Yasalar “ne” yapılmasını belirler. Tıpkı Yönetim Sistemleri gibi. "A.12.3.1. Yedek kopyalarını alınız” der ama nasıl alınacağını neyin üzerine alınacağını hangi sıklıkla alınacağını kuruma bırakır. Yani “nasıl” kısmı kuruma / kuruluşa aittir. Tetkikçi bunun uygunluğuna bakar. Şartın karşılanıp karşılanmadığını kontrol eder.
Yasalar da böyledir: Aydınlatma yükümlülüğü beyanını ister. Nasıl toplanacağı, nerede saklanacağı, ne kadar süre saklanacağı, nasıl elden çıkarılacağı yasanın herhangi bir zorunlu şartı yoksa (5651 sayılı kanunun ilgili yönetmeliğine göre toplu internet kullandıranlar için log saklama süresi 2 yıl gibi) kurumun “nasıl” yaptığına yönetmelikleri çerçevesinde odaklanır. Ama doğrudan şu ürün, bu yöntem, şu teknik diye yönlendirme yapmaz. Bu çerçevede veri sızıntısı için DLP çözümü piyasanın çıkardığı bir çözüm olup yasanın herhangi bir yerinde “DLP” diye bir çözüm kullanmalısınız demez. Kurumlar değişik yöntemlerle veri sızıntısının önüne geçecek tedbirleri alırlar. Bu tedbirlerin yeterli olup olmadığını risk analizlerinde gözden geçirebilirler. Örneğin IBM kendi bünyesinde 2018’den itibaren belirli saha şartları altında hariç olmak üzere tüm dünyada USB bellek kullanımını yasaklamıştır. Bu çerçevede bazı kurumlar epostalarda PGP gibi şifreleme algoritmalarını zorunlu hale getirmiştir. Ama yasa epostalarınız için şifreleme algoritmaları kullanın demez. Emniyet tedbirleri içinde genel olarak “ne” yapılması beklendiğini tanımlar. Yani veri sızıntısı için “DLP" çözümü ancak Istanbul gibi büyük metropollerde ve kanun koyucularının gözü üzerinde olan şirketler / holdingler için bir çözüm olarak çıkar. DLP’nin Şanlıurfa’da, Erzurum’da, Isparta’da ve başka bir çok Anadolu şehrinde konuşulması dahi mümkün değildir. Tetkiklere gittiğimizde, şirketlerin / üreticilerin / hizmet veren firmaların önceliği ana faaliyetlerini sürdürecek kaynağı sağlamak olduğu görülecektir. Yasal zorunluluklar olmasa (GİKY, EPDK, Sivil Havacılık, YÖK, Kamunet gibi) çoğunun BGYS sistemi kurmak gibi bir derdi dahi yoktur. Genel amaçlı bir kanunu özel uygulamaları zorunlu tutuyormuş gibi lanse etmek fırsatçılıktan başka bir şey değildir. Gücü, ekonomik olanakları olan ve bu sistemlerin kendisine fırsat sağlayacağını düşünen firmaların / holdinglerin gerekli yatırımları KVKK olsa da olmasa da yaptıkları aşikardır. 2012 - 2013 yılında gittiğim bazı kuruluşların o zaman bile DLP ve benzer çözümleri kullandıklarına şahitlik ettiğim çok olmuştur. Bir örnek ile yazıma son vereyim: Bir penetrasyon testi firması KVKK’nın bağımsız penetrasyon testini zorunlu tuttuğunu iddia ederek müşterilerimize test satmaya çalışıyordu. ilgili madde: “Özel nitelikli verilerin tutulduğu saklandığı sistemlerin kurumun kendisi tarafından veya bağımsız bir kuruluş tarafından sızma testine tabi tutulmasını” söylerken pentestçi firma bunun mutlaka bağımsız bir kuruluş tarafından yapılması gerektiğini iddia ediyordu. Bir kelimeyi cımbızlayıp başka bir kelimeyi görmezden gelip satış yapmaya çalışıyordu. Saygılarımla, Zühtü Kayalı Yönetim Sistemleri Danışmanı Yönetim Sistemleri Tetkikçisi 507.378 78 80 On 24 Aug 2020 17:50 +0300, Ömer KILINÇ <[email protected]>, wrote: > Merhabalar, > Işletmenin yapısına, organizasyonun büyüklüğü, karmaşıklığı ve işlediği > verilerin kritikliğine göre bu gereksinim neredeyse zorunlu hale gelebiliyor. > Evet kısmen pazarlama stratejisi. Sanki DLP alınınca tüm uyum sağlanacakmış > gibi lanse ediliyor. Durum böyle değil tabii ki. Ancak uyumun önemli bir > parçası olduğu da kesin. Bir veri ihlali olduğunda kurulum yaptığı > incelemelerde “bu ihlalin olmaması için ne yaptın?” sorusuna idari ve Teknik > tebirler kapsamında tatmin edici cevaplar verebilmek lazım. DLP ve > sınıflandırma uyuglamaları da Teknik tedbirler kapsamında önemli adımlar. > Yaptığım yurt içi, yurt dışı denetimlerinde birçok firmanın Microsoft ürününü > kullandığına şahitlik ettim. Hepsi de memnun. > > > > > Saygılarımla, > > > > Ömer KILINÇ > DPO, Lead Auditor, Consultant > GSM : 0 532 443 08 42 > > DNSDanışmanlık® > LinkedIn | Twitter | Instagram | Youtube > İstanbul > Maslak Mah. Büyükdere Cad. Maslak Meydan Sk. Beybi Giz Kat:15 KNo:1 DNo:55 > PK:34398 Sarıyer/İSTANBUL > 0 212 951 0 423 > Bursa > 23 Nisan Mah. Ata Bulvarı > Gizemler 3 Plaza K1 D6 > Nilüfer, Bursa / Türkiye > 0 224 323 0 442 > > Yasal Uyarı: Bu elektronik posta iş bu linki kullanarak ulaşabileceğiniz > aydınlatma metnine tabidir. > Firmamızdan e-posta almak istemiyorsanız, [email protected] e-posta > adresine konuyu bildirebilirsiniz. > > From: Liste <[email protected]> on behalf of Kadir Güvener > <[email protected]> > Reply to: <[email protected]> > Date: Monday, 24 August 2020 at 09:56 > To: "[email protected]" <[email protected]> > Subject: [NetsecTR] KVKK Veri sınıflandırma ve DLP > > Merhaba Arkadaşlar; > > KVKK için bir veri sınıflandırma ve DLP çözümü almak zorundamıyız? Bununla > ilgili çok fazla bilgi ver. Kimisi almak zorundasın diyor kimisi bunun bir > pazarlama stratejsi olduğunu söylüyor. Yurtdışı merkezli bir firmayız ve O365 > kullanıyoruz. Bildiğim kadarı ile O365 de DLP ve data sınıflandırma özelliği > var. Bunu kullanabilir miyiz? Kullanan var mı ? > > teşekkürler > > > BR. > Kadir Güvener > > ------------------------------------------------- Üyelikten ayrılmak için > [email protected] adresine mail atabilirsiniz. > ------------------------------------------------- > ------------------------------------------------- > Üyelikten ayrılmak için > [email protected] adresine mail atabilirsiniz. > > -------------------------------------------------
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
