Merhabalar, Öncelikle her birinize cevaplar için çok teşekkür ederim.
@Onur KARAAHMETOĞLU Bey; DLP çözümüne direk atıfta bulunulan bir madde yok sanırım. Bu arada veri sınıflandırması için kendimiz ne tür bir çözüm üretebiliriz örneklendirebilirseniz çok sevinirim. @Erdem KAYAR Bey; Bilgi için çok teşekkürler. Genel olarak USB cihazlara veri aktarımı yasakladık. Verinin bu durumda dışarı çıkartılması için network kalıyor geriye. Bu durumda verinin e-posta ile gönderimini, cloud ortamlara aktarımını şirket networkünde de yasakladık ancak kişisel bir internete bağlandığında bunu nasıl koruyabileceğiz bu konuda net bir çözüm yok olsa gerek. Aslında kullandığımız vpn yazılımı bir kişisel internete bağlanır bağlanmaz otomatik connected oluyor ve şirket güvenlik kuralları bu durumda da uygulanabiliyor. Bu durumda verinin dışa çıkarımını engellemek adına bir tek mail tarafında çözüm üretmemiz gerekiyor diye düşünüyorum. O365 için bildiğim kadarı ile etiketleme ve dlp çözümü var diye gördüm. Önemli olan doğru etiketleri üretebilmek sanırım. Zira yabancı bir firma olduğumuz için oluşturulacak tüm etiketlerin Türkçe olması gerekiyor @Onur Barcın Bey; Bahsettiğiniz denetim olası bir şikayet durumunda gelen denetçi ekip mi? Yoksa bu yasa için bir denetim planımı var? E3 lisansına sahip pakette veri sınıflandırma var ve ayrıca bildiğim kadarı ile DLP çözümü de var (birkaç forum sitesinde okumuştum ve nasıl yapılacağı ile ilgili makalaler var) bu arada veri sınıflandırmasını yapabilmek için tüm verilerin aslında bir yazlım ile etiketlenmesi gerekiyor değil mi? Etiketlenmeyen bir veriyi sınıflandırmak mümkün değil. Bu durumda oluşturulan her dosyanın sınıflandırmasını nasıl zorunlu kılabiliriz? Atıyorum a kişisi bir excel oluşturdu ve bu dosya çok kritik veri içeriyor. A kişisi bu dosyaya “özel” ve ya “gizli” şeklinde bir sınıflama yapmazsa bir anlamı kalmaz diye düşünüyorum, bu konuda düşünceniz nedir? @Volkan EVRİN Bey; veri sınıflandırma konusunda ne tür bir süreç izleyeceğimizi açıkçası hala bilmiyorum. Hangi yazılımı / çözümü kullanmamız gerekiyor, o365 ile bu süreci yürütebilir miyiz / nasıl yürütebiliriz bunu bilmiyorum. Şirketteki tüm çalışanlarımız datalarını onedrive ile senkronize ediyor ve dolayısı ile aslında yurtdışına aktarım sözkonusu ancak büyük/orta ölçekli bir çok firma O365 altyapısını kullanıyor. Sizinde söylediğiniz gibi bu konu gerçekten çok karmaşık ve bir şekilde bu konuda bir çözüm getirilmeli. Bu doğrusunu söylemek gerekirse yerel bir çözüm ile olacak iş değil. Bir şekilde O365 kullanımına olanak tanınmalı kanımca. Bekleyelim ve görelim zaman ne getrecek. @Ömer KILINC Bey; kesinlike katılıyorum. Ayrıca Bir DLP çözümü aldık diyelim. Ya da bir sınıflandırma yazılımı aldık diyelim. Bunu çok iyi derecede yapılandıramadıktan sonra hiçbir anlamı yok ki? Açıkcası bir çok firmanın DLP yi tam anlamıyla kullandığını ve yapılandırabildiğini hiç sanmıyorum. DLP var mı? Evet var ama doğru çalışmıyor. Sırf dlp almak için da yatırım yapmak bana çok saçma geliyor. Bahsettiğiniz Microsoft çözümü O365 ile gelen DLP ve veri sınıflandırma mı hocam ? @Mehmet Tolga ERTURK Bey; Aslında veriler genel olarak İK nın kullandığı özlük programlarında, erp programlarında genel olarak. Bunun dışında her kullanıcının kullandığı client üzerinde tutuluyor. Veri keşif uygulamasından kasıt nedir? Hangi yazılımlardır ve çalışma mantığı nedir biraz bilgi verebilir misiniz rica etsem? Bir de en çok kafamı kurcayalayan soru, örneğin bir dosyayı Word/excel olarak saklıyoruz. Diyelim ki bu dosya bir kişisel veri içersin. İmha süresini 10 yıl düşünelim. Bu dosyanın 10 yıl sonra silinmesini nasıl otomatikleştirebiliriz ki? Bir çok departman veri envanterine veri girdi diyelim. Bu verilerin imha süresi geldiğinde bunun nasıl takibini yapabilir? Mutlaka manuel süreçlerde bu unutulacak ve ya atlanacaktır diye düşünüyorum. @Zühtü KAYALI Bey; Çok güzel anlatmışsınız öncelikle çok teşekkür ederim. Aslında sizinde ilettiğiniz gibi piyasada kvvk adı altında ürün satmaya çalışan o kadar çok fırsatçı firma var ki anlatamam. İnanın telefonla arayan bir çok tedarikçi insanlara sanki bu ürünler kullanılmazsa cezadan başınız kalkmayacak tarzında insanları etkilemeye çalışıyor ve eminim başarılıda oluyorlar. Bahsettiğiniz gibi DLP aslında KVKK ile sık konuşulmaya başlansa da yıllar önce ciddi ve kurumsal bazı firmalar tarafından zaten kullanılıyordu. Penetrasyon konusu hazır açılmışken sormak istiyorum affınıza sığınarak. Gerçekten her yıl bir penetrasyon testi yaptırmak zorundamıyız? Bu konuda sizin yorumunuz nedir? BR. Kadir Güvener From: Liste [mailto:liste-boun...@netsectr.org] On Behalf Of Onur KARAAHMETOĞLU Sent: Monday, August 24, 2020 12:16 PM To: liste@netsectr.org Subject: Re: [NetsecTR] KVKK Veri sınıflandırma ve DLP Kadir bey merhabalar Dlp çözümüne sahip olmanız gerekiyor, teknik tedarik kapsamında ama veri sınıflandırması için Kendinizde çözüm geliştirebilirsiniz. 11:56, 24 Ağustos 2020, "Kadir Güvener" <kadir.guve...@outlook.com<mailto:kadir.guve...@outlook.com>>: Merhaba Arkadaşlar; KVKK için bir veri sınıflandırma ve DLP çözümü almak zorundamıyız? Bununla ilgili çok fazla bilgi ver. Kimisi almak zorundasın diyor kimisi bunun bir pazarlama stratejsi olduğunu söylüyor. Yurtdışı merkezli bir firmayız ve O365 kullanıyoruz. Bildiğim kadarı ile O365 de DLP ve data sınıflandırma özelliği var. Bunu kullanabilir miyiz? Kullanan var mı ? teşekkürler BR. Kadir Güvener ------------------------------------------------- Üyelikten ayrılmak için netsec-le...@netsectr.org<mailto:netsec-le...@netsectr.org> adresine mail atabilirsiniz. ------------------------------------------------- Onur Karaahmetoğlu 05326707505
------------------------------------------------- Üyelikten ayrılmak için netsec-le...@netsectr.org adresine mail atabilirsiniz. -------------------------------------------------
