matrisi ile paralel şekilde SIEM tarafından takip edilmeli.
Peki bunlara KVKK projelerinde dikkat ediliyor mu? Dikkat etsek bütün SIEM lerle bu tür yetki kontrolü içeren senaryolar geliştirilebilir mi?
Bu noktada KVKK ile ilgili yetki matrisini önünüze koyup bunları SIEM uygulaması yapan ekibe sormak şart. Bu ve benzeri kuralları SureLog SIEM ile nasıl yapılabileceğinin örnekleri aşağıdadır.
https://medium.com/@eakbas/gdpr-access-controls-look-at-how-you-manage-permissions-26b0f9bdc467
